Re: Mozilla 1.6 beta

• [^]Re: Mozilla 1.6 beta

  Posté par Ramso (page perso, ) le 11/12/2003 à 20:19. (lien). Évalué à 13.

  C'est une méthode d'authentification pour pouvoir accéder au proxy afin de sortir du réseau privé et accéder à Internet. C'est assez spécifique aux réseaux Microsoft mais certains voudraient la voir plus répandue.

  --
  Groar !

• [^]Re: Mozilla 1.6 beta

  Posté par choocroot () le 11/12/2003 à 20:23. (lien). Évalué à 15.

  NTLM est un protocole d'authentification pour les serveurs/services Microsoft, comme Kerberos sous Unix.
  Ça sert aux employés des entreprises qui utilisent un serveur proxy Microsoft avec authentification, pour avoir accès a l'exterieur, qui pourront maintenant utiliser Mozilla :)
  NTLM est aussi utilisé pour du SMTP/POP3/etc., c'est donc « vital » pour faire rentrer Mozilla dans les entreprises qui utilisent des serveurs MS.

  • [^]Re: Mozilla 1.6 beta

    Posté par Tennis Prono (page perso, ) le 12/12/2003 à 08:19. (lien). Évalué à 7.

    Je rajouterai dans le "etc" que NTLM est aussi utilisé pour le webmail Outlook/Exchange. Quand je suis chez moi sous Linux, les mots de passe passent en clair, alors que sur mon Firebird sous Windows au boulot ils utilisent NTLM.

    --
    Pas de bureau 3d libre sans drivers libres!

• [^]Re: Mozilla 1.6 beta

  Posté par Bruno Ethvignot (page perso, ) le 11/12/2003 à 20:49. (lien). Évalué à 19.

  C'est quoi NTLM ?
  http://davenport.sourceforge.net/ntlm.html#whatIsNtlm(...)
  
  NTLM est un protocole d'identification utilisé dans diverses implémentation des protocoles réseau Microsoft et supporté par le "NTLMSSP" (Fournisseur de support de sécurité NT LM). À l'origine utilisé pour une authentification et une négociation sécurisée, NTLM est aussi utilisé partout dans les systèmes de Microsoft comme un mécanisme de signature unique (single sign-on).
  
  NTLM utilise un mécanisme de "stimulation/réponse" ("challenge-response") pour l'authentification, dans laquelle les clients sont capables de prouver leurs identités sans envoyer un mot de passe au serveur. Cela consiste en trois messages, généralement mentionnés comme Type 1 (la négociation), Type 2 (la stimulation) et Type 3 (l'authentification). Il fonctionne essentiellement comme cela :
  
  1. Le client envoie message Type 1 à au serveur. Celui-ci contient principalement une liste des fonctionnalités supportées par le client et demandées au serveur.
  
  2. Le serveur répond par un message Type 2. Celui-ci contient une liste de fonctionnalités supportées et accordées par le serveur. Le plus important cependant, il contient une "stimulation" produite par le serveur.
  
  3. Le client répond à la "stimulation" avec un message Type 3. Celui-ci contient plusieurs informations au sujet du client, comprenant le domaine et le nom d'utilisateur du client. Il contient également une ou plusieurs réponses à la "stimulation" Type 2.
  
  Les réponses dans le message du type 3 sont la partie la le plus critique, car elles prouvent au serveur que l'utilisateur client a la connaissance du mot de passe du compte.
  
  
  L'authentification Stimulation/Réponse de Windows NT ne pouvant pas franchir un pare-feu, elle est surtout utile sur les intranets, où la communication intervient derrière le pare-feu d'une organisation.

• [^]Re: Mozilla 1.6 beta

  Posté par saorge () le 12/12/2003 à 07:49. (lien). Évalué à 7.

  Voilà, je ne vais pas rajouter une enième explication de l'authentification NTML, mais juste dire que, pour moi, c'est une excellente nouvelle. En effet, nous étions contraint d'employer IE, et cela posait certains problèmes dans le cadre du boulot.
  Il y a avait moyen de configurer les versions précédentes de Mozilla pour qu'il gère le NTML, mais cela se faisait via un plugin (et bon, n'étant pas informaticien dans mon boulot (mais j'ai en autres un graduat (équivalent BTS) de programmeur), mais simple utilisateur (un des plus chiant, sans aucun doute !), et bien, j'ai eu du mal à me faire entendre !). Donc, pour moi, c'est une excellente nouvelle. Je m'empresse de faire suivre la nouvelle, ... et passer pour encore plus chiant que je ne le suis ;-))

Bug ou correction de bug ?

• [+] [^]Re: Bug ou correction de bug ?

  Posté par grafit () le 11/12/2003 à 21:32. (lien). Évalué à -1.

  OT! manant, passe ton chemin!
  Vous allez me dire "Tu avais qu'a pas mettre ton adresse n'importe où". A celà je vous répondrais que vu que je ne suis pas le seul et que celà coïncide avec le ras de marée des virus Windows qui circulent actuellement sur le net, je suis sûr que mon adresse mail a été récupérée dans le carnet d'adresses de l'Outlook d'un de mes correspondants via un de ces putains de virus !!!!
  
  ceci dit tu laisses ton adresse trainer un peu partout sur ton site... (mailto mailto mailto)

  • [^]Re: Bug ou correction de bug ?

    Posté par Infernal Quack (Jabber id, page perso, ) le 11/12/2003 à 21:58. (lien). Évalué à 6.

    Regardes le source de mes pages. Pour l'instant les robots sont peu nombreux à filtrer ce genre de notation.
    
    Mon adresse traine surtout sur les ML et les carnets d'adresse. Et depuis que j'ai obfusqué mon mail le spam a très très fortement baissé ce qui prouve que les robots spammeurs ne la récupère pas quand elle est obfusquée (ou très peu le fond)

• [+] [^]Re: Bug ou correction de bug ?

  Posté par wikiclub () le 12/12/2003 à 08:33. (lien). Évalué à -2.

  Moi, je suis hyper fichier,
  
  J'ai construit un site non xhtml strict mais en bon html avec des tableaux pour gérer le découpage de mes pages (je sais, c'est pas beau), mais il s'affiche à l'identique (au pixel près) dans tous les navigateurs que j'ai pu tester (ie, mozilla, konqeror, saffari, opera, etc...)
  
  Et deplus, j'ai construit ce site avec dreamweaver (mx)
  
  Comme quoi, les standarts ont vraiment du bon et sont vraiment suffisant
  
  Romain

• [^]Re: Bug ou correction de bug ?

  Posté par Christophe Martel () le 12/12/2003 à 09:16. (lien). Évalué à 5.

  c'est peut etre du a l'utilisation d'une balise ....en effet, la balise de fermeture , et ce sous ie5 / safari sous mac, est considérée comme ayant la propriété de style display block : donc une balise force un saut de ligne...mais seulement sous mac :(
  la solution, car il y en a une, c'est :
  <%contener% style="margin:0; padding: 0;" ><form style="margin:0; padding: 0;"....><input....><input....><input....></%contener%>
  et normalement, plus de probleme sous mac...
  NB: j'ai pas verifié si les attributs de style pour le %contener% sont obligatoire : j'etais trop content que ça marche enfin correctement ;)

Re: Mozilla 1.6 beta

• [^]Re: Mozilla 1.6 beta

  Posté par Christophe Merlet (page perso, ) le 11/12/2003 à 21:33. (lien). Évalué à 9.

  \o/ ouééé, le bug #179078 que j'ai découvert aujourd'hui est déjà corrigé \o/
  
  C'est trop fort le libre, ça corrige les bugs avant qu'on les trouve !

  • [^]Re: Mozilla 1.6 beta

    Posté par Mathieu Pillard (page perso, ) le 12/12/2003 à 00:11. (lien). Évalué à 6.

    Vu la description du bug moi je m'ettonne meme que quelqu'un aie reussi a le trouver :)

[+] Puisqu'on parle de navigateurs web...

• [^]Re: Puisqu'on parle de navigateurs web...

  Posté par Dalton joe (page perso, ) le 11/12/2003 à 23:23. (lien). Évalué à 2.

  Pas bien compris l'interet, maintenant que tout passe au xhtml, xml voila que MS brevete le HTML?

• [^]Re: Puisqu'on parle de navigateurs web...

  Posté par jeff110 () le 12/12/2003 à 00:24. (lien). Évalué à 2.

  Ou est l'inovation ???

• [^]Re: Puisqu'on parle de navigateurs web...

  Posté par pasBill pasGates () le 12/12/2003 à 00:43. (lien). Évalué à 1.

  Ca devient regulier, je te l'avais deja dit il y a quelques jours :
  
  Lit avant de dire des aneries.
  
  Expliques moi clairement du point de vue technique ce que Html For Applications a a voir avec des virus Web, voire meme avec le Web, c'est marrant mais tu ne vas pas y arriver.
  
  Ca serait quand meme bien de comprendre ce que tu lis avant de sortir des aneries sur MS et Windows.

  • [^]Re: Puisqu'on parle de navigateurs web...

    Posté par jmfayard () le 12/12/2003 à 00:59. (lien). Évalué à 9.

    Mmh, je n'y connais personellement rien, mais un numéro de MISC citait un passage de la documentation (de mémoire HTA applications are assumed to be trusted applications, and as such, are not limited to the same security limitations as IE), se moquait de ça comme une erreur de sécurité par design classique, montrait que le but du jeu était de faire exécuter la page html comme application HTA pour court-circuiter les fameuses <<zones de sécurités>> d'IE, et expliquait que c'était la source de bien des déboires d'Outlook Express.
    
    On m'aurait menti ?

    • [^]Re: Puisqu'on parle de navigateurs web...

      Posté par pasBill pasGates () le 12/12/2003 à 01:09. (lien). Évalué à 6.

      Ca c'est une faille dans IE qui ne traite pas les .hta correctement
      
      Mozilla a d'ailleurs corrige une faille similaire recemment : http://bugzilla.mozilla.org/show_bug.cgi?id=220257(...)
      
      (qui vient de http://www.mozilla.org/projects/security/known-vulnerabilities.html(...) )

      • [^]Re: Puisqu'on parle de navigateurs web...

        Posté par jmfayard () le 12/12/2003 à 01:45. (lien). Évalué à 5.

        Merci pour cette précision.
        Note pour plus tard : quelqu'un a reporté ce bug de mozilla en utilisant bugzilla, ce que tout le monde peut faire, et il a été corrigé exactement 1h et 2mn plus tard.

        • [^]Re: Puisqu'on parle de navigateurs web...

          Posté par pasBill pasGates () le 12/12/2003 à 01:57. (lien). Évalué à 4.

          Ca depend de ce que tu appelles corrige.
          
          Il a mis 4 jours pour etre ajoute dans la branche 1.5, ce qui signifie qu'il n'avait pas encore passe la serie de tests finaux(ben oui, tu testes la version que tu release, pas une version privee).
          
          Il a mis 2 mois pour etre ajoute dans la branche 1.4
          
          Personnellement, des fixs non testes, j'appelles pas ca "corrige", mais c'est une question de terminologie qui vient de mon boulot je pense.

          • [^]Re: Puisqu'on parle de navigateurs web...

            Posté par Fabio Parisi (page perso, ) le 12/12/2003 à 02:09. (lien). Évalué à 8.

            Et pour IE ca a été corrigé en combien de temps ?

            • [^]Re: Puisqu'on parle de navigateurs web...

              Posté par pasBill pasGates () le 12/12/2003 à 02:25. (lien). Évalué à 3.

              Aucune idee, je connais pas le numero du bug pour IE(et de toute maniere je doutes que j'aies le droit de le dire).

              • [^]Re: Puisqu'on parle de navigateurs web...

                Posté par jujubinche007 () le 12/12/2003 à 09:03. (lien). Évalué à 7.

                Illustration sympathique.
                merci.

      • [^]Re: Puisqu'on parle de navigateurs web...

        Posté par jmfayard () le 12/12/2003 à 02:39. (lien). Évalué à 3.

        Décidément, j'ai l'impression que tu avais raison de dire que IE est à la pointe de l'innovation et que Mozilla suit loin derrière : http://linuxfr.org/~MSUSA/3063.html(...)
        
        Essayez ceci chez vous, ça va vous rappeler quelquechose :
        <html>
        <head> <title>Mozilla aussi fort qu'IE</title> </head>
        <body> <p>Go to this site to find <a href="http://www.microsoft.com%00@www.securityfocus.com(...)"> security experts</a></p> </body>
        </html>
        
        Bon, c'est pas %01, c'est %00 qu'il faut mettre. Et c'est beaucoup moins grave, ce n'est pas la barre d'URL qui est boguée, mais juste quand on promène la souris au-dessus du curseur.
        
        (provient de bugtraq, testé chez moi avec mozilla 1.6b et firebird 0.6 sous Linux)

        • [^]Re: Puisqu'on parle de navigateurs web...

          Posté par pasBill pasGates () le 12/12/2003 à 03:03. (lien). Évalué à 6.

          Nan, pour celui-la Mozilla a innove d'abord :
          
          http://bugzilla.mozilla.org/show_bug.cgi?id=171274(...)
          
          qui date de fin septembre 2001 et corrige debut fevrier 2002.
          
          Comme quoi IE suit les traces de Mozilla :+)

          • [^]Re: Puisqu'on parle de navigateurs web...

            Posté par allcolor (Jabber id, page perso, ) le 14/12/2003 à 11:27. (lien). Évalué à 1.

            Ben non c'est pas corrigé... en tout cas pas sous mozilla 1.4...
            
            La barre de status affiche 'www.microsoft.com' et pas l'url complète...

            --
            All those moments will be lost in time, like tears in the rain.

        • [^]Re: Puisqu'on parle de navigateurs web...

          Posté par Castor666 () le 12/12/2003 à 08:17. (lien). Évalué à 1.

          Tu as bien mis %00 dans ton exemple, donc le lien transformé par templeet est bien buggé :)

        • [^]Re: Puisqu'on parle de navigateurs web...

          Posté par Christophe Merlet (page perso, ) le 12/12/2003 à 10:03. (lien). Évalué à 1.

          Bon ben on va bien voir qui de MS ou de Mozilla va sortir en premier un correctif...
          
          MS de son coté vient clairement de dire que ce n'était pas un bug qui vaille la peine d'être
          corrigé. Je pense que l'équipe sécurité de Mozilla va au contraire prendre ce problème avec beaucoup plus de sérieux.
          
          http://fr.news.yahoo.com/031212/35/3jr0g.html(...)

        • [^]Re: Puisqu'on parle de navigateurs web...

          Posté par Éric (Jabber id, page perso, ) le 12/12/2003 à 11:26. (lien). Évalué à 3.

          C'est même ridicule d'appeler ça une faille de sécu je trouve. Je rappelle que la barre d'état du navigateur est une zone contrôlée par la page Web. Il peut bien mettre ce qu'il veut par javascript, il n'a pas besoin de faire des liens avec caractères étranges pour ça.
          C'est juste un bug d'affichage.

  • [^]Re: Puisqu'on parle de navigateurs web...

    Posté par Christophe Merlet (page perso, ) le 12/12/2003 à 09:05. (lien). Évalué à 3.

    > Expliques moi clairement du point de vue technique ce que Html For Applications a a voir avec des virus Web, voire meme avec le Web, c'est marrant mais tu ne vas pas y arriver.
    
    C'est marrant, mais quand je cherche sur google "virus hta" j'ai près de 15000 réponses qui pointent sur des listes de diffusions de sécurité. Il n'y aurait donc pas que moi qui fasse cette association d'idées ?
    http://www.google.fr/search?q=virus+hta&ie=UTF-8&oe=UTF-8&a(...)
    
    Tu peux aussi m'expliquer pourquoi ces ".hta" sont sensé fonctionner sous Linux ? Ya un greffon pour Mozilla ? MS compte porter IE sous Linux ? a moins que ce ne soit qu'un délire de journaliste...
    
    Enfin bon ce brevet de MS ne me surprend pas. Aprés avoir demandé des royalties sur l'usage de la FAT, il n'est pas étonnant que MS s'en prennent maintenant à la 2ème chose la plus répandu sous Windows... les virus. Attention les gars, si votre machine est un véritable bouillon de culture, MS est susceptible de vous demander une contribution financière pour violation de propriété intelectuelle. A moins que dans son infini mansuétude, MS ne s'en prennent qu'aux créateurs de virus en leur réclamant $0,25 par exemplaire diffusé. Faut pas déconner , le brevet sur le hta c'est quand même plusieurs années de R&D et des milliards de dollars d'investissements !

    • [^]Re: Puisqu'on parle de navigateurs web...

      Posté par pasBill pasGates () le 12/12/2003 à 19:09. (lien). Évalué à 1.

      Tournes pas autour du pot, reponds a la question.
      
      Qu'est ce que les .hta ont a voir avec des virus Web.
      
      Que tu sortes des aneries autour ne va rien changer a la question.
      
      Le fait que le .hta marche ou pas sous Linux n'est pas non plus la question, personne n'a jamais dit que ca tournerait sans changements sous Linux.

      • [^]Re: Puisqu'on parle de navigateurs web...

        Posté par Jean-Christophe Berthon (page perso, ) le 14/12/2003 à 18:53. (lien). Évalué à 2.

        Bonjour,
        
        Je resterai courtois et direct.
        "Qu'est-ce que les .hta ont à voir avec des virus Web?" Posez-vous comme question.
        Et bien si le lien avec "virus web" vous parait obscure, le lien avec "virus tout court" doit vous paraître flagrant j'espère, non?
        
        Si vous ne voyez toujours pas, pensez à ce fameux format vbs (Visual Basic Scripts) et comme Microsoft se mord encore les doigts de ne pas avoir intégré de niveaux de sécurité avec ce langage! "I Love You" fut le premier virus VBS très médiatisé d'une longue série et ce n'est toujours pas terminé.
        
        Bref un fichier HTA ne sera pas plus dangereux qu'un fichier EXE ou VBS. Mais le bémol se situe si une autre plateforme décide de reconnaître le format HTA, les virus Windows au formt HTA pourront se répandre sur ces autres plateformes!
        
        Voilà, maintenant si tout comme moi, les fichiers exe ou vbs vont directement dans votre poubelle une fois reçu par email, les HTA ne vous dérangeront pas plus que ces 2 autres formats.
        Le danger sera de leur intégration dans des applications du style IE ou Outlook (Express). Si quelqu'un publie sur internet ou joint par email un fichier HTA, sera-t'il considéré comme une simple page web et affiché/exécuté automatiquement? Ou sera-t'il traité comme un exécutable?
        
        
        Amicalement,
        
        Jean-Christophe