Journal internet et microsoft...

• # Re: internet et microsoft...

  Posté par mcjo le 30 janvier 2004 à 19:30. Évalué à 1.

  

  Ca révelle simplement l'incompétence de microsoft pour corigé ce bug. Et j'aimerai savoir ce qui empèchera apache de reconnaitre les URL de type http://mon_longin:pass@moi.com(...) ?????
  Ou c'est juste les serveurs IIS qui vont les ignorés.
  Moi je pene que microsoft a raison, d'ailleur il faudrait interdire les pieces jointe par mail...
  Bizzarement avec Notes (LOTUS), jamais un virus...

  • [^] # Re: internet et microsoft...

    Posté par pasBill pasGates le 30 janvier 2004 à 20:27. Évalué à 2.

    

    Faudrait apprendre la difference entre un browser un serveur web, IIS n'a rien a voir la dedans

    • [^] # Re: internet et microsoft...

      Posté par astennu le 30 janvier 2004 à 21:23. Évalué à 2.

      

      > Microsoft is giving advanced notice of the changes to allow Web designers a chance to review Web site code.
      
      Ouais mais en attendant, c'est pas du côté des navigateurs que ça devra changer, donc que modifie-t-on alors? Si c'est pas le serveur web, je donnes ma langue au pingouin ...
      
      Parce que modifier les habitudes des utilisateurs et des concepteurs de sites web sans toucher au navigateur ni au serveur, c'est même plus de l'utopie à ce niveau là...

      • [^] # Re: internet et microsoft...

        Posté par pasBill pasGates le 30 janvier 2004 à 22:31. Évalué à -1.

        

        Si c'est le browser qui change, et ils disent aux designers de sites web que ce genre d'url ne fonctionnera plus, bref qu'il faut changer ces urls dans leurs pages.

        • [^] # Re: internet et microsoft...

          Posté par mcjo le 30 janvier 2004 à 23:23. Évalué à 2.

          

          Je ne sais pas si c'est le browser ou le serveur qui interprète se genre de requette. Mais de toute facon, microsoft n'est pas le seul editeur de navigateur et pourquoi les autres devrait souffrir de leur incapassité? Il n'est pas seul a décider

          • [^] # Re: internet et microsoft...

            Posté par Gniarf le 31 janvier 2004 à 02:44. Évalué à 1.

            

            cela prouve juste l'immense respect que Microsoft a pour le reste de la planète.
            
            
            et ça prouve également leurs immenses compétences techniques - vu que d'autres navigateurs n'ont pas ce problème, ou encore mieux indiquent qu'il se passe quelque chose de louche (Opera).
            
            
            
            Que dire ? c'est comme si Renault constatait que beaucoup d'accidents étaient dûs aux gens qui ne font pas attention en sortant de leur voiture, et décident de supprimer les portières gauches de leurs nouveaux modèles.
            
            ou encore mieux, toutes les portières, pour forcer les gens à sortir par le toit ouvrant (une option facturée comme étant devenue obligatoire), comme ça ils seront obligés de regarder la rue avant de quitter leur véhicule.

          • [^] # Re: internet et microsoft...

            Posté par pasBill pasGates le 31 janvier 2004 à 06:52. Évalué à 3.

            

            Je ne sais pas si c'est le browser ou le serveur qui interprète se genre de requette. Mais de toute facon, microsoft n'est pas le seul editeur de navigateur et pourquoi les autres devrait souffrir de leur incapassité? Il n'est pas seul a décider
            
            C'est bien vrai, et je trouves ca con aussi, mais ca sera pas la 1ere connerie faite par le team IE, ils ont pris la 1ere place au team IIS depuis un moment dans le classement des teams qui nous gonflent en sustained engineering.

            • [^] # Re: internet et microsoft...

              Posté par mcjo le 31 janvier 2004 à 12:49. Évalué à 1.

              

              Je te félicite d'abord pour ton honnêteté mais es-ce que le discourt officiel sera si honnête du genre / Sans l'incapacité de .... ou plutôt du genre : A cause de méchant lamers... ou encore les gens ne sachant pas utiliser correctement...
              
              PS : rien a voir, la nouvelle version de Konqueror intègre un correcteur pour le mandrake cooker

  • [^] # Re: mcjo écrit: " Avec LOTUS: Jamais un virus" : Pour mémoire en 1999 - la NSA Key de Lotus

    Posté par Wharf le 31 janvier 2004 à 16:45. Évalué à 1.

    

    1/ Il y a aussi des failles de vulnérabilitè sous Lotus, parfaitement exploitables par n'importe quel virus:
    Voici 4 failles de LOTUS publièes en 2003:
    http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-068/index.html.2.h(...)
    http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-049/index.html.2.h(...)
    http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-047/index.html.2.h(...)
    
    Ceci repose encore une fois la même question, pourquoi les développeurs de virus ne se sont ils pas interessé à IBM LOTUS, mais préférent cibler Outlook (car ce n'est pas plus complexe de faire un virus pour l'un ou pour l'autre, à partir du moment ou la faille est publiée, dans les 2 cas les utilisateurs gèrent aussi mal leurs patches)
    A qui profite le crime ?
    
    De plus, le piratage (qui exploite aussi les failles connues) n'est il pas plus dangereux que les virus ? (voir Tux family..)
    
    2/ Si tu utilise Lotus avec un client outlook, tu es rigoureusement exposé au même danger de virus que si tu avais un autre serveur de messagerie avec le même Outlook.
    
    Il n'existe pas non plus de virus connu pour Exchange, le pb est lié aussi au poste client Outlook.
    
    3/ souvenez vous de Lotus qui distribuait en Europe une version de Lotus Notes qui contenait officiellement une NSA Key.
    En 1999, ca avait fait couler de l'encre au parlement européen
    http://www.heise.de/tp/english/inhalt/te/2898/1.html(...)
    
    Le pb était simple, pour exporter de la crypto plus forte que ne le permettait la loi, ils avaient contourné le pb avec une Key dont la NSA avait le code !!!
    Seul point positif, c'était clair et officiel: Visitors to the security pages on Lotus's website are now told that the export version of Lotus Notes uses "a system approved by the US government called "Workgroup Differential" and "encrypt(s) information using 64 bit keys".
    
    The name "Workgroup Differential" is meaningless. The correct title is "Differential Workfactor Cryptography". The "differential workfactor" means that the US National Security Agency can break the code on Lotus Notes private messages 16 million times faster than anyone else.
    
    Just for fun: C'est la version qu'utilisait la DGA à l'époque !!

• # Re: internet et microsoft...

  Posté par Gniarf le 30 janvier 2004 à 19:46. Évalué à 6.

  

  qu'ils le fassent, ça ne pénalisera que les maniaques de MSN Messenger-toute-dernière-édition, et autres maniaques du Windows Update qui ne règle qu'une fraction des trous de sécurité connus.
  
  
  non, sérieusement, ça fait des années que vouloir surfer avec Internet Explorer est un signe ostentatoire de masochisme, voire de connerie profonde.
  
  
  
  peut être que le jour où un employé mécontent placera une bonne blague bien destructive sur un des portails du TOP 10 mondial (yahoo, google ou CNN...) et que des millions de machines sous Windows morfleront, le monde changera ses habitudes. car la mauvaise excuse "oh vous savez, on ne trouve ces ActiveX dangeureux que sur des sites louches" ne tiendra plus.
  
  ce n'est qu'une question de temps.

  • [^] # Re: internet et microsoft...

    Posté par pudcy le 31 janvier 2004 à 20:31. Évalué à 0.

    

    Merci pour la "connerie profonde".
    
    On a lancé une comparaison il n'y pas longtemps entre IE+plugins et Firebird+plugins, et on a pas été capables de choisir un vainqueur. Pourtant chaque parti tenait a avoir raison. Mais je ne veux pas relancer un troll... J'avais juste 2 remarques à faire :
    
    1°/ par défaut IE te demande ton avis avant d'exécuter un ActiveX. Après tu assumes, si tu veux pas prendre de risques tu désactives complètement. Ce n'est pas fait par défaut car les Active X sont très utiles et utilisés, notamment sur les intranet d'entreprises.
    
    2°/ Microsoft n'a pas sorti de patch. Mais rappelons la politique récente de Microsoft : on ne fournit les correctifs qu'une fois par mois. Je ne sais pas pourquoi ils font comme ça, je ne comprends pas, mais en tous cas attendons avant de hurler au loup.

    • [^] # Re: internet et microsoft...

      Posté par Gniarf le 01 février 2004 à 02:23. Évalué à 1.

      

      Merci pour la "connerie profonde".
      
      On a lancé une comparaison il n'y pas longtemps entre IE+plugins et Firebird+plugins, et on a pas été capables de choisir un vainqueur. Pourtant chaque parti tenait a avoir raison. Mais je ne veux pas relancer un troll... J'avais juste 2 remarques à faire :
      
      je parle de IE "de base" et comparable avec Opera Mozilla ou Firebird de base, c'est à dire avec les 3-4 plug-ins courants (Flash) installés, mais ... lire la suite.
      
      
      1°/ par défaut IE te demande ton avis avant d'exécuter un ActiveX. Après tu assumes, si tu veux pas prendre de risques tu désactives complètement. Ce n'est pas fait par défaut car les Active X sont très utiles et utilisés, notamment sur les intranet d'entreprises.
      
      non-non-non. il y a plusieurs blagues qui se moquent éperduement de ces réglages de sécurité et passent au travers.
      
      accès en lecture/écriture à la base de registre, écriture de fichiers où on veut, remplacement du explorer.exe... sans la moindre demande de confirmation par l'utilisateur. j'ai eu du mal à le croire quand je l'ai constaté, même sur une machine avec un IE configuré en mode paranoïaque.
      
      il y a eu des trous via com.ms.java, par XML... qui ensuite lançaient un objet Windows Shell qui lui avait accès complet au système.
      
      et surtout, c'est endémique, systématique. de nouvelles fonctionnalités ? de nouveaux trous. et ça dure depuis des années.
      
      Il y a un problème de sécurité à la base, non ? depuis Internet Explorer 4 en 1997, et la volonté de faire exécuter du code natif (Windows) directement dans le navigateur (technologie ActiveX), c'est la guerre.
      
      ça fait juste 6 ans que ça dure.
      
      
      2°/ Microsoft n'a pas sorti de patch. Mais rappelons la politique récente de Microsoft : on ne fournit les correctifs qu'une fois par mois. Je ne sais pas pourquoi ils font comme ça, je ne comprends pas, mais en tous cas attendons avant de hurler au loup.
      
      bien sûr. et si c'était grave, et des mises à jour annuellles, attendons aussi, béats, la bouche ouverte.

      • [^] # Re: internet et microsoft...

        Posté par pudcy le 01 février 2004 à 22:50. Évalué à 1.

        

        "bien sûr. et si c'était grave, et des mises à jour annuellles, attendons aussi, béats, la bouche ouverte. "
        
        Comme je l'ai dit, je ne comprend pas cette politique de sortie de maj à dates fixes. Pour le reste (ActiveX etc.), ok ca a des désavantages, mais pas uniquement, et ca se bloque si on veut alors... Certes il y a eu une jolie collection de failles, mais jusqu'ici elles ont été corrigées. Nouvelles fonctionnalités = nouveaux trous ? oui, comme presque à chauque fois pour tous logiciels.
        
        Je ne veux pas prendre la défense de MS, ils se sont plantés, et leur politique nous fait attendre les correctifs. Simplement faut pas tout mélanger et dire IE SAPU juste à cause de ça... Quant à leur page d'info, certes elle prête à rire, mais quels autres choix avaient-ils s'ils souhaitaient s'en tenir à leur politique de sorties de maj ? Donc faut taper, mais pe pas trop fort...

        • [^] # Re: internet et microsoft...

          Posté par Gniarf le 02 février 2004 à 23:46. Évalué à 1.

          

          mon point est précisément que le blocage des ActiveX est inefficace et illusoire, puisque la boite de dialogue nommée à peu de choses près "paramètres de sécurité" ne bloquera que ceux employés "normalement" et procure une fausse sensation de confiance, et ça, c'est excessivement grave.
          
          
          Internet Explorer est là depuis des années, ses problèmes aussi. de là à dire que Internet Explorer pue, ben, oui, niveau sécurité du système, c'est même plus puer, là, c'est la lèpre.

          • [^] # Re: internet et microsoft...

            Posté par Gniarf le 03 février 2004 à 03:32. Évalué à 1.

            

            allez, tant qu'on y est :
            
            http://news.com.com/2100-1002_3-5151957.html?tag=nefd_top(...)
            
            Microsoft trouve le problème "grave" et décide de faire une mise à jour de Internet Explorer en dehors de leur cycle de patchs mensuels.
            
            
            
            (et la vraie question est, vais-je faire confiance à Internet Explorer après cette mise à jour ? toujours pas.)

            • [^] # Re: internet et microsoft...

              Posté par pudcy le 03 février 2004 à 10:56. Évalué à 1.

              

              bah voila :)

          • [^] # Re: internet et microsoft...

            Posté par pudcy le 03 février 2004 à 10:55. Évalué à 1.

            

            tu as des exemples d'ActiveX dangereux même si j'ai tout bloqué stp ?

            • [^] # Re: internet et microsoft...

              Posté par Gniarf le 03 février 2004 à 18:26. Évalué à 1.

              

              oui.
              
              mais j'insiste sur le fait que ce n'est qu'une partie du problème. d'autres failles plus ou moins similaires existent, c'est donc l'ensemble qui pose problème.
              
              par exemple des variantes du JS.Exception.Exploit n'utilisaient pas directement ActiveX. mais au final, oui.
              
              (en fait ActiveX est un terme assez fourre-tout, il faudrait être bien plus précis. les meilleures blagues (utilisation de failles de navigateurs, exploitz si vous préférez) utilisent plusieurs (3) créations d'objets pour rentrer, par exemple)
              
              cf aussi : http://www.symantec.com/avcenter/venc/data/js.exception.exploit.htm(...)
              
              http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/(...)
              
              et ceci qui est extrait d'un vieux mail :
              
              "tout cela par la JVM trouée de Microsoft, qui permet
              d'invoquer des ActiveX (on vous le disait bien que ca
              allait etre la fiiiin du monde) et 2-3 'objets'
              ActiveX de scriptage d'utilité douteuse que chaque
              utilisateur de Windows a déjà sur sa machine.
              
              J'insiste, le navigateur ne télécharge que la page
              HTML et du Javascript dedans, pas de code 'hostile'
              sous forme d'applets ou d'ActiveX vu qu'il est déjà
              sur la bécane, le code hostile..."
              
              cette machine était configurée en mode parano (entre autre pour ne pas subir de popup-up de pubs, ni de pubs en flash)
              
              évidement, en 2004, les blagues de 2001 ne fonctionnent plus forcément sur des navigateurs corrigés depuis. mais toutes les machines ne sont pas patchées, et d'autres blagues apparaissent régulièrement.

              • [^] # Re: internet et microsoft...

                Posté par pudcy le 04 février 2004 à 07:57. Évalué à 1.

                

                non il est clair que ce genre de blagues ne fonctionne plus...
                
                En 2001, des failles on en trouvait à la pelle dans tous les navigos, que ce soit moz ou IE.
                
                A l'heure actuelle, j'attend toujours qu'on me démontre qu'IE est moins secure que moz, malgré toutes les personnes qui me l'ont affirmé :(
                
                Toutes les attaques par l'intermédiaire d'une page web relevées (a ma connaissance) depuis 2 ans sur IE supposaient soit que les activeX étaient acceptés par défaut, soit que l'exécution de VBscript était acceptée par défaut. Dans le cas contraire elles ne passaient pas. Mais bon je ne suis pas au courant de tout... Je voudrai bien un exemple concret, une faille qui me permette d'exécuter du code en ayant désactivé scripting+ActiveX sur une machine mise à jour.
                
                Il y a bien eu pendant un temps la possibilité d'exécuter du code via javascript en utilisant je ne sais plus quelle combinaison de classes, mais ca a rapidement été patché.

• # Re: internet et microsoft...

  Posté par bad sheep (site web personnel) le 30 janvier 2004 à 20:04. Évalué à 2.

  

  Moi, ce que j'adore, c'est cette page:
  http://support.microsoft.com/default.aspx?scid=kb;%5Bln%5D;833786(...)
  
  Si c'est pas du foutage de gueule...

  • [^] # Re: internet et microsoft...

    Posté par Ennio le 30 janvier 2004 à 21:14. Évalué à 2.

    

    Si c'est pas du foutage de gueule...
    
    Non je pense pas. Ils se sont limités à une page de 33 ko. Ils auraient pu en faire un bouquin vendu super cher chez Microsoft Press.
    
    ;-)

  • [^] # Re: internet et microsoft...

    Posté par pasBill pasGates le 31 janvier 2004 à 08:16. Évalué à 2.

    

    Sisi, et ca rigole meme en interne.
    
    Il fait pas bon etre dans le team IE depuis plusieurs mois, vaut mieux dire que t'es cuisinier si tu veux eviter qu'on se moque de toi.

• # Re: internet et microsoft...

  Posté par littlebreizhman le 30 janvier 2004 à 20:33. Évalué à 6.

  

  J'aime bien le passage :
  Le moyen le plus efficace pour vous protéger des liens hypertexte nuisibles consiste à ne pas cliquer dessus. Tapez plutôt vous-même l'URL de votre destination déterminée dans la barre d'adresses. En tapant manuellement l'URL dans la barre d'adresses, vous pouvez vérifier les informations utilisées par Internet Explorer pour accéder au site Web de destination. Pour ce faire, tapez l'URL dans la barre d'adresses, puis appuyez sur ENTRÉE.
  
  Bon, la démarche logique avec IE c'est d'éditer le code source de la page. Regarder l'adresse et la taper avec ses petites mains. La souris ne servant donc plus qu'à cliquer sur l'icone qui lance explorer ;o)
  
  Ridicule à souhait !!

  • [^] # Re: internet et microsoft...

    Posté par Ano nyme (site web personnel) le 30 janvier 2004 à 22:20. Évalué à 6.

    

    Bah Windows c'est un OS pour les geeks amoureux de la ligne de commande. Il est pas encore prêt pour le desktop, encore un truc d'intégriste ça. Si ils croient vraiment qu'ils vont prendre des parts de marché avec un OS pas fini...

  • [^] # Re: internet et microsoft...

    Posté par Aurélien Bompard (site web personnel) le 30 janvier 2004 à 23:14. Évalué à 4.

    

    Enoorme : MS rejette tout simplement l'utilisation du lien hypertexte :-)
    Mais à quoi ça rime ?

    • [^] # Re: internet et microsoft...

      Posté par ewasx le 31 janvier 2004 à 02:08. Évalué à 2.

      

      Ca rime avec "j'ai la grose tête, je suis le premier navigateur du monde, vous avez pas le choix je suis par defaut installé sur tous les ordinateurs neufs vendus, et j'y veille en (forcant les) faisant signer les constructeurs."
      
      Enfin, c'est le debut de leur fin, y'a pas de mal, puis ils vont redescendre peut etre, mais avec tout le fric qu'ils ont, ils reagiront, et remonteront en part.
      En attendant ce genre de comportement ne fait qu'aider leur concurrence, et c'est pas moi qui m'en plaindrait.

    • [^] # Re: internet et microsoft...

      Posté par pudcy le 31 janvier 2004 à 20:33. Évalué à 1.

      

      Ca veut dire juste dire : y a un souci de sécurité, si vous voulez pas de soucis voila quelques pistes. En attendant un patch. Maintenant si aucune maj ne sort jamais, je serai le premier à râler. Mais en attendant, c'est mieux d'informer que de se cacher.

      • [^] # Re: internet et microsoft...

        Posté par pudcy le 03 février 2004 à 11:10. Évalué à 1.

        

        Ce matin une jolie bulle est apparue en bas de mon écran. Oh ! une mise à jour ! Comme quoi...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.