Réponse rhétorique impertinente

• [+] [^]Re: Réponse rhétorique impertinente

  Posté par patrick32 () le 21/08/2007 à 08:25. (lien). Évalué à -6.

  Existe-t-il un système qui n'ai jamais été craqué?
  Bon en même temps il faut avoir les moyens de le craquer...

• [^]Re: Réponse rhétorique impertinente

  Posté par tfeserver tfe (page perso, ) le 21/08/2007 à 10:07. (lien). Évalué à 8.

  système diffusé = système avec des virus?
  
  Le lien me parait plutôt rapide.

Faille dans l'ICC...

• [^]Re: Faille dans l'ICC...

  Posté par Julien (page perso, ) le 21/08/2007 à 07:52. (lien). Évalué à 4.

  Enfin un client mail "bien" fait permet de limiter énormément la casse !
  
  Pour ça Outlook Express est/était une calamité, avec sa manie d'ouvrir automatiquement les pièces jointes, la présence d'un serveur SMTP "allumé" sur Windows, ...
  
  De plus, en général les gens sous Linux (et sur Mac dans une moindre mesure) sont globalement "plus" éduqués à l'informatique que les utilisateurs sous Windows, ce qui limite également les failles ICC ;)
  
  Il faudrait distribuer (par les FAI ?) des guides pratiques sur l'utilisation d'un ordinateur, de la messagerie, leur dire qu'un antivirus ça se met à jour, de même que l'OS en lui même (quelque soit l'OS)...

  • [^]Re: Faille dans l'ICC...

    Posté par Émilien Tlapale (page perso, ) le 21/08/2007 à 09:31. (lien). Évalué à 5.

    Il faudrait distribuer (par les FAI ?) des guides ...

    
    et naturellement aucune boîte proprio ne serait intéressé par aider à son financement... Ça deviendrait direct juste une brochure publicitaire de plus avec des « ouh ! les méchants virus ! ils faut à tout prix acheter toutes les mises à jours de AntiVirux+ »...

    • [^]Re: Faille dans l'ICC...

      Posté par Julien (page perso, ) le 21/08/2007 à 10:16. (lien). Évalué à 4.

      C'est la principale limite au truc :-(
      
      Symantec, Microsoft et Universal se feraient un plaisir d'aider ...

  • [^]Re: Faille dans l'ICC...

    Posté par Jérémie JB (page perso, ) le 21/08/2007 à 10:11. (lien). Évalué à 8.

    Il faudrait distribuer (par les FAI ?) des guides pratiques sur l'utilisation d'un ordinateur, de la messagerie, leur dire qu'un antivirus ça se met à jour, de même que l'OS en lui même (quelque soit l'OS)...

    
    Ah bon, faut mettre ses logiciels à jour ?! Moi qui pensais que mon PC ne fonctionnerait plus au bout de quelques mois si je faisais ces conneries... cf. http://www.vivienjancenelle.com/?p=184
    
    Voila, je tenais à partager avec vous ce moment de bonheur. :) (et pour approfondir, il y a TC : http://totalementcretin.apinc.org/blog/2007/08/20/423-devene(...) )

    • [^]Re: Faille dans l'ICC...

      Posté par Xion345 (Jabber id, ) le 21/08/2007 à 12:04. (lien). Évalué à 4.

      Je crois que Vivien Jancenelle mélange un peu tout même si il n'a pas totalement tort !
      
      1. Il n'évoque pas du tout les problèmes de sécurité. Une version obsolète signifie pleins de trous de sécurité.
      2. Il confond allègrement mise à jour majeures et correctifs de trous de sécurité. Un correctif ne demande pas une configuration plus puissante.
      C'est vrai que parfois elles sont confondues, ex : le SP2 de Windows qui effectivement, rassemble ces deux types de mises à jour. Et parfois, les anciennes releases d'un projet ne sont plus supportées ce qui oblige effectivement à changer de version majeure (ex : win 98)
      3. C'est complètement exagéré ! Une mise à jour ne demande pas un nouveau PC tous les 2 ans. Au pire, tu as une consommation de RAM plus importante. Cela me parait bien faible par rapport aux risques encourus...

      • [^]Re: Faille dans l'ICC...

        Posté par Grégory SCHMITT () le 21/08/2007 à 12:26. (lien). Évalué à 5.

        Je crois que Vivien Jancenelle mélange un peu tout même si il n'a pas totalement tort !

        
        
        Regarde un peu le reste du blog de ce type, et son site devenez millionaire, et tu auras quelques idées sur ce type... Jamais rien vu d'aussi accablant. En gros: des rumeurs, avis persos, pas de fond, pas de sources...
        
        Encore une raison pour détester les blogs, c'est que n'importe quel abruti peut y étaler sa science en arrivant à convaincre les autres que ces absurdités totales sont la vérité, une et unique.

        --
        R.I.P Chris Benoit, 1967-2007

        • [^]Re: Faille dans l'ICC...

          Posté par Marc Poiroud (Jabber id, page perso, ) le 21/08/2007 à 14:15. (lien). Évalué à 10.

          J'ai surtout l'impression qu'il a appris par coeur le billet de ploum :
          http://ploum.frimouvy.org/?162-toi-aussi-deviens-un-veritabl(...)
          
          Bon maintenant faudrait peut être lui dire que ploum a écris ça pour rire !

          --
          "Debian est un ancien mot Africain qui signifie "Je m'la pête".

          • [^]Re: Faille dans l'ICC...

            Posté par Jean-Luc Pinardon (page perso, ) le 22/08/2007 à 14:58. (lien). Évalué à 2.

            <défouloir>
            Bon, en même temps faut pas s'étonner ... le gars se dit passionné de finances... et en gros, un expert financier c'est à peu près aussi pire qu'un expert météo :-)
            Sauf que l'expert météo, lui, il sait qu'il peut se tromper ...
            
            Bref, reste à espérer qu'il est meilleur financier qu'informaticien ... :D
            </défouloir>

            --
            Profitez bien de ce jour
            
            J.L.P.

        • [^]Re: Faille dans l'ICC...

          Posté par windu.2b (Jabber id, page perso, ) le 21/08/2007 à 14:26. (lien). Évalué à 10.

          "Encore une raison pour détester les blogs, c'est que n'importe quel abruti peut y étaler sa science en arrivant à convaincre les autres que ces absurdités totales sont la vérité, une et unique."
          J'ai peur de lire un amalgame dans propos...
          Certes, certains blogs sont vraiment à chier (à commencer par les skyblogs)!
          Mais personnellement, je trouve le principe du blog très intéressant: un mec qui met ainsi en avant son travail, ses réflexions, ses idées, ses conseils... Je ne vois pas ce qu'il y a là de détestable.
          
          Il faut juste faire le tri. Personnellement, je lis une bonne vingtaine-trentaine de blogs, dont la plupart de Linux et/ou de logiciels libres (avec en plus ces temps-ci, beaucoup de blogs de développeurs de KDE4).
          
          
          
          
          PS: à noter tout de même que la plate-forme Skyblog a un avantage indéniable: en regroupant au même endroit les pires blogs de la création, elle effectue pour moi un premier tri xD

        • [^]Re: Faille dans l'ICC...

          Posté par Wawet76 (page perso, ) le 21/08/2007 à 15:09. (lien). Évalué à 10.

          « Encore une raison pour détester les blogs, c'est que n'importe quel abruti peut y étaler sa science en arrivant à convaincre les autres que ces absurdités totales sont la vérité, une et unique. »
          
          Bah c'est plutôt une bonne chose que n'importe qui puisse étaler ce qu'il veut.
          
          Si ça passe pour des vérités absolues, pour moi le problème est du côté des lecteurs.

        • [^]Re: Faille dans l'ICC...

          Posté par Guid (page perso, ) le 21/08/2007 à 16:47. (lien). Évalué à 2.

          Regarde un peu le reste du blog de ce type, et son site devenez millionaire, et tu auras quelques idées sur ce type... Jamais rien vu d'aussi accablant. En gros: des rumeurs, avis persos, pas de fond, pas de sources...

          
          
          Ce qui me fait mal moi, c'est le "Passioné de finance" en gros sur sa bannière d'entrée.

    • [^]Re: Faille dans l'ICC...

      Posté par Moogle (page perso, ) le 22/08/2007 à 07:53. (lien). Évalué à 3.

      Il doit sans doute confondre mise à jour et installation de la nouvelle version. Il pense peut-être que Windows Update lui installera Vista.
      
      Sinon, je suis tombé sur ce blog juste avant d'en voir le lien ici, et en effet c'est assez comique (ou navrant, ou scandaleux). Son prochain site sera Quitterlafrance.com. Suivra t-il ses propres conseils ? On peut espérer...

      • [^]Re: Faille dans l'ICC...

        Posté par Raphaël SurcouF (Jabber id, page perso, ) le 22/08/2007 à 11:26. (lien). Évalué à 3.

        Quand des mises à jour de sécurité t'installent IE7 pour pallier les failles d'IE, tu peux te poser des questions.

        • [^]Re: Faille dans l'ICC...

          Posté par Gniarf () le 22/08/2007 à 12:32. (lien). Évalué à 5.

          Quand des mises à jour de sécurité t'installeront Firefox pour pallier les failles d'IE, tu pourras te poser des questions.

          --
          Windows has no users. It has hostages.

  • [^]Re: Faille dans l'ICC...

    Posté par gilgam () le 21/08/2007 à 18:15. (lien). Évalué à 4.

    De plus, en général les gens sous Linux (et sur Mac dans une moindre mesure) sont globalement "plus" éduqués à l'informatique que les utilisateurs sous Windows, ce qui limite également les failles ICC ;)
    
    
    et bien je te rassure sur mac, ils sont généralement plus âgés mais pas tellement plus au fait de la sécurité . mais le système étant ce qu'il est je n'ai et pas mal d'autres personnes , au aucun problème de virus depuis... 5ans sur mac.
    
    Sur linux n'en parlons pas .. 10 ans ?

• [^]Re: Faille dans l'ICC...

  Posté par octane () le 21/08/2007 à 16:51. (lien). Évalué à 3.

  >>"Malgré tout, un virus peut venir par un autre moyen : une pièce jointe à
  >> un courrier par exemple."
  >Ceci est uniquement dû à la célèbre faille de l'ICC[1], qui n'est pas
  > facilement patchable.
  
  Eh non, pas toujours. Un exemple? Outlook express a souffert pendant un temps d'un buffer overflow sur son parseur de date dans les entetes d'email.
  Tu envoies a toto@pasdbol.com un email mal forme, il n'a meme pas besoin d'etre devant sa machine pour se faire pourrir, il suffit qu'OE aille chercher ses mails.
  
  Mais sans vouloir tirer sur l'ambulance, on peut faire une recherche google avec mutt+buffer+overflow...
  
  Et la, l'interface chaise clavier n'y peut pas grand chose...

Faible diffusion... et alors ?

• [^]Re: Faible diffusion... et alors ?

  Posté par flagos () le 21/08/2007 à 05:53. (lien). Évalué à 2.

  Lire "Je ne pense PAS que..." (dsl pour le double post)

• [^]Re: Faible diffusion... et alors ?

  Posté par left () le 21/08/2007 à 06:37. (lien). Évalué à 8.

  Pourtant, quand on sait que les serveurs de fichiers dans les entreprises ne tournent pas sur windows dans pas mal de cas, le gain serait profitable...
  
  Je me trompe certainement dans la terminologie, mais un virus n'a pas forcément besoin de faille système pour exister et se propager, le plus souvent l'utilisateur s'en charge tout seul (en utilisant IE/Outlook/MSN) ! C'est très différent sur une machine de type serveur : il y a beaucoup moins de programmes, et ces derniers étant plus sensibles, ils sont censés etre plus fiables.
  Ce n'est donc évidemment pas impossible, mais socialement plus compliqué.
  Qui plus est, la plupart des virus n'ont pas pour but la récupération de données, mais la transformation du PC en machine relai (pour du spam ou une éventuelle attaque de type DDOS) ou le vol des mots de passe pour les accès internet aux banques. Autant de choses que l'on ne retrouve pas vraiment sur des servuers de fichiers. C'est donc plus facile et plus profitable de s'attaquer aux PC persos.

  • [^]Re: Faible diffusion... et alors ?

    Posté par blobmaster () le 21/08/2007 à 09:20. (lien). Évalué à 2.

    Je suis d'accord avec toi _et_ avec lui.
    
    Avoir piraté un serveur permet de pirater plus facilement les postes perso qui s'y connecte. En général on fait confiance aux serveurs.
    Il faut voir les attaques sur les serveurs comme une première étape vers les postes clients.
    
    Cela dit, l'aspect sociale est aussi important.
    En même temps, quand on pense qu'un certain logiciel de gestion de conf (proprio) oblige à avoir un répertoire en partage total, on se dis qu'il est si simple d'attaquer les clients que... :(

    • [^]Re: Faible diffusion... et alors ?

      Posté par Jean-Luc Pinardon (page perso, ) le 22/08/2007 à 15:26. (lien). Évalué à 5.

      Et la on touche au mystère ...
      Comment des entreprises, pourtant soucieuses de sécurité et d'économie dans tous les coins, continuent-elle à faire tourner des serveurs de-ce-logiciel-de-gestion-de-conf-proprio sur des serveurs Win$ ?
      Je fus auparavant ds un environnement Unix/Ce-logiciel-gconf ...
      Je suis aujourd'hui ds un environnement Win$/Ce-logiciel,...
      Dans les deux cas, ce sont de grandes entreprises multinationales.
      
      Eh bien je suis effaré par la quantité de pb que les admins rencontrent, le nombre de fois où il faut arrêter/redémarrer les serveurs, sans parler de la pauvreté des outils d'admin à disposition.
      Souvent à la question "pourquoi on peut pas faire ça ... la réponse est "ben là, on es sous Win$, pas sous Unix/Linux.
      
      Et il faut ajouter à ça l'armada d'outils qu'il faut ajouter (antivirus, défrag ...), avec en plus tous les pb d'incompatibilité entre les versions des uns et des autres.
      Par ex. Il suffit d'installer la dernière version d'un antivirus proprio bien connu pour avoir (aléatoirement, sinon c'est pas drôle) un écran bleu sur les postes clients avec certaines version de l'appli de g conf.
      
      Bref, tout ça a un coût non négligeable. Et pas seulement en logiciels !
      Aucun OS n'est exempt de problème, il n'y a rien de paradisiaque, mais là franchement, le choix de Win$ comme serveur applicatif ou serveur de fichiers paraît totalement irrationnel (les experts en gconf comprendront le jeu de mot caché ;-) !

      --
      Profitez bien de ce jour
      
      J.L.P.

c' est l' été

• [^]Re: c' est l' été

  Posté par Bactisme (page perso, ) le 21/08/2007 à 07:41. (lien). Évalué à 6.

  ... et si les daemons dans leurs chroot et le noyaux sans faille connue ...
  
  (OpenBsd quoi ... :P )

  • [^]Re: c' est l' été

    Posté par Raphaël SurcouF (Jabber id, page perso, ) le 21/08/2007 à 14:19. (lien). Évalué à 4.

    Avec ou sans OpenSSH ? ;-)

  • [^]Re: c' est l' été

    Posté par bubar () le 21/08/2007 à 15:51. (lien). Évalué à 2.

    et pas de chargement de modules possibles... tout en dur ou rien...

    • [^]Re: c' est l' été

      Posté par Julien (Jabber id, page perso, ) le 22/08/2007 à 12:50. (lien). Évalué à 1.

      Y a pas de modules chez openbsd de toute façon.

• [^]Re: c' est l' été

  Posté par Maillequeule () le 22/08/2007 à 07:20. (lien). Évalué à 4.

  Parce que la suppression de l'ensemble du HOME de l'utilisateur ça n'est pas un problème suffisant ? Le lancement d'un démon pour servir à un botnet non plus ?
  
  Il faut arréter de juste penser O.S, les virus ne sont plus de "simples" destructeurs de système depuis bien longtemps, et on peut faire des dégâts même sur un port non privilégié, y compris aux machines voisines sur un réseau local.
  
  Dormez braves gens ...

• [^]Re: c' est l' été

  Posté par Moonz () le 22/08/2007 à 08:38. (lien). Évalué à 4.

  À mon avis, la meilleure protection, c'est imposer que pour l'utilisateur les permissions éxecutable et writable soient mutuellement exclusives (sauf pour les dossiers, bien sur :p)
  Ya moyen de faire ça avec SELinux ?
  Après, il faut que les interpréteurs (python...) jouent le jeu...

mouais

• [^]Re: mouais

  Posté par Thomas Douillard () le 21/08/2007 à 09:23. (lien). Évalué à 10.

  Elle dit pas du tout ça cette dépêche, elle dit "il y a un Hors Série Linux mag sur les virus."

  • [^]Re: mouais

    Posté par Tramo Piere () le 21/08/2007 à 12:19. (lien). Évalué à 3.

    C'est bien ce que je lui reproche: une publicité propageant une affirmation sans fondement (quantité de virus liés à la popularité du système d'exploitation).

    • [^]Re: mouais

      Posté par atlexx () le 28/08/2007 à 09:51. (lien). Évalué à 2.

      la corellation statistique est peut être un peu rapide, mais elle existe.

• [^]Re: mouais

  Posté par pasBill pasGates () le 21/08/2007 à 22:02. (lien). Évalué à 3.

  Les librairies de base les plus communes dans la majorité des distributions Linux sont le plus souvent exemptes de ces types de bugs (libc ..), même dans le cas de programmes utilisant des languages facilement exploitables (utilisation de la Glib). Et la diversité des versions (évolution rapide du développement libre) limite fortement l'éventuelle utilisation des ces bugs.
  
  Oh mais je te rassures c'est la meme chose sur a peu pres toutes les plateformes, principalement parce que ces libs de base donnent uniquement des fonctionnalites de base assez faciles a implementer (strcpy, memcmp, ...)
  
  Les failles elles sont le plus souvent dans le soft lui-meme ou dans des libs au code assez complexe (zlib par exemple).
  
  La diversite des versions c'est de moins en moins le cas, Ubuntu sur le desktop, Redhat sur le serveur sont les gros elephants, et plus Linux se repand sur le desktop plus ce sera pousse, car on sait tous que les gens installent ce que leurs voisins/copains leur recommande(comme Windows).
  
  L'évolution des applications open-source se dirige aussi vers l'emploi de nouveaux languages qui permettent de limiter tant les problèmes classiques (buffer overflow) que de réduire la quantité de code (exemples de vala, de qt jambi ou de gtk sharp).
  
  Tout comme Windows, mais on est encore tres tres tres tres tres loin d'avoir des systemes ou le code est en majorite protege contre ces problemes.
  
  En somme, la diversité des applications ainsi que la qualité des programmes et des librairies sous Linux limitent non seulement la propagation d'éventuels virus mais aussi l'apparition de ceux-ci (la popularité du système a donc peu à voir).
  
  Oh que non, suffit de passer sur securityfocus.com chaque jour pour se rendre compte que Linux n'est pas plus protege que les autres.

  • [^]Re: mouais

    Posté par Frédéric Lopez () le 22/08/2007 à 02:46. (lien). Évalué à 2.

    Oh que non, suffit de passer sur securityfocus.com chaque jour pour se rendre compte que Linux n'est pas plus protege que les autres.

    
    Pas plus protégé en termes de failles, mais certainement plus protégé en termes d'exploits. Il suffit de connaître des utilisateurs MS Windows et Linux pour s'en rendre compte.
    
    C'est clair que vu la diversité des systèmes et des applications, l'utilisation massive des librairies partagées et la rapidité des corrections ainsi que l'utilisation généralisée de comptes sans privilèges pour les tâches courantes, je vois vraiment pas par où je pourrais commencer si je voulais écrire du code malveillant ciblant des desktops Linux.

    • [^]Re: mouais

      Posté par pasBill pasGates () le 22/08/2007 à 05:41. (lien). Évalué à 3.

      Pas plus protégé en termes de failles, mais certainement plus protégé en termes d'exploits. Il suffit de connaître des utilisateurs MS Windows et Linux pour s'en rendre compte.
      
      En terme d'exploits non, en terme d'exploitation de masse il est ignore parce qu'il n'est pas repandu du tout, il est pas protege pour autant intrinsequement.
      
      C'est clair que vu la diversité des systèmes et des applications, l'utilisation massive des librairies partagées et la rapidité des corrections ainsi que l'utilisation généralisée de comptes sans privilèges pour les tâches courantes, je vois vraiment pas par où je pourrais commencer si je voulais écrire du code malveillant ciblant des desktops Linux.
      
      A) Les comptes proteges ne changent rien du tout, si tu es sous Evolution dans ton compte sans privilege et qu'un virus passe a travers, t'as beau etre sans privileges, le virus s'installera dans ton compte et se mailera lui-meme grace a ton address book.
      B) La diversite n'est en plus vraiment une, Ubuntu fait un malheur, Redhat de meme sur les serveurs, Mandriva tend a disparaitre gentiment, Debian c'est pour les geeks qui aiment uniquement.
      C) Les libs partagees c'est idem partout, ca n'y change rien.
      
      Si tu voulais ecrire du code malveillant pour desktops Linux aujourd'hui c'est simple, tu le ferais pas parce que la cible est trop petite et trop elitiste pour etre interessante(nbre de neuneus sans patchs qui lancent des trucs qu'il faut pas est tres faible).
      Si demain Linux a 20% de parts de marche desktop, ca deviendra tout de suite bcp bcp plus interessant par contre, parce que ca voudra probablement dire que 10-15% du marche au moins est Ubuntu, ca te fera 1 cible, tout comme avec Windows.

      • [^]Re: mouais

        Posté par Tramo Piere () le 22/08/2007 à 06:55. (lien). Évalué à 1.

        Pour le point A: encore faut-il avoir un exploit
        
        Pour le point B: justement, si la diversité se réduit, pourquoi ne voit-on pas apparaître plus de virus ?
        
        Pour le point C: en fait, non, les librairies partagées ce n'est pas idem partout, rien que pour l'incompatibilité entre les versions, les compilateurs, et l'utilisation de protections automatiques à la compilation telles que noexec
        
        
        La plupart des problèmes viennent en fait de problèmes de conception qui permettent l'exécution automatique de code:
        
        http://www.mozilla.org/security/shell.html
        http://en.wikipedia.org/wiki/Windows_Metafile_vulnerability
        http://www.f-secure.com/weblog/archives/archive-012006.html#(...)
        http://www.windowsitpro.com/Articles/ArticleID/40090/40090.h(...)
        
        Ces problèmes de conception sont absents des programmes et des bibliothèques open-source, excepté pour le cas d'OpenOffice.org (macros). Il y a bien une protection intrinsèque à utiliser Linux et autres systèmes libres.

        • [^]Re: mouais

          Posté par pasBill pasGates () le 22/08/2007 à 20:13. (lien). Évalué à 3.

          A) Idem sous Windows, c'est pas vraiment un probleme d'habitude
          B) Parce que Linux c'est toujours une part infinitesimale du marche
          C) Une fois la consolidation faite, ca sera le meme compilo, a peu pres les memes versions, ... et noexec il est sympa mais sur un systeme desktop grand public j'ai hate de voir
          
          http://www.mozilla.org/security/shell.html
          
          Ca c'est un bug dans Mozilla mon cher, ce sont eux qui ont corrige leur code, le probleme n'est pas dans Windows.
          
          http://en.wikipedia.org/wiki/Windows_Metafile_vulnerability
          http://www.f-secure.com/weblog/archives/archive-012006.html#(...)
          
          C'est un bug comme un autre dans du code, j'ai du mal a voir en quoi ca remet en cause le design du systeme
          
          http://www.windowsitpro.com/Articles/ArticleID/40090/40090.h(...)
          
          Super, et OpenOffice a la meme chose : http://www.securityfocus.com/bid/18738
          
          Ces problèmes de conception sont absents des programmes et des bibliothèques open-source, excepté pour le cas d'OpenOffice.org (macros). Il y a bien une protection intrinsèque à utiliser Linux et autres systèmes libres.
          
          Quedalle, la 1ere est dans Mozilla, la derniere a des equivalents dans OpenOffice, reste celle de WMF qui est un format d'image, et dieu sait combien de failles ont ete trouvees dans libjpg, zlib, ... qui sont utilisees par les differents viewers sous Linux

          • [^]Re: mouais

            Posté par Guillaume Caron (Jabber id, ) le 23/08/2007 à 13:35. (lien). Évalué à 2.

            Pour la B), faudrait savoir : tu dis que Red Hat fait un malheur sur les serveurs, et maintenant que Linux a une part infinitésimale ?

            --
            La seule chose qui arrive à la cheville de Chuck Norris... c'est sa chaussette.

            • [^]Re: mouais

              Posté par pasBill pasGates () le 23/08/2007 à 13:52. (lien). Évalué à 2.

              Les serveurs ce n'est pas vraiment une bonne cible pour des virus:
              
              - d'habitude patchees et a jour
              - rarement des problemes d'interface chaise clavier
              - pas de softs inutiles venant d'on ne sait ou installes

              • [^]Re: mouais

                Posté par Raphaël SurcouF (Jabber id, page perso, ) le 23/08/2007 à 14:07. (lien). Évalué à 7.

                Alors comment expliques-tu que Slapper[1] (W32/SQLSlam-A)ait fait autant de dégâts en 2003 ?
                - Les serveurs n'étaient pas patchés, ni à jour (malgré la disponibilité du patch par Microsoft) ;
                - Les administrateurs n'ont pas réalisés ces mises à jour pour des raisons qui leur appartiennent ;
                - Aucun logiciel venant d'on ne sait où, juste MS-SQL Server.
                
                Et pourtant, ce n'était pas faute d'avoir eu un précédent avec Spida[2]...
                Une première explication peut sans doute venir du fait qu'il faille installer tout un Service Pack, le SP3 pour corriger la faille.
                
                [1]: http://www.oreillynet.com/onlamp/blog/2003/01/ms_sql_worm_ma(...)
                http://www.certa.ssi.gouv.fr/site/CERTA-2002-AVI-157/index.h(...)
                [2]: http://www.certa.ssi.gouv.fr/site/CERTA-2002-ALE-006/

                • [^]Re: mouais

                  Posté par pasBill pasGates () le 23/08/2007 à 23:23. (lien). Évalué à 3.

                  Alors comment expliques-tu que Slapper[1] (W32/SQLSlam-A)ait fait autant de dégâts en 2003 ?
                  
                  J'imagines que tu parles de Slammer, Slapper c'est le ver pour OpenSSL.
                  
                  Il n'y avait pas d'auto-update pour SQL Server a l'epoque, auto-update fut un des enseignements : les gens ne s'interessent pas a la securite et ne se renseignent pas, il faut leur amener l'information et rendre l'installation la plus simple possible, c'est maintenant fait.
                  
                  Une première explication peut sans doute venir du fait qu'il faille installer tout un Service Pack, le SP3 pour corriger la faille.
                  
                  
                  Meme pas, le patch etait la : http://www.microsoft.com/technet/security/bulletin/MS02-039.(...) , pas besoin de service pack.

          • [^]Re: mouais

            Posté par Tramo Piere () le 23/08/2007 à 14:47. (lien). Évalué à 4.

            A) Idem sous Windows, c'est pas vraiment un probleme d'habitude
            
            Et bien non, justement, le bogue de Mozilla montre justemement qu'un programme écrit de façon portable présente plus de problèmes de sécurité (shell windows) sous Windows que sur les autres systèmes.
            
            B) Parce que Linux c'est toujours une part infinitesimale du marche
            
            Tu peux quantifier peut-être ?
            
            C) Une fois la consolidation faite, ca sera le meme compilo, a peu pres les memes versions, ... et noexec il est sympa mais sur un systeme desktop grand public j'ai hate de voir
            
            Genre AppArmor ? Ensuite le fait d'avoir à peu près le même compilateur ne garantit pas d'avoir le même code machine et d'obtenir des exploits portables.
            
            Pour en revenir aux exemples que j'ai donné, le problème de sécurité de Mozilla démontre de façon claire qu'un programme ayant pour but la portabilité présentera des problèmes plus importants sur Windows que sur Linux (et autres systèmes de type Unix).
            
            L'exploit des wmf provient de fonctionnalités antiques de windows permettant entre autre d'installer des programmes. En pratique, les programmes sont fait pour éviter l'exécution de code arbitraire, et le vieux code sous Linux disparaît très rapidement, par exemple les librairies Qt3-compat ont pratiquement disparu de la version beta de Kde4.
            
            Enfin, le cas d'OpenOffice.org est un petit peu spécial, car il s'agit d'un programme proprio conçu pour windows qui a été porté puis libéré, et qui évolue relativement lentement - une exception vis à vis des programmes et librairies du monde open-source.
            
            Je pense donc qu'il convient de s'intéresser de plus près aux arguments techniques avant de se prononcer de façon aussi catégorique. Sans cela, l'argumentaire est très similaire à "il y a plein de gens de couleur en prison, les gens de couleurs sont donc des criminels" ou bien "l'ulcère y'a plein de gens stressés qui en ont, donc ça vient du stress"

            • [^]Re: mouais

              Posté par pasBill pasGates () le 23/08/2007 à 23:17. (lien). Évalué à 1.

              Et bien non, justement, le bogue de Mozilla montre justemement qu'un programme écrit de façon portable présente plus de problèmes de sécurité (shell windows) sous Windows que sur les autres systèmes.
              
              http://secunia.com/advisories/16846/
              
              "This vulnerability can only be exploited on Unix / Linux based environments."
              
              Ah ben faut croire qu'il y a un probleme de design dans Unix mon cher... Et pourtant non, mais plutot qu'analyser le probleme tu preferes ne rien en savoir et faire des jugements a l'emporte piece.
              
              Tu peux quantifier peut-être ?
              
              Certainement moins de 5% du marche desktop
              
              Genre AppArmor ? Ensuite le fait d'avoir à peu près le même compilateur ne garantit pas d'avoir le même code machine et d'obtenir des exploits portables.
              
              Windows 2000, XP, 2003 et Vista n'utilisent pas la meme version de compilo et il y a qqe differences dans les options, mais le code genere est tellement proche de toute facon que ca n'interfere que peu. C'est vraiment pas un probleme.
              
              Quand a AppArmor, j'attends toujours de le voir sur un systeme desktop sans hurlements de la part des utilisateurs.
              
              Pour en revenir aux exemples que j'ai donné, le problème de sécurité de Mozilla démontre de façon claire qu'un programme ayant pour but la portabilité présentera des problèmes plus importants sur Windows que sur Linux (et autres systèmes de type Unix).
              
              Non tu n'as rien montre du tout, tu as pris un exemple, sans comprendre le probleme, affirme que le probleme etait du a Windows et tu essaies de faire croire que tu as demontre qqe chose.
              Je t'ai donne plus haut un exemple qui montre _exactement l'inverse_, un bug dans Mozilla qui ne se produit que sur des Unix et qui met ta soi-disant demonstration au placard.
              
              L'exploit des wmf provient de fonctionnalités antiques de windows permettant entre autre d'installer des programmes. En pratique, les programmes sont fait pour éviter l'exécution de code arbitraire, et le vieux code sous Linux disparaît très rapidement, par exemple les librairies Qt3-compat ont pratiquement disparu de la version beta de Kde4.
              
              Ca aussi c'est des conneries, du code antique dans Linux il y en a a la pelle comme dans les autres OS, personne ne s'amuse a reecrire le code just pour s'amuser. Prendre un exemple et extrapoler au systeme entier c'est pas une demonstration.
              
              Enfin, le cas d'OpenOffice.org est un petit peu spécial, car il s'agit d'un programme proprio conçu pour windows qui a été porté puis libéré, et qui évolue relativement lentement - une exception vis à vis des programmes et librairies du monde open-source.
              
              Bah oui hein, le fait qu'il ait existe sous Windows explique tout n'est ce pas ? C'est si difficile que ca de te rendre a l'evidence ?
              OO c'est un des softs phares du LL, qui evolue bien plus vite que le reste car il y a bcp plus de ressources injectees que la plupart des autres softs du monde libre(tout comme Firefox), dire le contraire c'est se voiler la face.

              • [^]Re: mouais

                Posté par Tramo Piere () le 24/08/2007 à 11:15. (lien). Évalué à 2.

                faut croire qu'il y a un probleme de design dans Unix mon cher
                
                L'exemple parlait du shell win32 qui a affecté à la fois IE et Firefox. On retrouve une tonne d'exemples liés uniquement aux librairies de windows tels que les curseurs .ani, les fichiers .wmf, le problème de shell win32, les macros office, qui dénotent un problème de design, c'est à dire l'exécution de code arbitraire beaucoup trop facile. Heureusement, cela commence à changer avec Vista.
                
                - moins de 5% du marche desktop
                
                On devrait donc s'attendre à voir 5% du nombre de virus de la plateforme la plus populaire ?
                
                - Windows 2000, XP, 2003 et Vista n'utilisent pas la meme version de compilo et il y a qqe differences dans les options
                
                On parlait de gcc et des distributions Linux là. Windows utilise un compilateur et des technologies de protections analogues, mais bien différentes.
                
                - Quand a AppArmor, j'attends toujours de le voir sur un systeme desktop sans hurlements de la part des utilisateurs.
                
                Tu as quoi à lui reprocher exactement ? Tu voulais un exemple, le voilà.
                
                - du code antique dans Linux il y en a a la pelle comme dans les autres OS
                
                Pas vraiment, car Linux n'a pas les mêmes impératifs de compatibilité que windows (16 bit, etc). Les apis changent et les appels systèmes aussi. C'est bien ce que l'exemple de la librairie wmf a montré.
                
                - le fait qu'il ait existe sous Windows explique tout n'est ce pas ?
                
                En grande partie oui, lorsque l'on voit à quel point OpenOffice.org s'est inspiré du design de ms-office (macros, etc). OpenOffice.org est aussi un des logiciels qui exporte sa propre librairie plutôt que d'utiliser les standards sous Linux (gtk, Qt, motif), il suffit de voir la taille du fichier d'installation pour Windows et pour Linux (~ 70 vs 100Mb)

                • [^]Re: mouais

                  Posté par pasBill pasGates () le 24/08/2007 à 15:47. (lien). Évalué à 1.

                  L'exemple parlait du shell win32 qui a affecté à la fois IE et Firefox. On retrouve une tonne d'exemples liés uniquement aux librairies de windows tels que les curseurs .ani, les fichiers .wmf, le problème de shell win32, les macros office, qui dénotent un problème de design
                  
                  Et tu fais quoi des exemples qui sont Unix only ? Tu les oublies ?
                  
                  On devrait donc s'attendre à voir 5% du nombre de virus de la plateforme la plus populaire ?
                  
                  Justement non, car personne ne va faire l'effort pour 5% quand il peut faire le meme effort et atteindre 90% du marche
                  
                  On parlait de gcc et des distributions Linux là. Windows utilise un compilateur et des technologies de protections analogues, mais bien différentes.
                  
                  Ah ben tu vas pouvoir m'expliquer la difference alors...
                  
                  Tu as quoi à lui reprocher exactement ? Tu voulais un exemple, le voilà.
                  
                  Il rend l'utilisation d'un desktop assez lourde car il doit etre configure pour chaque soft et creer la bonne config pour chaque soft sans qu'il soit trop limitatif c'est hyper lourd.
                  
                  Pas vraiment, car Linux n'a pas les mêmes impératifs de compatibilité que windows (16 bit, etc). Les apis changent et les appels systèmes aussi. C'est bien ce que l'exemple de la librairie wmf a montré.
                  
                  Ben dis moi donc quand est-ce que zlib a ete completement recodee pour la derniere fois ? Parce qu'il y en a eu plusieurs des failles dans cette lib.
                  Ah oui, jamais.
                  libpng ? Idem
                  
                  Non vraiment, tu ne sais pas de quoi tu parles, tu prends de rares exemples et tu en fais des generalites.
                  
                  En grande partie oui, lorsque l'on voit à quel point OpenOffice.org s'est inspiré du design de ms-office (macros, etc). OpenOffice.org est aussi un des logiciels qui exporte sa propre librairie plutôt que d'utiliser les standards sous Linux (gtk, Qt, motif), il suffit de voir la taille du fichier d'installation pour Windows et pour Linux (~ 70 vs 100Mb)
                  
                  Ben oui c'est connu, suffit d'ecrire un soft SOUS windows pour qu'il soit automatiquement mauvais, c'est inne a la plateforme.
                  
                  Serieusement, t'as deja entendu parler des failles qu'il y avait dans bind, wu_ftpd et sendmail ? Parce que c'etait des softs Unix uniquement la, et ils etaient troues comme pas possible.
                  
                  Faudrait penser a t'informer sur le sujet mon cher, visiblement tu extrapoles beaucoup, et dans la mauvaise direction.

                  • [^]Re: mouais

                    Posté par Tramo Piere () le 25/08/2007 à 00:21. (lien). Évalué à 3.

                    - Justement non, car personne ne va faire l'effort pour 5% quand il peut faire le meme effort et atteindre 90% du marche
                    
                    C'est une affirmation gratuite, et voici exactement l' exemple du contraire:
                    http://linuxfr.org/comments/861012.html#861012
                    
                    - suffit d'ecrire un soft SOUS windows pour qu'il soit automatiquement mauvais, c'est inne a la plateforme
                    
                    Il suffit de copier un mauvais design pour effectivement hériter des mêmes problèmes. Dans ce cas il s'agit de la facilité à lancer du code venant de sources inconnues, et sans suffisamment de validation.
                    
                    - t'as deja entendu parler des failles qu'il y avait dans bind, wu_ftpd et sendmail
                    
                    On parlait des applications du desktop, pas des serveurs.

                    • [^]Re: mouais

                      Posté par pasBill pasGates () le 25/08/2007 à 11:36. (lien). Évalué à 1.

                      C'est une affirmation gratuite, et voici exactement l' exemple du contraire:
                      http://linuxfr.org/comments/861012.html#861012
                      
                      Hahaha
                      
                      Tu compares une situation 90-5 a une situation 50-30, tu te moques de qui la ?
                      
                      Il suffit de copier un mauvais design pour effectivement hériter des mêmes problèmes. Dans ce cas il s'agit de la facilité à lancer du code venant de sources inconnues, et sans suffisamment de validation.
                      
                      Le gros probleme c'est que tu n'as encore rien montre du tout vis-a-vis du soi-disant mauvais design, tous tes exemples ont des equivalents sous Unix comme je l'ai montre.
                      
                      On parlait des applications du desktop, pas des serveurs.
                      
                      Non, tu parlais du fait que les app sous Windows sont d'habitudes moins bien foutues que sous Unix, et ces softs sont un exemple clair et net que les softs mal foutus il y en a partout.

      • [^]Re: mouais

        Posté par SOULfly_B (Jabber id, page perso, ) le 22/08/2007 à 08:46. (lien). Évalué à 2.

        B) La diversité, c'est aussi celle des logiciels utilisés.
        Il n'y a pas sous Linux un seul client mail que tout le monde ou presque utilise (outlook) : kontact, evolution, thunderbird, ...
        Si tu veux toucher beaucoup de monde, il faut faire un virus qui marche au moins pour ces trois applis. Et quand bien même Linux aurait un jour 30% de PdM, ça fera toujours bcp plus de boulot que faire un virus Outlook.

        • [^]Re: mouais

          Posté par windu.2b (Jabber id, page perso, ) le 22/08/2007 à 09:04. (lien). Évalué à 4.

          Si le virus est dans une pièce jointe, peu importe le client mail...
          
          Par contre, il me semble (à confirmer, svp) que les pièces jointes sont sauvegardés sur le disque (lors de l'enregistrement) sans droit d'exécution. Du coup, ça limite fortement...
          
          Mais bon, il reste toujours le problème récurrent de l'Interface Chaise-Clavier

        • [^]Re: mouais

          Posté par Sylvain Briole (page perso, ) le 22/08/2007 à 11:18. (lien). Évalué à 2.

          Si tu veux toucher beaucoup de monde, il faut faire un virus qui marche au moins pour ces trois applis.
          
          Ou faire un virus pour une librairie commune à ces trois applis (e.g.: zlib, ...).

      • [^]Re: mouais

        Posté par Frédéric Lopez () le 22/08/2007 à 12:58. (lien). Évalué à 5.

        B) La diversite n'est en plus vraiment une, Ubuntu fait un malheur, Redhat de meme sur les serveurs, Mandriva tend a disparaitre gentiment, Debian c'est pour les geeks qui aiment uniquement.

        
        C'est loin d'être évident ce que tu dis si on considère les visites sur les sites respectifs des distributions¹ :
        ubuntu.com 29,12%
        redhat.com 28,13%
        debian.org 25,63%
        fedoraproject.org 11,87%
        opensuse.org 5,26%
        Debian s'en sort plutôt bien sinon, les geeks te remercient :)
        
        ¹ http://siteanalytics.compete.com/ubuntu.com%2Bredhat.com%2Bd(...)
        NB : faut être enregistré pour voir les cinq courbes, sinon on ne voit que les trois premières.
        NB2 : si t'as mieux pour évaluer les parts de marchés respectives des distribs Linux, je suis preneur.
        
        

        Si demain Linux a 20% de parts de marche desktop, ca deviendra tout de suite bcp bcp plus interessant par contre, parce que ca voudra probablement dire que 10-15% du marche au moins est Ubuntu, ca te fera 1 cible, tout comme avec Windows.

        
        Ça voudrait dire que Ubuntu tient entre 50% et 75% du marché desktop Linux, c'est complètement irréaliste vu les chiffres actuels. Enfin, Mark Shuttleworth sera heureux de l'apprendre en tout cas :)
        
        Sans compter qu'il faut aussi choisir la version d'Ubuntu à laquelle s'attaquer, avec une sortie tous les six mois, ça réduit encore la marge.
        
        Après il faut trouver l'appli la plus utilisée, sachant qu'il n'y a pas là non plus de monoculture, ça devient extrêmement compliqué.

        • [^]Re: mouais

          Posté par pasBill pasGates () le 22/08/2007 à 16:39. (lien). Évalué à 2.

          C'est loin d'être évident ce que tu dis si on considère les visites sur les sites respectifs des distributions¹ :
          
          Au jour d'aujourd'hui oui c'est normal, car le monde Linux c'est principalement des geeks qui essaient differentes distribs, ...
          
          Mais le truc dans le monde du soft, c'est qu'il y a consolidation, et c'est d'ailleurs une condition sine qua non pour que Linux se repande sur le desktop, car les editeurs ne vont pas s'amuser a supporter 10 distribs differentes.
          
          Ça voudrait dire que Ubuntu tient entre 50% et 75% du marché desktop Linux, c'est complètement irréaliste vu les chiffres actuels. Enfin, Mark Shuttleworth sera heureux de l'apprendre en tout cas :)
          
          C'est probablement ce qui va se passer, ce sera peut-etre pas Ubuntu qui sait, mais il va y avoir consolidation et un gros acteur va emerger. Sans consolidation, le resultat sera une fragmentation, et on sait ce que cela a donne pour les Unix.
          
          Sans compter qu'il faut aussi choisir la version d'Ubuntu à laquelle s'attaquer, avec une sortie tous les six mois, ça réduit encore la marge.
          
          Ca c'est un detail, Windows il y a 2000, XP, 2003, Vista et les differents niveaux de patch/service pack, ca semble pas les gener.
          
          Après il faut trouver l'appli la plus utilisée, sachant qu'il n'y a pas là non plus de monoculture, ça devient extrêmement compliqué.
          
          La aussi il va y avoir consolidation, les gens utilisent ce que leurs voisins utilisent le plus souvent.
          
          Des browsers bases sur le moteur d'IE il y en a des dizaines, qui proposaient souvent des trucs genre pop-up blocker, tabs, ... avant IE, quasiment tout le monde utilise uniquement IE pourtant, il se passera la meme chose avec Ubuntu ou la distrib qui prendra le marche.

Idée reçue à combattre

• [^]Re: Idée reçue à combattre

  Posté par Yth (Jabber id, ) le 21/08/2007 à 10:10. (lien). Évalué à 6.

  Et c'est pour ça qu'on peut clairement avancer comme argument pro-logiciels libres, et GNU/Linux (ou mieux *BSD) en particulier, que ces problèmes de virus et d'anti-spyware, de firewalls, et autres bousins qui plombent ta machine en te donnant l'impression que tu te protèges du monde extérieur hostile, n'existent pas dans les systèmes libres.
  
  Et c'est, mine de rien, un argument qui a un impact non négligeable !
  Par honnêteté intellectuelle il convient de tempérer en disant que rien n'est jamais sûr à 100%.
  
  Mais franchement, en 8 ans, un paquet de machines, j'ai eu un problème une seule fois : j'avais laissé un compte www/www sur le routeur, avec le ssh grand ouvert sur le port par défaut, au bout d'un an un script kiddie est passé par là.
  Ya pas eu de mal, la machine étant un 486, 16Mo de RAM, elle s'est trouvée à genoux dès que le débile a lancé ses bidules, qui pompaient trop de ressources, mais ça c'est un coup de bol...
  
  
  Yth.

  • [^]Re: Idée reçue à combattre

    Posté par zero heure (Jabber id, page perso, ) le 21/08/2007 à 11:34. (lien). Évalué à 10.

    la machine étant un 486, 16Mo de RAM, elle s'est trouvée à genoux dès que le débile a lancé ses bidules

    
    pas mal comme méthode de lutte: utiliser un vieux bousin qui va forcément planter... simple, bon détecteur d'ados en mal de puissance, peu couteux, tout pour plaire...

    --
    J'ai vu bien des choses dans ma petite vie, et je mesure amèrement l'impuissance à les dire. (JP Rosnay, Le 13ème apôtre) http://www.poesie.net/apotre2.htm

    • [^]Re: Idée reçue à combattre

      Posté par Yth (Jabber id, ) le 21/08/2007 à 16:02. (lien). Évalué à 3.

      Actuellement j'ai dû virer le 486, je l'ai remplacé par un ARM : plus puissant, largement plus petit, complètement silencieux, consomme *beaucoup* moins (même si déjà le 486 c'était peu de choses à côté d'une machine récente, faudrait que je mesure, je l'ai encore).
      
      Et ça a d'autres effets de bords amusants, comme : les binaires pour passer root ne marchent pas, forcément ils sont pour x86. Par contre il doit être assez puissant pour faire tourner des saloperies. Et si le script kiddie compile sur place ses merdouilles, ça va passer... Mais j'ai arrangé la sécurité de ssh : j'ai omis d'ouvrir la porte avec néon « Free cracking here ! » du www/www :p
      
      
      Ah, si j'ai viré le 486, c'est parce que les cartes réseau ISA ne suffisent plus pour gérer une connexion ADSL2 dégroupée totalement... Enfin, si, ça suffit quand on est à 4km du DSLAM...
      
      
      Yth.

      • [^]Re: Idée reçue à combattre

        Posté par Nicolas Boulay () le 22/08/2007 à 19:37. (lien). Évalué à 2.

        tu laisses un compilo sur ton serveur ?!

        • [^]Re: Idée reçue à combattre

          Posté par Yth (Jabber id, ) le 22/08/2007 à 23:56. (lien). Évalué à 2.

          Sur l'ARM ouaip, par flemme de faire une chaîne de compilation ARM sur ma machine.
          C'est plus simple de compiler sur la machine cible ce qui tournera dessus...
          
          Mais bon, l'ARM je débute aussi, ça fait pas six mois que je l'utilise, et j'ai pas eu assez de temps pour bien m'amuser avec !
          
          En fait, je devrais faire les paquets, et autres compilations, dans un ARM virtuel via qemu. Je sais...
          
          
          Yth.

      • [+] [^]Re: Idée reçue à combattre

        Posté par Nicolas Boulay () le 22/08/2007 à 19:51. (lien). Évalué à -4.

        tu laisses un compilo sur ton serveur ?!

• [^]Re: Idée reçue à combattre

  Posté par Aldoo (Jabber id, ) le 21/08/2007 à 13:31. (lien). Évalué à 2.

  Il faut voir aussi ce qui a été dit plus haut : sur les serveur web et serveurs de BD on ne peut pas exploiter les failles de l'ICC, puisque celle-ci n'est quasiment jamais active.
  
  Pour les stations de travail, le problème sera donc très différent, et il n'est pas évident que si Linux devenait aussi répandu que Windows sur le desktop, celui-ci resterait tout aussi protégé, puisqu'il fonctionnerait du coup avec des ICC de moins bonne qualité en moyenne.
  Ensuite, il est possible que Linux favorise de bons comportements de l'ICC, mais il me semble dangereux de vouloir généraliser, étant donné le grand choix de logiciels de qualité variable et de distribs sur cette plateforme (même si justement la diversité rend les failles moins intéressantes à exploiter).

• [^]Re: Idée reçue à combattre

  Posté par Raphaël SurcouF (Jabber id, page perso, ) le 21/08/2007 à 16:28. (lien). Évalué à 1.

  À travers les serveurs web, on attaque souvent les sites web eux-mêmes et on compte de nombreux sites défacés (dans le meilleur des cas) alors qu'ils tournent sous LAMP.
  Que ce soit un serveur avec des logiciels libres, c'est bien mais ça ne veut pas dire que l'administrateur en herbe n'aura pas créer par ignorance ou inconscience des failles avec son application.
  Quant aux serveurs de bases de données, les serveurs Oracle sont largement moins en avant que les serveurs MS-SQL. Il faudrait sans doute comparer avec MySQL pour le même type d'applications cibles.
  Maintenant, si la question revient, c'est davantage pour cause de pénétration de Linux dans le marché des desktop que pour dans les serveurs.

• [+] [^]Re: Idée reçue à combattre

  Posté par pasBill pasGates () le 21/08/2007 à 16:50. (lien). Évalué à -4.

  Ta demonstration serait belle si elle n'etait pas completement fausse.
  
  Ces dernieres annees IIS a eu _beaucoup moins_ de failles qu'Apache.
  
  Idem pour SQL Server.

  • [+] [^]Re: Idée reçue à combattre

    Posté par pasBill pasGates () le 21/08/2007 à 21:28. (lien). Évalué à -4.

    C'est marrant ca.
    
    a) Est ce que ce post est hors-sujet ? Non, il demontre clairement que la demonstration du dessus est fausse
    
    b) Est ce que ce post est injurieux/... ? Non
    
    c) Est ce que le contenu du post est faux ? Non plus
    
    J'ai du mal comprendre l'utilite du bouton "pertinent" sur les commentaires...
    
    Enfin bon, les mauvaises langues pourraient dire que certains ici essaient de cacher une verite qu'ils n'aiment pas.

    • [^]Re: Idée reçue à combattre

      Posté par Frédéric Lopez () le 22/08/2007 à 04:08. (lien). Évalué à 9.

      Enfin bon, les mauvaises langues pourraient dire que certains ici essaient de cacher une verite qu'ils n'aiment pas.

      
      Arrête de faire ton caliméro, ta réponse était à côté de la plaque, ça mérite bien les quelques clics sur inutile que tu as pris.
      
      Tu as dit :
      

      Ces dernieres annees IIS a eu _beaucoup moins_ de failles qu'Apache.

      
      Ce en quoi tu as parfaitement raison, mais il n'a jamais dit qu'Apache avait moins de failles que IIS. Il a seulement dit que IIS était plus vulnérable et que le taux de réussite d'attaque sur IIS était tellement plus élevé que sur Apache qu'il compensait sa plus faible utilisation. Faille != exploit...
      
      C'est marrant, c'est d'ailleurs exactement ce que confirme un article récent de l'équipe de sécurité de Google (juin 2007), qui constate que les serveurs IIS distribuent deux fois plus de malwares que les serveurs Apache (49% contre 23%) :
      http://googleonlinesecurity.blogspot.com/2007/06/web-server-(...)
      
      D'autre part, tu as aussi dit :
      

      idem pour SQL Server

      
      sans dire à quoi tu le comparais (Oracle, DB2, MySQL, PostGreSQL, FireBird, etc. ?) ni ce que tu voulais comparer. Ça fait un peu light comme argumentation, non ?

      • [^]Re: Idée reçue à combattre

        Posté par pasBill pasGates () le 22/08/2007 à 05:35. (lien). Évalué à 0.

        Ce en quoi tu as parfaitement raison, mais il n'a jamais dit qu'Apache avait moins de failles que IIS. Il a seulement dit que IIS était plus vulnérable et que le taux de réussite d'attaque sur IIS était tellement plus élevé que sur Apache qu'il compensait sa plus faible utilisation. Faille != exploit...
        
        L'un vient avec l'autre, plus t'as de failles plus tu es vulnerable. Si tu n'as pas de failles ca va etre dur de te passer a travers. 80% des sites sous IIS sont sous IIS6, IIS6 a eu _une_ vulnerabilite permettant l'acces au systeme : http://secunia.com/advisories/21006/ et c'etait uniquement accessible a ceux qui peuvent uploader de l'ASP sur le site.
        Partant de la, IIS6 est dans un certain sens pratiquement invulnerable niveau failles connues, les machines sous IIS qui lancent du spam ont probablement ete compromises par d'autres sources.
        
        L'etude Google dit que les serveurs IIS distribuent plus de malware, oui, je ne vois pas ce que ca montre d'autre. Si les serveurs Apache sont moins attaques, ils serviront moins de malware, cette etude Google ne dit en rien qu'ils sont plus ou moins vulnerables, simplement plus attaques.
        
        sans dire à quoi tu le comparais (Oracle, DB2, MySQL, PostGreSQL, FireBird, etc. ?)
        
        Il parlait d'Oracle, donc evidemment je parlais d'Oracle.

        • [^]Re: Idée reçue à combattre

          Posté par Frédéric Lopez () le 22/08/2007 à 13:22. (lien). Évalué à 4.

          Si les serveurs Apache sont moins attaques, ils serviront moins de malware, cette etude Google ne dit en rien qu'ils sont plus ou moins vulnerables, simplement plus attaques.

          
          Cette étude ne parle pas d'attaques, elle dit que IIS sert deux fois plus de malware qu'Apache. Pour qu'un serveur Web serve des malware, il faut qu'il (ou le serveur) ait été compromis ou que l'admin les ait mis sciemment sur son site...
          
          Et puis d'un côté tu dis que plus on a de parts de marchés, plus on est attaqué, de l'autre tu dis que l'étude montre qu'Apache est moins attaqué. Faudrait savoir...
          
          

          les machines sous IIS qui lancent du spam ont probablement ete compromises par d'autres sources.

          
          Si c'est le serveur (pas Web) qui a été compromis, ça veut dire que MS Windows/IIS est plus vulnérable que {Linux/xBSD/MS Windows/etc.}/Apache. Le dénominateur commun c'est MS Windows, pas très glorieux non plus...
          
          

          Il parlait d'Oracle, donc evidemment je parlais d'Oracle.

          
          Ça va mieux en le disant, le parent était sept posts plus haut, ça aide à la lecture de rappeler ce à quoi on répond.
          
          Mais tu ne dis toujours pas ce que tu comparais. Lui n'a pas parlé de nombre de failles, il a seulement dit que MS SQL Server avait le plus souffert des virus vers.

          • [^]Re: Idée reçue à combattre

            Posté par pasBill pasGates () le 22/08/2007 à 16:51. (lien). Évalué à 3.

            Cette étude ne parle pas d'attaques, elle dit que IIS sert deux fois plus de malware qu'Apache. Pour qu'un serveur Web serve des malware, il faut qu'il (ou le serveur) ait été compromis ou que l'admin les ait mis sciemment sur son site...
            
            Tout a fait
            
            Et puis d'un côté tu dis que plus on a de parts de marchés, plus on est attaqué, de l'autre tu dis que l'étude montre qu'Apache est moins attaqué. Faudrait savoir...
            
            Apache est probablement plus attaque qu'IIS, le truc c'est qu'IIS il tourne sous Windows. Comme montre plus haut, il n'y a pas vraiment de failles (connue du moins) utilisable dans IIS pour entrer, il est donc probable que l'intrusion soit faite d'une autre maniere.
            
            Si c'est le serveur (pas Web) qui a été compromis, ça veut dire que MS Windows/IIS est plus vulnérable que {Linux/xBSD/MS Windows/etc.}/Apache. Le dénominateur commun c'est MS Windows, pas très glorieux non plus...
            
            
            Si tu regardes le graphe de Google au bas de la page, tu verras que la part des IIS infectes dans les pays de l'ouest est plus petite que la part de marche d'IIS proportionellement. Par contre en Chine/Coree du Sud c'est l'inverse, quasiment tous les serveurs infectes sont sous IIS.
            
            Google donne une partie de l'explication.
            
            We suspect that the causes for IIS featuring more prominently in these countries could be due to a combination of factors: first, automatic updates have not been enabled due to software piracy (piracy statistics from NationMaster, and BSA), and second, some security patches are not available for pirated copies of Microsoft operating systems. For instance the patch for a commonly seen ADODB.Stream exploit is not available to pirated copies of Windows operating systems.
            
            Ce qui explique la part disproportionnee d'IIS.

        • [^]Re: Idée reçue à combattre

          Posté par Tramo Piere () le 23/08/2007 à 14:13. (lien). Évalué à 3.

          L'un vient avec l'autre, plus t'as de failles plus tu es vulnerable
          
          Encore une affirmation gratuite (sans fondement technique), qui rappelle le message sur l'absence de diversité des distributions Linux.
          
          Par exemple, le programme openssh est divisé en deux parties, dont une qui surveille l'autre. En cas d'exploit, la partie sensible est immédiatement stoppée. Autre exemple, la compilation des programmes C avec protection de pile (noexec) , ou les pages non exécutables.

          • [^]Re: Idée reçue à combattre

            Posté par pasBill pasGates () le 23/08/2007 à 15:56. (lien). Évalué à 1.

            Encore une affirmation gratuite (sans fondement technique), qui rappelle le message sur l'absence de diversité des distributions Linux.
            
            Non c'est une realite, plus il y a de portes, plus il y a de possiblites d'entrer, ca coule sous le sens.
            
            Par exemple, le programme openssh est divisé en deux parties, dont une qui surveille l'autre. En cas d'exploit, la partie sensible est immédiatement stoppée. Autre exemple, la compilation des programmes C avec protection de pile (noexec) , ou les pages non exécutables.
            
            Super, noexec et les pages non executables ca s'evite mon cher, pas facile mais faisable. (en notant que ces 2 elements sont presents sous Windows, ca n'arrete pas les exploits).
            
            cf. http://www.auto.tuwien.ac.at/~chris/teaching/papers/buffer_n(...) par exemple

            • [^]Re: Idée reçue à combattre

              Posté par Tramo Piere () le 23/08/2007 à 21:33. (lien). Évalué à 1.

              - Non c'est une realite, plus il y a de portes, plus il y a de possiblites d'entrer, ca coule sous le sens.
              - pas facile mais faisable
              
              Contradiction, pour qu'un virus se propage, il faut bien que cela se fasse de façon facile et automatique.
              
              en notant que ces 2 elements sont presents sous Windows, ca n'arrete pas les exploits
              
              Exact, sous windows on n'a pas vraiment besoin d'exploits, il suffit de profiter des erreurs de programmation liées à la complexité du système (exemples de l'exécution de programmes par la librairie wmf, des problèmes de mozilla avec le shell win32, et d'outlook express qui execute du code automatiquement).
              
              Les exploits c'est pour les vers, pas les virus, l'argument est donc de toute façon un peu hors sujet à la base.

              • [^]Re: Idée reçue à combattre

                Posté par pasBill pasGates () le 23/08/2007 à 22:05. (lien). Évalué à 1.

                Contradiction, pour qu'un virus se propage, il faut bien que cela se fasse de façon facile et automatique.
                
                Une fois qu'un codeur l'a fait, c'est automatique et facile. L'ecrire la premiere fois prend de l'effort, le lancer et le voir se propager ca prend rien du tout.
                
                Exact, sous windows on n'a pas vraiment besoin d'exploits, il suffit de profiter des erreurs de programmation liées à la complexité du système (exemples de l'exécution de programmes par la librairie wmf, des problèmes de mozilla avec le shell win32, et d'outlook express qui execute du code automatiquement).
                
                Je te l'ai montre plus haut, Linux souffre des memes maux, quand a mettre la faute du probleme de Mozilla sur l'OS, je trouves ca assez rigolo, c'est si dur que ca d'accepter qu'un soft libre a fait une erreur ? Tes histoires de complexite du systeme sont du vent, plutot que lancer des grandes phrases, pourquoi est-ce que tu ne donnes pas des exemples precis ou le systeme est trop complexe ? (a differencier d'une erreur de codage, ce qui arrive chez tout le monde, comme dans le cas du WMF ou ils ont oublie de faire une verification et dans le cas de Mozilla ou ils lancent n'importe quel handler sans verifier ce qu'il est)
                
                Les exploits c'est pour les vers, pas les virus, l'argument est donc de toute façon un peu hors sujet à la base.
                
                Pas vraiment, ou est la limite entre un ver et un virus ? Si un virus passe par une faille de ton systeme et s'incruste dans tes fichiers, tu appelles ca comment ? ver ou virus ?

                • [^]Re: Idée reçue à combattre

                  Posté par Tramo Piere () le 23/08/2007 à 22:53. (lien). Évalué à 1.

                  - je trouves ca assez rigolo, c'est si dur que ca d'accepter qu'un soft libre a fait une erreur
                  
                  Je trouve assez amusant que le type d'erreur en question n'existe que sur ladite plateforme. Note: l'exploit a d'abord été découvert pour IE, puis on s'est aperçu que Firefox avait copié - il s'agit bien d'un problème de fonctionnalités.
                  
                  - Tes histoires de complexite du systeme sont du vent
                  
                  Preuve que non, dès lors que la librairie en question fait parti du système d'exploitation et qu'il s'agit d'une fonctionalité du système:
                  http://slashdot.org/it/04/07/08/2159244.shtml
                  http://www.microsoft.com/technet/security/bulletin/ms06-057.(...)
                  
                  - Pas vraiment, ou est la limite entre un ver et un virus ?
                  
                  On va dire qu'un ver affecte plutôt les serveurs alors qu'un virus affecte les stations de travail.
                  
                  - plutot que lancer des grandes phrases
                  
                  Plutôt que de lancer des grandes phrases, tu peux m'infecter avec un virus stp ? Mon poste est sous Linux avec Suse 10.2, et j'utilise Kmail :-)

                  • [^]Re: Idée reçue à combattre

                    Posté par pasBill pasGates () le 23/08/2007 à 23:05. (lien). Évalué à 2.

                    Je trouve assez amusant que le type d'erreur en question n'existe que sur ladite plateforme. Note: l'exploit a d'abord été découvert pour IE, puis on s'est aperçu que Firefox avait copié - il s'agit bien d'un problème de fonctionnalités.
                    
                    Vu que la fonctionnalite n'existe que sur cette plateforme c'est tout a fait normal, il y a de nombreux bugs qui ne se retrouvent que sur des Unix, ca ne signifie en rien que le probleme est du a l'OS. Le correctif est dans le browser, preuve que le probleme est dans le browser.
                    
                    Preuve que non, dès lors que la librairie en question fait parti du système d'exploitation et qu'il s'agit d'une fonctionalité du système:
                    
                    Vois pas le rapport, un bug dans la libc ca veut dire qu'il y a un probleme dans le design du systeme ? Bien sur que non.
                    
                    Plutôt que de lancer des grandes phrases, tu peux m'infecter avec un virus stp ? Mon poste est sous Linux avec Suse 10.2, et j'utilise Kmail :-)
                    
                    Super, et le mien sous Windows, tu peux essayer, personne n'y est encore arrive.

                    • [^]Re: Idée reçue à combattre

                      Posté par Tramo Piere () le 23/08/2007 à 23:25. (lien). Évalué à 1.

                      - Vois pas le rapport
                      
                      Regarde ici:
                      http://www.mccanless.us/mozilla/mozilla_bugs.htm
                      
                      Le bug est présent dans IE qui fait parti des librairies du système, et le correctif de Mozilla fut justement d'éviter la librairie du système.
                      
                      De plus, le fait que Microsoft ait corrigé le bug dans un service pack montre bien qu'il s'agit d'un problème avec le système d'exploitation.
                      
                      - Super, et le mien sous Windows
                      
                      J'oubliais de préciser que j'ai l'installation par défaut - c'est le cas pour toi aussi je suppose ? c'est quoi ton email ? :-)

                      • [^]Re: Idée reçue à combattre

                        Posté par pasBill pasGates () le 24/08/2007 à 01:03. (lien). Évalué à 1.

                        Le bug est présent dans IE qui fait parti des librairies du système, et le correctif de Mozilla fut justement d'éviter la librairie du système.
                        
                        IE c'est un browser web modulaire, j'ai du mal a voir en quoi il fait partie de l'OS lui-meme, d'autre part Mozilla n'utilise aucune des libs d'IE, visiblement tu n'as aucune idee de ce qu'est le probleme, tu fabules.
                        
                        De plus, le fait que Microsoft ait corrigé le bug dans un service pack montre bien qu'il s'agit d'un problème avec le système d'exploitation.
                        
                        Le probleme est corrige dans le service pack d'IE, pas de Windows. C'est pourtant ecrit sur la page que tu as donnee !
                        
                        J'oubliais de préciser que j'ai l'installation par défaut - c'est le cas pour toi aussi je suppose ? c'est quoi ton email ? :-)
                        
                        Niveau securite oui c'est l'install par defaut.
                        Mais tu devrais faire encore mieux, pourquoi est-ce que tu ne donnes pas ici les etapes a suivre pour prendre le controle d'un systeme Windows, disons Vista pour prendre le dernier, ou XP SP2 a jour en tirant parti d'une faille du systeme ?
                        
                        J'ai hate de lire ta methode, mais qqe chose me dit que je vais attendre tres longtemps.

                        • [^]Re: Idée reçue à combattre

                          Posté par Tramo Piere () le 24/08/2007 à 07:18. (lien). Évalué à 0.

                          tu n'as aucune idee de ce qu'est le probleme
                          
                          ie et firefox ont tous deux utilisé une api du système permettant d'executer n'importe quoi. Les deux programmes ont du être patchés ainsi que le système d'exploitation. C'est pourtant clair, non ?
                          
                          J'ai hate de lire ta methode
                          
                          On peut t'envoyer un powerpoint spécialement écrit pour l'occasion par exemple ? Si le FBI peut le faire avec Carnivore et autres, c'est bien qu'il y a des facilités dans ce système.

                          • [^]Re: Idée reçue à combattre

                            Posté par pasBill pasGates () le 24/08/2007 à 15:32. (lien). Évalué à 1.

                            ie et firefox ont tous deux utilisé une api du système permettant d'executer n'importe quoi. Les deux programmes ont du être patchés ainsi que le système d'exploitation. C'est pourtant clair, non ?
                            
                            IE et Firefox ont du etre patche, pas l'OS, c'est pas par hasard que je te dis que tu ne comprend rien au probleme.
                            
                            On peut t'envoyer un powerpoint spécialement écrit pour l'occasion par exemple ? Si le FBI peut le faire avec Carnivore et autres, c'est bien qu'il y a des facilités dans ce système.
                            
                            Fais seulement, montre moi donc ce powerpoint qui permettrait de prendre le controle de ma machine ans que je fasse quoi que ce soit de stupide (genre permettre les macros de s'executer dans un fichier venant d'un inconnu)

                            • [^]Re: Idée reçue à combattre

                              Posté par Tramo Piere () le 25/08/2007 à 17:34. (lien). Évalué à 2.

                              - IE et Firefox ont du etre patche, pas l'OS, c'est pas par hasard que je te dis que tu ne comprend rien au probleme.
                              
                              Premièrement, IE fait bien parti de l'OS (excepté pour Vista).
                              
                              Ensuite le bug avait bien été corrigé dans l'OS lui-même (SP2) parce qu'il permettait d'exécuter des programmes directement par le système (un peu comme si sous linux firefox permettait l'accès en root).
                              http://www.microsoft.com/technet/security/bulletin/ms02-072.(...)
                              http://www.ciac.org/ciac/bulletins/n-029.shtml
                              
                              Il s'agit bien d'un problème de fonctionnalités, windows permet d'exécuter du code trop facilement et les programmes font copier-coller des erreurs.
                              
                              - ce powerpoint qui permettrait de prendre le controle de ma machine ans que je fasse quoi que ce soit de stupide
                              
                              Ici par exemple ?
                              http://news.bbc.co.uk/2/hi/technology/5195838.stm

                              • [^]Re: Idée reçue à combattre

                                Posté par pasBill pasGates () le 26/08/2007 à 16:06. (lien). Évalué à 1.

                                Ensuite le bug avait bien été corrigé dans l'OS lui-même (SP2) parce qu'il permettait d'exécuter des programmes directement par le système (un peu comme si sous linux firefox permettait l'accès en root).
                                
                                Hahaha tu racontes n'importe quoi mon cher.
                                Le bug de Firefox en question, il se produit sur une machine patchee et a jour et il a ete decouvert il y a genre un mois ou 2, le patch que tu as donne, il date de 2002 lui.
                                Merci de confimer que tu ne sais absolument pas ce que cette vulnerabilite est.
                                
                                Ici par exemple ?
                                http://news.bbc.co.uk/2/hi/technology/5195838.stm
                                
                                Donnes moi donc un fichier PowerPoint qui au jour d'aujourd'hui avec une machine a jour, et sans que je fasse quoi que ce soit de stupide, prenne le controle de ma machine.
                                
                                Je ne veux plus voir de liens sur telle ou telle news qui date d'un an, je veux un fichier powerpoint(ou un lien sur le site ou il se trouve).
                                Sans ca tes affirmations sont purent gratuites et sans valeur.

  • [^]Re: Idée reçue à combattre

    Posté par PsychoFox () le 22/08/2007 à 06:19. (lien). Évalué à 9.

    
    Ces dernieres annees IIS a eu _beaucoup moins_ de failles qu'Apache.

    
    
    ça on n'en sait rien. Il y'a eu beaucoup moins de failles publiées oui peut-être. ça ne veut pas dire que le produit est plus robuste et moins vulnérable aux attaques.
    
    On pourrait aussi tourner la phrase dans le sens : plus de failles ont été corrigées dans apache que dans IIS ces dernières années.
    
    Bref les phrases de ce genre...

    • [^]Re: Idée reçue à combattre

      Posté par pasBill pasGates () le 22/08/2007 à 06:29. (lien). Évalué à 1.

      ça on n'en sait rien. Il y'a eu beaucoup moins de failles publiées