Articles précédents : Articles
- [53] Mandrake Linux meilleure distribution Linux serveur par InfoWorld
- [18] CCC 2003 a commencé !
- [24] Novell va-t-il arrêter Netware ?
- [25] Apple et le libre : l'APSL 2.0 est une licence libre selon la FSF
- [33] Sortie de la GeeXboX 0.90-4
- [37] XForms en passe de devenir une Recommandation du W3C
- [149] La commission européenne accuse Microsoft d'être coupable "d'abus de position extraordinairement dominante"
- [127] SCO crée des licenses d'utilisation pour Linux
- [67] Résultat d'exploitation Mandrakesoft
- [133] RedHat porte plainte contre SCO.
Liens connexes
- Critères communs (320 hits)
- Google (Rubrique connexes à l'article) (288 hits)
- L'Article de TV5 (292 hits)
- Document CC en francais (v 2.0) part1 (417 hits)
- Document CC en francais (v 2.0) part2 (208 hits)
- Document CC en francais (v 2.0) part3 (192 hits)
Dépêche modérée par
Articles : Linux et IBM reçoivent un satisfecit de Washington
Posté par Kalimhero (). Modéré le 07 août 2003.
Les autorités fédéral américaines ont attribué au couple IBM / Suse, le CC (Commun Critera).
L'ordinateur doit respecter un certain nombre de règles pour que l'ordinateur soit jugé fiable en terme de protection des données.
Encore une preuve supplémentaire de la qualité de notre OS préféré (pour ceux qui en douteraient)
![[en]](../../../images/en.png)
Critères communs (320 hits)![[fr]](../../../images/fr.png)
Google (Rubrique connexes à l'article) (288 hits)-
L'Article de TV5 (292 hits)
-
Document CC en francais (v 2.0) part1 (417 hits)
-
Document CC en francais (v 2.0) part2 (208 hits)
-
Document CC en francais (v 2.0) part3 (192 hits)
> Lire la dépêche (180 commentaires, moyenne: 1,4).
Re: Linux et IBM recoivent un satisfecit de Washington
http://www.commoncriteria.org/ccc/epl/productType/eplinfo.jsp?id=99(...)
on peut voir dans leur liste que même windows 2000 est certifié pour la sécurité, alors je me pose quand même quelques questions sur cet organisme...
-
[+] [^]Re: Linux et IBM recoivent un satisfecit de Washington
Posté par Boa Treize (page perso, ) le 07/08/2003 à 15:40. (lien). Évalué à -5.Bon lien, mauvais commentaire.
-
[^]Re: Linux et IBM recoivent un satisfecit de Washington
Posté par or zax () le 07/08/2003 à 17:10. (lien). Évalué à 5.C'est une preuve de manque de sérieux de l'organisme pour toi ?
Avant d'être sous linux j'ai travaillé sous 2000 et je n'ai rien à reprocher à cet OS, ni en stabilité ni en sécurité, et je pense que c'est vraiment le meilleur de la série, je ne me prononce pas pour XP car je ne le connais pas.
Même si je recommande n'importe quel UNIX ou alternative libre pour les serveurs (FreeBSD, Linux), c'est avant tout pour le respect des standard, de l'inter-opérabilité, le respect de la vie privée, la transparence et non la sécurité.
D'autant plus que microsoft fait vraiment son maximum pour réduire le temps entre le moment où on découvre une faille et le moment où il livre un patch, ce qui est un des aspects les plus déterminants de la sécurité.
Je ne vois pas en quoi il est choquant que cet organisme déclare windows 2000 comme un système sûre.
zax-
[^]Re: Linux et IBM recoivent un satisfecit de Washington
Posté par couriousous () le 07/08/2003 à 18:08. (lien). Évalué à 8.tu trouve windows sécurisé ???
http://informatics.ntu.edu.au/staff/kgilbert/security/shatter_attac(...)-
[^]Re: Linux et IBM recoivent un satisfecit de Washington
Posté par pasBill pasGates () le 07/08/2003 à 18:18. (lien). Évalué à 0.Si c'etait une vrai attaque ca serait vrai, le prob c'est qu'il ne fait qu'utiliser des problemes dans des applications non-MS qui font des conneries plutot qu'utiliser un trou du systeme.
C'est comme avoir un shell root qui a un socket ouvert et accepte des connections de n'importe qui, c'est pas le systeme la faille, c'est le shell qui fait le con.-
[^]c'est la faute des applications !
Posté par free2.org (page perso, ) le 07/08/2003 à 18:33. (lien). Évalué à 4.d'ailleurs quand win se met à planter, il a parfois le temps de dire que c'est de la faute de l'application qu'on utilise.
et moi je crois tout ce que le système me dit :)
bon dans la pratique on sait qu'il y aura toujours des failles de sécurité dans les applications qui ne sont pas de petite taille, c'est donc au système de proposer d'exécuter facilement et efficacement ces applis dans une sandbox protégeant des overflows et controlant TOUS les appels sytèmes.
Et Linux le fait, lui.-
[^]Re: c'est la faute des applications !
Posté par pasBill pasGates () le 07/08/2003 à 19:00. (lien). Évalué à 0.Windows ne te dit jamais que c'est la faute d'une appli quand il plante, il te dit que c'est lui-meme ou un driver. Si tu apprenais a lire les ecrans bleus, tu apprendrais quelque chose.
bon dans la pratique on sait qu'il y aura toujours des failles de sécurité dans les applications qui ne sont pas de petite taille, c'est donc au système de proposer d'exécuter facilement et efficacement ces applis dans une sandbox protégeant des overflows et controlant TOUS les appels sytèmes.
Et Linux le fait, lui.
Aucune des grosses distrib Linux sur le marche ne le fait, ce ne sont que des patchs non supportes par les distrib, bref inutilisables.-
[^]Debian apt-get
Posté par free2.org (page perso, ) le 07/08/2003 à 19:40. (lien). Évalué à 3.je connais peu les autres distibs mais:
LSM, SElinux, systrace, fireflier, userModeLinux et plex86 sont tous dans Debian: je te conseille de taper man apt-get ou de consulter ma page APT sécurisé "pour les nuls" http://free2.org/d/(...)
un des avantages des softs libres, c'est qu'on peut les étudier avec Valgrind avant de leur faire confiance (apt-get valgrind aussi)-
[^]Re: Debian apt-get
Posté par pasBill pasGates () le 07/08/2003 à 21:32. (lien). Évalué à 2.Oui, mais moi je te parles de Redhat, Suse, Mdk,... les distrib utilisees par les entreprises(oui Debian aussi, mais dans une moindre mesure car pas de grosse boite pour le support).
Ces compagnies ne te font du support que si tu ne changes pas les paquets qu'ils te filent, sinon c'est bonjour la cata et elles garantissent rien.-
[^]Re: Debian apt-get
Posté par NebuchadnezzaR () le 07/08/2003 à 22:28. (lien). Évalué à 2.Oui, mais moi je te parles de Redhat, Suse, Mdk,... les distrib utilisees par les entreprises(oui Debian aussi, mais dans une moindre mesure car pas de grosse boite pour le support).
Ben pour ce qui est de Suse, ici au CCC y'a eu un presentation de SELinux et un des deux gars était de chez suse... c'est tout ce que j'en sais, mais bon certain pourront troller à tout va en disant tout le mal qu'ils pensent des su-cités, moi je préfère pas utiliser ;-)
-
[^]Re: Debian apt-get
Posté par Michel Galle () le 08/08/2003 à 08:27. (lien). Évalué à 7.donc si je vous lis bien
windows n' a rien de tout cela, que cela soit en offre commercial et pro de la part de microsoft ou pour le bidouilleur
tandis que linux n'aurait pas encore d'utilisation mature et professionnelle de ces nouvelles fonctionnalités
mais le connaisseur et admin motivé peut déjà les mettre en place.
c'est déjà ça, non ?
que l'offre commercial soit mauvaise ne condamne pas a mettre la tete ds un bloc de beton
que les "autres ne le font pas" ne vous obligent pas a faire l'autruche.
openBSD a divers systemes pour sécuriser la machine de puis longtemps. si vous avez un besoin critique, il vaut mieux se renseigner sur lui, plutot que de dire "baaah, y a pas de support des grands".
utilisateur pro de windows 2000 ,je vois pas en quoi il serait si sécurisé
on a quand même eu plus d'alertes de sécurités grave avec win que linux
et attention, ds le cas de windows c toujours lié a des services de bases.
la sécurité, c pas seulement une histoire de bugs
car win 2K est nettement moins buggé que NT ou win me, c un bon windows.
non, c surtout lié a un manque de transparence de windows et microsoft
que sait on des protocoles dedans ? comment savoir exactement ce que fait tel ou tel service ? il y a beaucoup moins de confiances avec windows que avec linux.
je me rappelle encore du fait que pas mal de programmes microsoft integrent un minu-serveur sql qui buggé, pouvait provoquer un trou de sécurité sur je ne sais plus quel port (54xx ? )
voit on cela sous les projets opensources de linux ? et combien même, vu que le linux est fourni de base avec pléthore de fonctions pour voir ce qui se passe, l'admin tatillon peut vite tout savoir. si on utilise des projets opensources on a les moyens de savoir ce qui se passe.
la différence avec windows ? de base, linux aide d'avantage a ce que le systeme soit transparent. pour l'admin c'est lui donner plus de moyens pour sécuriser.-
[^]Re: Debian apt-get
Posté par pasBill pasGates () le 08/08/2003 à 17:20. (lien). Évalué à 1.Si Windows a plusieurs de ces elements (VMWare == usermodelinux, fonctions d'audit non presentes dans Linux, jobs, ...) et n'en a pas d'autres. Simplement ce qui compte, c'est ce qui est utilisable en entreprise, si c'est pas supporte par Mdk,Redhat,Suse, en gros c'est a peu pres inutilisable car pas de support.
C'est bien que ca existe, mais tant que c'est a ce stade ca apporte pas grand chose de reeel aux utilisateurs.
on a quand même eu plus d'alertes de sécurités grave avec win que linux
et attention, ds le cas de windows c toujours lié a des services de bases.
T'appelles quoi services de base ? des elements de base du systeme ou livres par defaut ?
Car IE, IIS et Outlook peuvent difficilement etre consideres comme elements de base du systeme.
que sait on des protocoles dedans ? comment savoir exactement ce que fait tel ou tel service ? il y a beaucoup moins de confiances avec windows que avec linux.
Les services, une simple recherche 5 minutes sur le net te dit ce qu'ils font(peut-etre ecrit dans le manuel ou dans le help, pas sur), les protocoles, euh je vois pas l'utilite.
Cependant je suis assez d'accord que Windows donne une impression plus "opaque" que Linux a l'utilisation.-
[^]support Debian IBM, Alcove, EasterEggs
Posté par free2.org (page perso, ) le 08/08/2003 à 20:01. (lien). Évalué à 3.pour le support Debian, tu vas dans google... voici quelques liens que tu peux y trouver:
http://www-5.ibm.com/fr/netgen/linux.html(...)
http://www.ibm.com/Search?v=11&lang=fr&cc=fr&q=debian&a(...)
http://www.alcove.com/fr/FR/press/releases/2000/20000405(...)
http://www.easter-eggs.com/(...)
Suse supporte plusieurs extensions de sécurité dont SE Linux qui controle tous les appels sytèmes
Redhat supporte des trucs sympas comme exec-shield qui controle les overflows
Bref change 1 peu ton (très) vieux discours sur le manque support Linux
-
[^]Re: Debian apt-get
Posté par CityHunter (page perso, ) le 09/08/2003 à 18:02. (lien). Évalué à 1.Car IE, IIS et Outlook peuvent difficilement etre consideres comme elements de base du systeme.
Pourtant, les avocats de Bill, lors du procès, ont prétendu que IE était un élément de base de windows et qu'ils ne pouvaient pas le dissocier du système.
Le son de cloche est décidément bien différent entre les dévs et les marketeux... (Et malheureusement ce type de conduite n'est pas l'apanage de Krosoft)
-
-
-
[^]Re: Debian apt-get
-
-
[^]Re: Debian apt-get
Posté par Brice Arnould ( un_brice ) (page perso, ) le 07/08/2003 à 21:56. (lien). Évalué à 2.Hardened Gentoo fait des trucs marrants lui aussi
http://www.gentoo.org/proj/en/hardened/(...)--
Respect à RMS.
-
-
[^]Re: c'est la faute des applications !
Posté par couriousous () le 07/08/2003 à 20:03. (lien). Évalué à 2.vi, mais c'est une faille car sur linux les applications ne tournent pas en mode root. De plus, si tu lis bien, tu peux effectuer un buffer overflow ( car c'est comme ca que ca se fait ) sur n'importe quel appli, car il est pas possible de controler la taille des appels systèmes. Tu stipule que sous linux c'est aussi faisable, je répond par la négative car une appli qui tourne en utilisateur A ne peux pas déranger une appli qui tourne en tant que utilisateur B par des appels systèmes, sous Windows, c'est le cas. Donc il s'agit d'une enorme erreure de conception de la part de microsoft. C'est bien une faille, mais elle est incorrigible.
Pour celui qui doute de la faisabilité, essaie, tu verras ;) ... ( perso, j'ai essayé sur Win98.-
[^]Re: c'est la faute des applications !
Posté par pasBill pasGates () le 07/08/2003 à 21:30. (lien). Évalué à 2.MS a dit depuis des annees qu'il ne faut pas qu'un service tournant en root affiche une GUI sur le desktop d'un user, ca a ete repete a tort et a travers et la methode a utiliser a ete expliquee clairement x fois.
Certains pourtant continuent a le faire, c'est exactement similaire a un shell root sous Unix qui a un socket ouvert au monde.
C'est la maniere dont l'OS est concu, et ils ne comptent pas le changer. Ensuite si ton appli tourne en root et qu'elle decide de faire des conneries, Linux ou Windows, ca va finir en queue de poisson.
Les attaques sont differentes sous Linux et Windows, car les systemes sont differents, mais ces attaques ne sont pas dues au systeme lui meme, mais a des applications qui sont codees a l'encontre des principes du systeme.
Sinon pour Win98, Win98 n'a aucune notion d'utilisateur, donc ca ne sert a rien d'essayer cette attaque en particulier, t'as de toute facon la possibilite de jouer avec tous les process du systeme...
On parle de W2k et XP ici.-
[^]monopole clavier xterm
Posté par free2.org (page perso, ) le 08/08/2003 à 00:58. (lien). Évalué à 1.c'est exactement similaire a un shell root sous Unix qui a un socket ouvert au monde
non. ca ressemble de loin à une application root sous X qui accepterait des commandes sans qu'elles viennent d'un clavier monopolisé (les xterms ont une option de monopole du clavier, sans meme avoir besoin d'utiliser xsupervisor ou Xsecurity)
la différence (énorme), c'est que sous X on peut pas forcer une application root à faire quelque chose, et encore moins à lancer des commandes arbitraires si cette application n'est pas un shell
enfin l'usage qui veut que les GUI ne soient jamais imposées pour toutes les taches effectuables sous Linux, permet d'exécuter tous les programmes qu'on estime importants (pas seulement ceux de root) en mode console exclusivement-
[^]Re: monopole clavier xterm
Posté par Nap () le 08/08/2003 à 01:11. (lien). Évalué à 2.sous X on peut pas forcer une application root à faire quelque chose
ca me fait penser...
est-ce possible via un programme de piloter une appli X ?
c'est-à-dire écrire blabla dans un champ de texte, actionner un bouton etc...
ou peut-etre faut il taper plus haut dans la bibliothèque graphique (qt, gtk...) et la encore est-ce possible ?
est-ce possible de récupérer la liste des fenetres, avec pour chaque fenetre les containeurs, les widgets de chaque containeur etc... et ensuite y accéder comme je le précise juste au dessus
de manière a detecter une certaine fenetre et réagir lorsqu'elle apparait en cliquant sur un bouton par exemple-
[^]pilotage appli X
Posté par free2.org (page perso, ) le 08/08/2003 à 07:00. (lien). Évalué à 3.est-ce possible via un programme de piloter une appli X ?
oui. par défaut (ie si l'utilisateur n'active pas le mode untrusted de la "security extension" ou xsupervisor) une application qui a le droit de se connecter au serveur X (via xauth, donc par défaut seules les applications appartenant à l'utilisateur du X) peut observer les événements que recoit une appli X (sauf pour les application ayant demandé le monopole du clavier/souris), lire et écrire dans le presse-papier, copier l'affichage des autres fenetres et envoyer des événements (grace à Xtest extension ou Xtrap extension)
avec pour chaque fenetre les containeurs, les widgets de chaque containeur etc
là il faudrait passer par qt/gtk car X ne manipule que des bitmaps et des fontes en fait
de manière a detecter une certaine fenetre et réagir lorsqu'elle apparait en cliquant sur un bouton par exemple
c'est donc possible uniquement si les réglages de sécurité du X le permettent
quelques softs: xmacro, xtrap, xmx (pour travailler en même temps à plusieurs et à distance avec la même application)
-
[^]Re: monopole clavier xterm
-
-
-
[^]Re: c'est la faute des applications !
Posté par Philippe Fremy (page perso, ) le 08/08/2003 à 06:53. (lien). Évalué à 4.L'argument, "on dit de ne pas faire de truc graphique mais personne ne le fait" n'est pas tres solide. Tout dans windows t'encourage a creer une appli graphique. Les utilisateurs comme les administrateurs ont ete eduques avec des appli graphiques. Forcement que tu vas creer une appli graphique, sinon, personne ne voudra de ton logiciel.
Deuxieme point, l'enchainement et la dependance des services a l'interieur de windows est tellement compliquee qu'il est tres dur de ne faire tourner que les services dont tu as besoin (et ca, c'est pas moi qui le dit, c'est un mec de Microsoft, cf les document Halloween)
> On parle de W2k et XP ici.
Ca veut dire en gros que Micrsoft commence a se preoccuper de la securite de son systeme depuis 2000 alors qu'il le developpe depuis 1986. Sous unix, la securite est un principe qui est present depuis beaucoup plus longtemp. Present et mis en application.
Et puisqu'on parlait des applications, microsoft est lui-meme responsable de la plus grande passoire de tous les temps, a elle seule responsable de pertes de milliards de dollar a l'echelle mondiale, j'ai nomme: Outlook et son execution automatique de code VB dans un mail,( ou comment abaisser la barriere technique pour ecrire un virus).
Bref, je pense que niveau securite, microsoft est indefendable. Ils sont tout simplement mauvais et c'est une honte qu'une boite qui fournit autant de logiciel en ait aussi peu a foutre de la securite de ses clients. Je parle en tant que professionnel de l'informatique et chef d'entreprise.-
[^]Re: c'est la faute des applications !
Posté par pasBill pasGates () le 08/08/2003 à 06:59. (lien). Évalué à 0.Le probleme c'est pas de ne pas faire d'appli graphique, c'est de comment la faire, il y a plein de services qui ont une GUI et qui n'ont pas de problemes car ils le font correctement.
Deuxieme point, l'enchainement et la dependance des services a l'interieur de windows est tellement compliquee qu'il est tres dur de ne faire tourner que les services dont tu as besoin
Expliques moi donc quels sont ces problemes
Ca veut dire en gros que Micrsoft commence a se preoccuper de la securite de son systeme depuis 2000 alors qu'il le developpe depuis 1986
Bon je vais etre plus precis alors.
Depuis NT, c'est a dire 1992. J'ai dit 2000/XP car c'est les OS d'aujourd'hui
Et puisqu'on parlait des applications, microsoft est lui-meme responsable de la plus grande passoire de tous les temps, a elle seule responsable de pertes de milliards de dollar a l'echelle mondiale, j'ai nomme: Outlook et son execution automatique de code VB dans un mail,( ou comment abaisser la barriere technique pour ecrire un virus).
Outlook n'est pas pire que wu_ftpd ou sendmail niveau securite, simplement vu qu'il est plus utilise et qu'il est utilise par des novices, ca a plus d'impact.
Bref, je pense que niveau securite, microsoft est indefendable. Ils sont tout simplement mauvais et c'est une honte qu'une boite qui fournit autant de logiciel en ait aussi peu a foutre de la securite de ses clients. Je parle en tant que professionnel de l'informatique et chef d'entreprise.
Moi je dirais plutot que tu parles en tant que linuxien qui prefere ne voir que le mal chez l'autre, mais ce n'est que mon avis, et je le partages.-
[^]Re: c'est la faute des applications !
Posté par saorge () le 08/08/2003 à 07:56. (lien). Évalué à 5.
Outlook n'est pas pire que wu_ftpd ou sendmail niveau securite, simplement vu qu'il est plus utilise et qu'il est utilise par des novices, ca a plus d'impact.
Ben, une différence fondamentale dans ta comparaison :
- Outlook : MUA, application cliente exécutée par des gens pas forcément spécialiste en informatique
- wu_ftp et sendmail : application serveur, normalement exécutée par des professionnels de l'informatique
Donc, je pense que l'on ne peux pas vraiment comparer ces programmes. A la limite, on peut comparer sendmail et Messenger. Mais pour comparer Outlook à un programme libre, il faudrait prendre evolution, etc.
Faut faire gaffe avec les comparaisons !-
[+] [^]Re: c'est la faute des applications !
Posté par pasBill pasGates () le 08/08/2003 à 17:22. (lien). Évalué à -1.Oui, mais son compare au niveau erreurs de codage, ces choses la n'entres pas en compte, tu t'amuses pas a laisser plus de bugs dans une appli ou l'autre :+)
-
-
[^]Re: c'est la faute des applications !
Posté par ptit_tux () le 08/08/2003 à 10:17. (lien). Évalué à 2.Microsoft a fait de gros efforts côté sécurité. C'était annoncé et les résultats arrivent.
> Outlook n'est pas pire que wu_ftpd ou sendmail niveau securite
Je m'inscrit en hyper faux. Outlook a des trous de sécurité au niveau de la conception. Autorité VB (qui n'a pas le niveau de sécurité de java en applet par exemple) dans les mails est une ÉNORME connerie. D'ailleur MS le sait très bien et a dit qu'à l'avenir, entre fonctionnalité (avoir VB) et sécurité ils supprimeront la fonctionnalité.
Ainsi, à l'avenir des fonctionnalités vont être supprimées à cause d'erreur de conception grossière (d'où la nécessité d'avoir un anti-virus qui filtre avant d'attaquer Outlook). Mais dans wu_ftpd ou sendmail, pour assurer la sécurité :
- Il n'y a pas d'antivirus
- Le renforcement de la sécurité ou la correction d'un trou de sécurité ne passe pas par la suppression de fonctionnalités.
Et puis wu_ftpd et sendmail sont très utilisés....-
[^]Re: c'est la faute des applications !
Posté par pasBill pasGates () le 08/08/2003 à 17:27. (lien). Évalué à 0.Je m'inscrit en hyper faux. Outlook a des trous de sécurité au niveau de la conception. Autorité VB (qui n'a pas le niveau de sécurité de java en applet par exemple) dans les mails est une ÉNORME connerie. D'ailleur MS le sait très bien et a dit qu'à l'avenir, entre fonctionnalité (avoir VB) et sécurité ils supprimeront la fonctionnalité.
Sauf faille dans le code, VB ne va pas t'executer tout et n'importe quoi, ce n'est donc pas un probleme de conception, mais des failles comme d'autres.
Mais dans wu_ftpd ou sendmail, pour assurer la sécurité :
- Il n'y a pas d'antivirus
- Le renforcement de la sécurité ou la correction d'un trou de sécurité ne passe pas par la suppression de fonctionnalités.
Non, par contre il y a un patchage regulier, tout comme Outlook.
Outlook, t'as pas besoin d'anti-virus tant que personne ne clicke sur un attachement executable, hors la plupart des novices le font, donc faut les proteger contre eux-meme, et Outlook mainetnant bloque meme l'arrivee d'attachements executables, a cause d'un manque de connaissances de l'utilisateur, pas a cause d'une faille de l'appli.-
[^]Re: c'est la faute des applications !
Posté par ptit_tux () le 08/08/2003 à 20:05. (lien). Évalué à 3.> ce n'est donc pas un probleme de conception, mais des failles comme d'autres.
Ben le patch on l'attend depuis longtemps. Et tu peux me pointer sur un advisory de MS sur ce point ?
> Outlook, t'as pas besoin d'anti-virus tant que personne ne clicke sur un attachement executable
Et sous Linux même si tu clickes sur un attachement executable t'as pas besoin d'anti-virus.
> hors la plupart des novices le font, donc faut les proteger contre eux-meme
Ça ne fait pas parti des buts d'un OS généraliste ça ?
> Outlook mainetnant bloque meme l'arrivee d'attachements executables, a cause d'un manque de connaissances de l'utilisateur
Ben ils ont fini par la corriger cette faille de sécurité.... En combien de temps ?
T'es en train d'expliquer que Outlook n'est pas sûre pour un novice et que c'est de la faute des novices car ce ne sont pas des experts... Tu vois pas un problème dans ton raisonnement.
Sous Linux il faut être un "expert" pour exécuter les pièces attachées. Tu ne peux pas l'excécuter directement. Il faut sauvegarder, changer le mode du fichier et l'excécuter. C'est pas un problème technique mais un chois de conception pour des raisons évidentes de sécurité. Avec un navigateur c'est la même chose. Sous Linux le fait de visualiser un document (Ooo par exemple) ne te fait pas courir des risques. Sous Linux il n'y a pas une option pour règler le niveau de sécurité du navigateur. Le navigateur est sûre par défaut, de part sa conception.
Puis compares Java à VB lorsqu'il est dans un document. La conception de java ne te permet pas de fouiller le carnet d'adresse, de supprimer des fichiers...
T'aime bien Windows, et pour ma part j'ai beaucoup de respect pour les compétences techniques de MS (de toute manière on ne devient pas le numéro 1 pour rien).
Mais là ton "amour" frise l'aveuglement alors que les pertes liés à cette "fonctionnalité" (je sens que tu vas dire "à l'incompétence des novices") sont énormes.
-
[^]Re: c'est la faute des applications !
Posté par allcolor (Jabber id, page perso, ) le 08/08/2003 à 20:27. (lien). Évalué à 5.Outlook, t'as pas besoin d'anti-virus tant que personne ne clicke sur un attachement executable
Ceci est totalement faux... outlook a eu plusieurs problèmes de sécurité lié à l'exécution automatique de script vb à l'affichage dans la fenêtre de pré-visualisation... c'est facile de dire que c'est les utilisateurs les neuneus...--
All those moments will be lost in time, like tears in the rain.-
[^]Re: c'est la faute des applications !
Posté par allcolor (Jabber id, page perso, ) le 08/08/2003 à 20:36. (lien). Évalué à 2.Tiens un petit lien pour te rafraîchir la mémoire...
http://www.securiteam.com/windowsntfocus/5AP0L0U6LW.html(...)--
All those moments will be lost in time, like tears in the rain.
-
[^]Re: c'est la faute des applications !
Posté par pasBill pasGates () le 08/08/2003 à 20:43. (lien). Évalué à 1.Oui, mais ca c'est des bugs de code, pas de conception, c'est ca dont on parlait.
-
[^]Re: c'est la faute des applications !
Posté par Gruik Man () le 08/08/2003 à 20:54. (lien). Évalué à 2.http://www.securityfocus.com/archive/1/330499/2003-07-23/2003-07-29(...)
http://www.securityfocus.com/archive/1/330513/2003-07-23/2003-07-29(...)
http://www.securityfocus.com/archive/1/331072/2003-07-23/2003-07-29(...)
Et ça, c'est pas une erreur de conception, peut-être? : )=
-
[^]Re: c'est la faute des applications !
Posté par allcolor (Jabber id, page perso, ) le 08/08/2003 à 21:00. (lien). Évalué à 2.Excuse-moi de reprendre ta phrase : Outlook, t'as pas besoin d'anti-virus tant que personne ne clicke sur un attachement executable
Et maintenant de dire : Oui, mais ca c'est des bugs de code, pas de conception
ça me fait une belle jambe que ça vienne pas de la conception... en attendant si je perds toutes mes données ça change quoi d'où provient le problème...
Ni une ni deux, soit tu jettes outlook à la poubelle... soit t'installes un anti-virus... parce que moi mes données elles sont plus importantes que de savoir si le problème vient de la conception ou de la mauvaise programmation....--
All those moments will be lost in time, like tears in the rain.-
[+] [^]Re: c'est la faute des applications !
Posté par pasBill pasGates () le 08/08/2003 à 21:48. (lien). Évalué à -1.Ah oui, mais dans ce cas tu as aussi besoin d'un anti-virus pour ton browser Mozilla sous Linux, parce que si il a une faille c'est meme topo.
-
[^]Re: c'est la faute des applications !
Posté par allcolor (Jabber id, page perso, ) le 08/08/2003 à 22:00. (lien). Évalué à 2.Oui mais à la différence que le cas d'outlook lui est réel...
--
All those moments will be lost in time, like tears in the rain.
-
[^]Re: c'est la faute des applications !
Posté par allcolor (Jabber id, page perso, ) le 08/08/2003 à 22:02. (lien). Évalué à 0.Puis j'utilise pas Mozilla sous linux... Konqui roxor...
===> [-1]--
All those moments will be lost in time, like tears in the rain.
-
[^]Re: c'est la faute des applications !
Posté par ptit_tux () le 08/08/2003 à 22:10. (lien). Évalué à 2.Parce que tu connais un anti-virus pour mozilla (que ce soit pour Windows ou Linux). Et tu connais un anti-virus pour Netscape 4.x (que ce soit pour Windows ou Linux).
-
[+] [^]Re: c'est la faute des applications !
Posté par pasBill pasGates () le 08/08/2003 à 22:23. (lien). Évalué à -2.Je connais aucune boite qui fait des anti-virus pour des softs dont la part de marche est infime non.
J'en connais un pour Eudora par contre :
http://www.quickheal.com/xgen.htm(...)
Bref, Outlook n'a rien de special a ce niveau.-
[^]Re: c'est la faute des applications !
Posté par ptit_tux () le 08/08/2003 à 22:58. (lien). Évalué à 2.Et Netscape n'a pas dominé le marché à une époque ?
Bizarre mais il n'y a pas eu de virus pour netscape (qui fait mailer aussi). Bizarre, Bizarre.-
[+] [^]Re: c'est la faute des applications !
Posté par pasBill pasGates () le 08/08/2003 à 23:26. (lien). Évalué à -1.Et ?
Car il n'y en avait pas ca veut dire que c'etait pas utile ?
Il n'y avait pas d'anti-virus pour Outlook non plus a une epoque.-
[^]Re: c'est la faute des applications !
Posté par ptit_tux () le 08/08/2003 à 23:42. (lien). Évalué à 1.T'es d'une mauvaise foi sans nom.
Je trouve comique que tu refuses de critiquer la sécurité dans les produits de Microsoft alors que Microsoft a fait son auto-critique. Le niveau de sécurité de Windows/Office c'est déjà grandement amélioré. D'ailleur je suis convaincu que les virus sous Windows seront épisodique dans 3 ou 4 ans pour leur nouveaux produits. Et ce jour là tu seras bien dans la merde pour expliquer pourquoi les anti-virus ne sont plus nécessaires. MS semble avoir sérieusement pris en compte le problème. Mais pas toi.-
[^]Re: c'est la faute des applications !
Posté par pasBill pasGates () le 09/08/2003 à 01:02. (lien). Évalué à 1.Nope, je comprends l'informatique c'est tres different.
Les anti-virus sont la pour proteger le systeme des utilisateurs principalement.
Sur Amiga il y a 12 ans, il n'y avait pas de TCP/IP, pourtant les virus se promenaient partout.
Pourquoi ? Parce que les utilisateurs ne comprenaient rien et lancaient toto.exe pour une raison x ou y. Pourtant il y avait pas de lecteur de mail qui leur permettait de tout lancer automatiquement, ils devaient le faire eux meme et le faisaient.
Resultat : des anti-virus sont apparus, pour verifier au lancement les executables.
Moi je suis sur que les virus ils seront toujours la dans 3-4 ans sous Windows, et si Linux se repand sur le desktop, il aura des petits amis parasites aussi qui apparaitront.-
[^]Re: c'est la faute des applications !
Posté par couriousous () le 09/08/2003 à 08:22. (lien). Évalué à 1.non, car le virus pourra uniquement infecter les document de l'utilisateur, et pas tout le système. Il suffit simplement qu'il execute les fichier pas sur ( ou navigue sur internet ) dans un compte utilisateur à pas ( peu ) de droits et il n'y aura pas de problèmes.
-
[^]Re: c'est la faute des applications !
Posté par allcolor (Jabber id, page perso, ) le 09/08/2003 à 08:58. (lien). Évalué à 1.oui mais bon le principal intérêt d'un virus, c'est de te faire perdre des documents... dans ce cas, le virus fonctionne même sur ton utilisateur (justemenent celui-là)... c'est tes données qui sont importantes pas l'OS...
--
All those moments will be lost in time, like tears in the rain.-
[^]Re: c'est la faute des applications !
Posté par couriousous () le 09/08/2003 à 09:37. (lien). Évalué à 1.ben il crée deux comptes. Un pour les documents et un pour toutes autres activités.
-
[^]Re: c'est la faute des applications !
Posté par allcolor (Jabber id, page perso, ) le 09/08/2003 à 09:43. (lien). Évalué à 1.Je serais plutôt pour un analyseur de comportements... parce que bon un prog qui parcour pleins de fichiers pour aller les remplacer par autre chose... le système devrait s'en rendre compte et te faire un warninje te demandant si c'est ok...
--
All those moments will be lost in time, like tears in the rain.-
[^]Re: c'est la faute des applications !
Posté par pasBill pasGates () le 09/08/2003 à 11:45. (lien). Évalué à 1.Ouaip, ca ressemble fort a un anti-virus elabore ce que tu proposes.
Un truc qui se met entre le fileystem et le systeme et regarde ce qui accede au disque, de quelle maniere,...
-
-
-
-
-
-
-
[^]Re: c'est la faute des applications !
Posté par Pierre Jarillon (page perso, ) le 09/08/2003 à 00:28. (lien). Évalué à 1.Et pourquoi en a t-il fallu un, au lieu de sécuriser l'application ?
Cherche un peu...-
[^]Re: c'est la faute des applications !
Posté par pasBill pasGates () le 09/08/2003 à 01:06. (lien). Évalué à 0.Parce que les virus c'est pas une application qui va les arreter.
Un virus c'est quoi ? Un executable ou un script.
Comment est-ce qu'un soft peut savoir si il faut permettre a un executable/script X de se lancer ou pas ? En ayant une signature des scripts/executables dangereux, bref un anti-virus.
Voila, toute la raison pour un anti-virus.
C'etait identique sur Amiga, qui pourtant n'avait pas d'Outlook a l'epoque, le web n'existait pas encore.
Les virus c'est dans 99% des cas un probleme de l'utilisateur qui lance qqe chose qu'il ne connait pas, et ca aucune application ne peut rien faire contre, sauf a etre un anti-virus qui check l'executable contre des signatures pour voir si c'est un virus connu.-
[^]Re: c'est la faute des applications !
Posté par free2.org (page perso, ) le 09/08/2003 à 05:21. (lien). Évalué à 2.le probleme c'est que les virus lancés par un utilisateur sous win arrivent à accéder à des ressources privilégiées de root ("privilege escalation") à cause du mauvais design de win
-
[^]Re: c'est la faute des applications !
Posté par pasBill pasGates () le 09/08/2003 à 11:26. (lien). Évalué à 0.FAUX
Et prouves moi le contraire si tu n'es pas d'accord.
-
-
[^]Re: c'est la faute des applications !
Posté par PeYotL () le 09/08/2003 à 08:46. (lien). Évalué à 1.Les virus c'est dans 99% des cas un probleme de l'utilisateur qui lance qqe chose qu'il ne connait pas, et ca aucune application ne peut rien faire contre, sauf a etre un anti-virus qui check l'executable contre des signatures pour voir si c'est un virus connu
hmm je suis pas vraiment sur de ces 99% ..
je parle d'une experience personnelle : je n'ai aucun chiffre, mais ca j'ai une mon 2k completement detruit 3 fois par des virus, sans avoir executé de programme verolé, ni meme lancé une seule piece jointe et d'apres analyse post mortem, par des virus differents..
j'avoue etre tout le temps logué en administrateur, mais sous windows 2k, passer en woot temporairement pour effectuer une tache d'administration toute simple, installer un soft, est pas vraiment pratike, sans compter les soft qui ne fonctionnent mal ou meme pas en mode utilisateur de base.. (a moins qu'un sudo ou qqch dans le genre existe sous win32,. mais j'ai pas trouvé..)
et contrairement a ce que tu dit, une bonne partie des utilisateur a fini par etre sensibilisée au virus : ils n'executent plus de binaires inconnus, ou louches.. et ca n'empeche malheureusement l'infection..-
[^]Re: c'est la faute des applications !
Posté par pasBill pasGates () le 09/08/2003 à 11:50. (lien). Évalué à 1.je parle d'une experience personnelle : je n'ai aucun chiffre, mais ca j'ai une mon 2k completement detruit 3 fois par des virus, sans avoir executé de programme verolé, ni meme lancé une seule piece jointe et d'apres analyse post mortem, par des virus differents..
Il se pourrait bien que tu te soit fait avoir a ton insu, c'est tout a fait possible, cependant c'est pas le cas de la grande majorite des gens.
j'avoue etre tout le temps logué en administrateur, mais sous windows 2k, passer en woot temporairement pour effectuer une tache d'administration toute simple, installer un soft, est pas vraiment pratike, sans compter les soft qui ne fonctionnent mal ou meme pas en mode utilisateur de base.. (a moins qu'un sudo ou qqch dans le genre existe sous win32,. mais j'ai pas trouvé..)
sudo == runas.exe, ca devrait resoudre bcp de tes soucis.
et contrairement a ce que tu dit, une bonne partie des utilisateur a fini par etre sensibilisée au virus : ils n'executent plus de binaires inconnus, ou louches.. et ca n'empeche malheureusement l'infection..
Ben je comptes plus le nombre de fois que j'ai recu des kournikova.jpg.vbs de la part de gens qui avaient mon e-mail par exemple, et ca c'est un virus que tu choppes d'une unique maniere : en cliquant dessus.
Les gens maintenant ne cliquent plus sur les attachements car Outlook bloque par defaut tout ce qui peut s'executer, mais ca empeche pas certains de decompresser le truc et le lancer quand meme, un comble...
-
-
-
-
-
-
-
[^]Re: c'est la faute des applications !
-
-
-
-
[^]Re: c'est la faute des applications !
-
[^]Re: c'est la faute des applications !
Posté par pasBill pasGates () le 08/08/2003 à 21:49. (lien). Évalué à 1.On a essaye avec moi, mais le patch contre la tuberculose n'a jamais fonctionne...
Me reste plus qu'a m'installer un firewall sur le corps.-
[^]Re: c'est la faute des applications !
Posté par Pierre Jarillon (page perso, ) le 09/08/2003 à 00:25. (lien). Évalué à 4.Les premiers virus ont été créés sous Unix. On a très vite compris ce qu'il fallait faire et depuis plus de 20 ans, le problème est résolu.
Unix/Linux fait de la prévention. Il n'y a donc pas besoin de faire un traitement curatif.
Microsoft a pris l'option inverse : ne pas faire de prévention et vendre des anti-virus. C'est la logique du fric US. C'est la même que l'industrie pharmaceutique : Il vaut mieux que les gens attrapent des maladies graves, on leur vendra beaucoup de médicaments...
Avec tout le fric gagné par Microsoft, il y aurait eu de quoi sécuriser Windows depuis très longtemps. Mais ce n'était pas rentable.
Fais attention au jour où Pasbill Pasgates sera moins rentable !-
[^]Re: c'est la faute des applications !
Posté par pasBill pasGates () le 09/08/2003 à 01:09. (lien). Évalué à 1.Unix/Linux fait de la prévention. Il n'y a donc pas besoin de faire un traitement curatif.
Microsoft a pris l'option inverse : ne pas faire de prévention et vendre des anti-virus. C'est la logique du fric US. C'est la même que l'industrie pharmaceutique : Il vaut mieux que les gens attrapent des maladies graves, on leur vendra beaucoup de médicaments...
N'importe quoi.
Unix/Linux ils sont tres peu affectes principalement car les utilisateurs sont pour l'enorme majorite des admin systeme et des power users, hors un virus ca compte enormement sur l'ignorance de l'utilisateur pour s'executer.
Le jour ou Linux aura 20% du marche desktop, on verra bien ce qui va arriver niveau virus, et ca va pas etre triste...
Windows et Linux sont IDENTIQUES au niveau protection contre les virus, on ne peut rien faire contre pour la simple raison que ce sont des executables comme les autres. Il n'y a aucun moyen pour un utilisateur novice de savoir qu'il est en train de lancer un virus et pas autre chose quand il clique sur un soft.-
[^]Re: c'est la faute des applications !
Posté par Brice Arnould ( un_brice ) (page perso, ) le 09/08/2003 à 01:39. (lien). Évalué à 1.Sauf que sous GNU/Linux, la plupart des éxecutables sont en lecture seule (pour l'utilisateur)*(sauf sous Lindows justement -_^). Il va pas avoir grand chose à se mettre sous la dent le virus (sans parler de la non intégration du moteur html de ms ie qui est troué comme pas possible)... De plus, et même si m$ fait son méa culpa, la plupart des apps window$ n'ont _pas_ été conçues pour gérer la sécurité (même pas le multiutilisateur souvent). Sous Un*x c'est depuis longtemps un point important pour tous les devs.
*Je sais qu'on peut faire avec la winchose, mais on parlait du débutant. Et bein le débutant il a un compte root sous window$ (quand tu te laisse guider ça fait ça et les softs refusent la plupart du temps de s'installer sinon) et user sous GNU/Linux (quand tu te laisse guider ça fait ça et on te demande ton mot de passe seulement quand tu veut installer/configurer un truc).--
Respect à RMS.-
[+] [^]Re: c'est la faute des applications !
Posté par pasBill pasGates () le 09/08/2003 à 03:20. (lien). Évalué à -1.Ca change quoi ?
Le jour ou Linux sera sur tous les desktops, les non-informaticiens vont s'echanger des executables par e-mail, alors soit ils vont apprendre a faire chmod u+x, soit ils vont avoir un client mail qui lancera le truc pour eux. Ils vont aussi avoir un client mail qui affiche d'office xyz car c'est plus agreable, et un jour il y aura un buffer overflow dans ce module, etc...
Et un utilisateur novice, le chmod u+x il va le faire sur n'importe quoi et le lancer, car il se doute pas que ca peut etre dangereux.
Ce qui protege Unix, c'est le niveau de connaissances de ses utilisateurs qui fait que pour l'instant un virus a tres peu de chances d'etre execute, mais le jour ou Linux aura une bonne part de marche desktop, ca va changer, et les virus vont pousser.-
[^]Re: c'est la faute des applications !
Posté par free2.org (page perso, ) le 09/08/2003 à 05:24. (lien). Évalué à 2.les débutants sous Linux utilisent surtout le catalogue impressionant de logiciels libres signés par leur distrib
ils n'ont pas besoin de s'échanger des binaires non signés comme sous win
et les binaires lancés par un utilisateur ne peuvent pas modifier le reste d'un système Linux-
[^]Re: c'est la faute des applications !
Posté par pasBill pasGates () le 09/08/2003 à 11:30. (lien). Évalué à 1.les débutants sous Linux utilisent surtout le catalogue impressionant de logiciels libres signés par leur distrib
ils n'ont pas besoin de s'échanger des binaires non signés comme sous win
Pour l'instant.
Attends de voir a quoi ca va ressembler quand le marche de masse du desktop arrivera sur Linux, ca pas etre different du comportement sous Windows.
et les binaires lancés par un utilisateur ne peuvent pas modifier le reste d'un système Linux
Sous Windows non plus
-
-
[^]Re: c'est la faute des applications !
Posté par Brice Arnould ( un_brice ) (page perso, ) le 09/08/2003 à 09:55. (lien). Évalué à 1.<blockquote>
soit ils vont avoir un client mail qui lancera le truc pour eux. Ils vont aussi avoir un client mail qui affiche d'office xyz car c'est plus agreable, et un jour il y aura un buffer overflow dans ce module, etc...
</blockquote>
Facile à dire. Pour l'instant aucune prémice d'un tel logiciel n'existe, alors que beaucoup des autres projets sont très avancés (à mois que m$ ne prépare un "Outlook Express.org" pour GNU/Linux lol).--
Respect à RMS.-
[^]Re: c'est la faute des applications !
Posté par pasBill pasGates () le 09/08/2003 à 11:29. (lien). Évalué à 1.Normal, vu qu'au jour d'aujourd'hui Linux n'est pas repandu sur le desktop, c'est bien ca le truc.
-
-
-
-
-
-
-
-
-
-
-
-
[^]Re: c'est la faute des applications !
Posté par Gruik Man () le 08/08/2003 à 20:46. (lien). Évalué à 2.« Outlook n'est pas pire que wu_ftpd ou sendmail niveau securite, simplement vu qu'il est plus utilise et qu'il est utilise par des novices, ca a plus d'impact. »
C'est vrai. C'est pourquoi quiconque décide, en entreprise, wu_ftpd, Sendmail... ou Outlook mérite de se faire virer pour faute grave : p
-
-
-
-
-
[^]Re: c'est la faute des applications !
-
[^]Re: c'est la faute des applications !
Posté par Olivier (page perso, ) le 08/08/2003 à 11:35. (lien). Évalué à 1.Aucune des grosses distrib Linux sur le marche ne le fait, ce ne sont que des patchs non supportes par les distrib, bref inutilisables.
Tu as raison, les distribs n'utilisent jamais de patch... Il n'y a qu'à voir la Mandrake par exemple, qui patch à fond son kernel (ce qui en soit n'est pas une critique, je suis par exemple bien content d'avoir l'automount quand je fais une présentation à des newbies).-
[+] [^]Re: c'est la faute des applications !
Posté par pasBill pasGates () le 08/08/2003 à 17:27. (lien). Évalué à -2.Ouaip, le kernel que Mdk te donne est patche, par contre si toi sur ta becane tu patches le kernel qu'ils t'ont file, ils vont bien rigoler au support
-
-
-
-
[+] [^]Re: Linux et IBM recoivent un satisfecit de Washington
Posté par Philippe Fremy (page perso, ) le 08/08/2003 à 06:44. (lien). Évalué à -1.Mouai, en theorie, c'est ca. En pratique, j'en doute. BackOrifice par exemple est une appliation windows tout a fait legitime qui n'utilise pas de "bugs" de l'OS et qui permet quand meme de faire pas mal de choses mechantes.
-
[^]Re: Linux et IBM recoivent un satisfecit de Washington
Posté par pasBill pasGates () le 08/08/2003 à 06:59. (lien). Évalué à 3.Des trojans t'en as sur tous les systemes, cf. les rootkits sur Linux et autres Unix
-
[^]Re: Linux et IBM recoivent un satisfecit de Washington
Posté par ptit_tux () le 08/08/2003 à 10:22. (lien). Évalué à 1.Tu peux me donner un équivalent de backoriffice sous Linux ?
Je dit un truc que j'installe sur une machine A et j'utilise la machine B d'une manière non prévue par l'admin. Et surtout un outil qui n'utilise pas un trou de sécurité (un bug quoi) mais fait une utilisation prévue, normale de la bécane.-
[^]Re: Linux et IBM recoivent un satisfecit de Washington
Posté par Gloo () le 08/08/2003 à 11:07. (lien). Évalué à 1."Tu peux me donner un équivalent de backoriffice sous Linux ?"
Moi oui: ssh, en root. héhé-
[^]Re: Linux et IBM recoivent un satisfecit de Washington
Posté par ptit_tux () le 08/08/2003 à 11:11. (lien). Évalué à 1.Non prévu par l'admin !
Si je fais un ssh chez toi c'est que tu m'as donné le mot de passe root, que tu as activé ssh et autorité root à se loggué via ssh.-
[^]le succès de backorifice est du aux faiblesses de win
Posté par free2.org (page perso, ) le 08/08/2003 à 11:53. (lien). Évalué à 2.même s'il s'est très répandu, cela reste quand meme un troyen...
le succès de backorifice et de ses clones s'explique à mon avis par 2 choses:
1. il est courant pour les utilisateurs win de lancer un binaire (ou une macro) du Net non signé par une autorité centrale (contrairement aux nombreux binaires et scripts libres signés par les distribs linux)
2. une fois ce programme win non signé lancé, il peut utiliser des techniques connues de privilege escalation (comme celle cité plus haut qui est inhérente aux specs de win) pour installer un troyen root, ou encore infecter les comptes d'autres utilisateurs (ce qui reste possible même sur les machines n'ayant pas de fenetres root)-
[^]Re: le succès de backorifice est du aux faiblesses de win
Posté par pasBill pasGates () le 08/08/2003 à 17:31. (lien). Évalué à 1.une fois ce programme win non signé lancé, il peut utiliser des techniques connues de privilege escalation (comme celle cité plus haut qui est inhérente aux specs de win) pour installer un troyen root, ou encore infecter les comptes d'autres utilisateurs (ce qui reste possible même sur les machines n'ayant pas de fenetres root)
Sauf faille dans un service(qui sera des lors patche), le truc plus haut n'est pas possible. Donc si tu tiens ta machine a jour, ce n'est pas faisable de cette maniere.
Sinon, tu m'expliqueras comment infecter les comptes d'autres utilisateurs sans etre root.-
[^]privilege escalation inhérente à win
Posté par free2.org (page perso, ) le 08/08/2003 à 19:24. (lien). Évalué à 2.tu es 1 intrus
tu as réussi à accéder aux droits du service S via une faille dans ce service
si un utilisateur U est connecté (ou se connecte ensuite)et a des fenetres ouvertes alors tu peux utiliser l'exploit évoqué plus haut pour accéder aux droits de U
je cite http://informatics.ntu.edu.au/staff/kgilbert/security/shatter_attac(...)
Any application on a given desktop can send a message to any window on the same desktop, regardless of whether or not that window is owned by the sending application, and regardless of whether the target application wants to receive those messages. There is no mechanism for authenticating the source of a message; a message sent from a malicious application is indistinguishable from a message sent by the Windows kernel.-
[^]Re: privilege escalation inhérente à win
Posté par pasBill pasGates () le 08/08/2003 à 19:45. (lien). Évalué à 1.Si tu as accede au service S, tu l'as dans le fion, car les services par defaut sont empeches d'interagir avec le desktop.
Start Menu -> Run -> services.msc -> proprietes des services -> LogOn et tu verras que les services ne peuvent pas interagir avec le desktop.
Bref, pas de bol, faudra trouver autre chose.-
[^]Re: privilege escalation inhérente à win
Posté par free2.org (page perso, ) le 08/08/2003 à 20:10. (lien). Évalué à 1.y'a des erreurs de design dans tous les programmes ... y compris dans certains services
(tu vas encore me dire que ces vilains ne respectent pas les recommandations MS ... )
sinon n'importe quel client internet peut faire l'affaire: ftp/browser/mail/chat/etc.-
[^]Re: privilege escalation inhérente à win
Posté par pasBill pasGates () le 08/08/2003 à 20:46. (lien). Évalué à 1.Ben oui il y a des erreurs dans tous les softs, c'est bien ca que je te dis, le probleme est dans le soft, pas dans l'OS
Tout comme ecrire un daemon qui tourne en root et qui accepte des connexion sans rien verifier.
Sinon, n'importe quel client internet ne fait pas l'affaire, pour la simple raison que si tu prends le controle du client web, ben ca te sert a rien d'essayer de controler un autre process du meme user a travers les fenetres, vu que tu controles deja ce process.-
[^]Re: privilege escalation inhérente à win
Posté par free2.org (page perso, ) le 09/08/2003 à 05:32. (lien). Évalué à 1.non, tout systeme sûr digne de ce nom doit refuser le "privilege escalation", meme quand les programmes comportent des failles, ca la majorité des programmes ont des failles
sinon tu attends qu'un autre user se logge pour prendre controle du compte de ce user
(tu as du mal à te mettre dans la peau d'un intrus, tu ferais un mauvais spécialiste en sécurité)-
[^]Re: privilege escalation inhérente à win
Posté par pasBill pasGates () le 09/08/2003 à 11:34. (lien). Évalué à 1.On est bien d'accord, mais les systemes ont tous des limites.
Linux il va se faire entuber si tu fais tourner dessus un shell root avec acces a travers un socket sans authentication.
C'est exactement similaire a la situation de Windows avec les fenetres, et le systeme lui meme n'y peut rien.
Si le gars qui a code le soft a decide d'etre stupide, le systeme peut pas l'en empecher sauf settings de l'administrateur(pour bloquer les sockets ouverts par root ou empecher un service d'etre interactif par exemple).-
[^]Re: privilege escalation inhérente à win
Posté par couriousous () le 09/08/2003 à 12:42. (lien). Évalué à 3.lol, ta comparaison est innutile, "un shell root avec un socket sans autentification" <- mais personne utilise un tel programme ( d'ailleur il n'y a aucune utilité à employer cela ).
Tandis que l'interface graphique sous win est inséparable avec le reste de l'OS. Voila l'erreure de conception windows.
Berf, à nouveau, tu fait preuve d'une mauvaise foi flagrande.-
[^]Re: privilege escalation inhérente à win
Posté par pasBill pasGates () le 09/08/2003 à 21:33. (lien). Évalué à 1.mais personne utilise un tel programme ( d'ailleur il n'y a aucune utilité à employer cela ).
Ben oui, ceux qui le font font une connerie, tout comme ceux qui utilisent un service qui interagit avec le desktop !
Tandis que l'interface graphique sous win est inséparable avec le reste de l'OS. Voila l'erreure de conception windows.
Ouaip, et l'interface graphique n'est pas dangereuse, si elle est utilisee correctement, tout comme les sockets ne sont pas dangereux quand ils sont utilises correctement.
Berf, à nouveau, tu fait preuve d'une mauvaise foi flagrande.
Plutot toi qui ne comprend rien au probleme et au fait que le systeme de messages entre fenetres est identique au systeme de sockets niveau securite-
[^]Re: privilege escalation inhérente à win
Posté par couriousous () le 09/08/2003 à 21:47. (lien). Évalué à 2.je suis désolé, mais c'est pas "intuitif" de lancer une application avec un socket ouvert ! ( d'ailleur en existe t'il ? ( a part les troyen ) )
Sous win, il est "intuitif" d'utiliser l'interface graphique pour TOUT ! ( d'ailleur c'est comme ca que Ms à "éduqué" ses clients: le clicodrome ! ) Donc l'administareur fera bcp plus rapidement cette connerie. Contrairement à linux ou il faut vraiment le vouloire ! ( de plus ton histoire de socket, les firewall, ca existe ! )
Petite métaphore, je compart Win à un tableau de commandesur lequel, il y a un bouton rouge. Si tu presse dessus, tout explose. Certe, tu sais très bien qu'il ne faut pas presser dessus.
Par la même méthaphore, je prend linux, c'est le même tableau de bord, sauf que le bouton est cadenassé. La clé est à côté.
Sous win, tu peux presser par "mégarde". Sous linux, il faut décadenasser puis presser dessus. C'est volontaire.
Tu t'aveugle devant l'erreur de windows, avoule la ! c'est pas une honte ! Il suffit juste d'y remèdier !-
[^]Re: privilege escalation inhérente à win
Posté par pasBill pasGates () le 09/08/2003 à 22:09. (lien). Évalué à 1.Bordel...
Utiliser la GUI de Windows n'est PAS dangereux pour quoi que ce soit.
Ce qui est dangereux c'est d'ecrire un soft qui tourne avec droits root comme un porc.
Tu prends un Windows, t'installes les SP/patches, t'installes Office, Mozilla, Eudora, ....
Ton systeme n'est PAS vulnerable a cette attaque.
Ton systeme il sera vulnerable uniquement quand t'auras installe une application qui elle est vulnerable.
Ce n'est pas du au systeme, c'est du a l'application.
L'administrateur il est libre d'utiliser la GUI, il court aucun risque tant qu'il a pas une appli trouee sur son systeme, tout comme sur Linux.-
[^]Re: privilege escalation inhérente à win
Posté par allcolor (Jabber id, page perso, ) le 09/08/2003 à 23:04. (lien). Évalué à 1.Mais bon un OS est fait pour ça aussi... empécher des applis de faire n'importe quoi... sinon pourquoi protéger la mémoire utilisée par les processus... sous linux si je programme comme un porc et que j'essaye d'accéder à une partie mémoire non permise ==> segfault...
Sous windows... au mieux erreur de protection générale... reboot...
Si ça c'est pas une erreur de conception... qu'est-ce que c'est qu'une erreur de conception...--
All those moments will be lost in time, like tears in the rain.-
[^]Re: privilege escalation inhérente à win
Posté par pasBill pasGates () le 09/08/2003 à 23:21. (lien). Évalué à 0.Mais bon un OS est fait pour ça aussi... empécher des applis de faire n'importe quoi... sinon pourquoi protéger la mémoire utilisée par les processus... sous linux si je programme comme un porc et que j'essaye d'accéder à une partie mémoire non permise ==> segfault...
Sous windows... au mieux erreur de protection générale... reboot...
N'importe quoi.
C'etait en partie vrai sous Win9x, c'est totalement faux sous Win2000/XP-
[^]Re: privilege escalation inhérente à win
Posté par allcolor (Jabber id, page perso, ) le 10/08/2003 à 10:37. (lien). Évalué à 1.T'as raison en fait sous XP vous avez enlever le BSOD... donc c'est vrai méa-culpa... il ne reste plus que le reboot...
--
All those moments will be lost in time, like tears in the rain.-
[^]Re: privilege escalation inhérente à win
Posté par couriousous () le 10/08/2003 à 12:33. (lien). Évalué à 2.non... l'écran bleu est encore la ! je t'assure ... lorsque j'utilisait WinXP ( sur un portable Desingned for WinXP ), une foix sur 10, il n'arrivait pas à démarrer ( juste avant l'écran du login -> Ecran bleu ! )
La raison qui fait croire que l'écran bleu a disparut est que, lorsque Win en arrivé la, il reboot immédiatement. Mais tu peux désactiver cela.
-
[+] [^]Re: privilege escalation inhérente à win
Posté par pasBill pasGates () le 10/08/2003 à 19:56. (lien). Évalué à -1.C'est tres interessant de parler avec toi, tres argumente comme discussion.
-
[^]Re: privilege escalation inhérente à win
Posté par allcolor (Jabber id, page perso, ) le 10/08/2003 à 21:09. (lien). Évalué à 1.Bon explique moi comment alors sous windows un programme en user land arrive à faire une erreur de protection générale... et ne me dis pas que ça n'existe pas sous 2000/XP, je l'ai déjà vu...
--
All those moments will be lost in time, like tears in the rain.-
[^]Re: privilege escalation inhérente à win
Posté par pasBill pasGates () le 10/08/2003 à 21:15. (lien). Évalué à 0.File moi le soft qui arrive a le faire sur un Windows 2000/XP avec les SP/patchs a jour.
Sauf bug ce n'est pas sense arriver, exactement comme sous Linux, et si il y a bug, ce sera corrige.-
[^]Re: privilege escalation inhérente à win
Posté par allcolor (Jabber id, page perso, ) le 10/08/2003 à 21:29. (lien). Évalué à 1.Microsoft Word 2000...
Ça me l'a fait sur une station windows 2000 avec le sp3 au boulot...--
All those moments will be lost in time, like tears in the rain.-
[^]Re: privilege escalation inhérente à win
Posté par pasBill pasGates () le 10/08/2003 à 21:50. (lien). Évalué à 0.Tu es sur que c'est Word 2000 ? Que ce n'est pas un driver ?
Word fait un tas d'appels differents qui finissent par passer a travers les drivers.
Comment as tu etabli que la faille etait dans le systeme lui-meme et pas dans les drivers ?
cf. les nombreux freezes et autres sous Linux avec les jeux, tout le monde dit que c'est les drivers Nvidia qui en sont la cause.-
[^]Re: privilege escalation inhérente à win
Posté par allcolor (Jabber id, page perso, ) le 10/08/2003 à 22:02. (lien). Évalué à 2.u es sur que c'est Word 2000 ? Que ce n'est pas un driver ?
Ben ça j'en sais rien... mais c'est l'écran bleu qui a dit... module wordkekchose gnagnagna in kernel32.exe ...--
All those moments will be lost in time, like tears in the rain.-
[^]Re: privilege escalation inhérente à win
Posté par pasBill pasGates () le 11/08/2003 à 05:00. (lien). Évalué à 0.Oui, bref tu ne sais pas ce qui a fait planter la machine.
Un peu court pour affirmer qu'une appli peut faire planter le systeme non ?-
[^]Re: privilege escalation inhérente à win
Posté par allcolor (Jabber id, page perso, ) le 11/08/2003 à 05:33. (lien). Évalué à 2.Oui je ne sais pas... Un truc que je sais... je n'ai jamais eu à rebooter linux pour un plantage applicatif... jamais... mais bon ta mauvaise foi déborde... j'arrêtes ici...
--
All those moments will be lost in time, like tears in the rain.-
[^]Re: privilege escalation inhérente à win
Posté par pasBill pasGates () le 11/08/2003 à 06:05. (lien). Évalué à 1.Ben comptes le nombre de gens qui ont eu leur systeme qui freeze pendant qu'ils jouaient sous Linux on en reparlera apres.
Ca aussi c'est un probleme de drivers, mais bizarrement sous Windows la meme chose est rangee dans les failles de l'OS.
La mauvaise foi tu te la gardes.
Tu es incapable de demontrer que c'etait un plantage applicatif, tu ne sais pas ce qui a plante, donc evite d'accuser sans preuves.-
[^]Re: privilege escalation inhérente à win
Posté par allcolor (Jabber id, page perso, ) le 11/08/2003 à 06:09. (lien). Évalué à 1.Oui j'ai déjà une un jeux qui freeze à cause du driver NVidia...
Solution: connexion ssh au pc... killall X... et voilà... pas besoin de rebouter...--
All those moments will be lost in time, like tears in the rain.-
[^]Re: privilege escalation inhérente à win
Posté par pasBill pasGates () le 11/08/2003 à 07:00. (lien). Évalué à 1.http://linuxfr.org/comments/92744.html(...)
http://linuxfr.org/comments/190312.html(...)
...
Tous les oops dans les changelog du kernel
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.