Journal Pour utiliser Windows, utilisez Linux (bis)

Posté par (page perso) .
Tags : aucun
7
1
juil.
2010
Il y a quelque temps j'avais écrit sur le même thème (http://linuxfr.org/~Kerro/29003.html ).

Comme beaucoup d'entre nous, je fais régulièrement face à des demandes non prévues. Une fois qu'un système fonctionne, tout le monde est content et tout le monde veut un truc en plus. Une grosse partie du travail est de dire "non, ce n'est pas fait pour".

Du genre "maintenant que la nouvelle route est goudronnée, je voudrais faire atterrir mon jet dessus" --> "non, ce n'est pas fait pour" --> "ah ben si ! j'exige que ça fonctionne" etc etc.

En vrai ça donne: "voilà, le mini-serveur à 250 € est en route, vous pouvez déposer vos fichiers bureautiques dessus, tout est automatiquement sauvegardé" --> "chouette, je vais pouvoir y déposer la sauvegarde de toutes mes photos pour les catalogues" --> "non, il a été demandé un serveur pas cher du tout avec une capacité limitée" --> "c'est nul. Et je peux me connecter depuis mon iPhone pour lire mes emails ?" (j'ai eu ça en vrai, de la part du directeur informatique) --> "heu... c'est quoi le rapport ?" etc etc.

Bref, on pourrait continuer longtemps comme ça. J'en reviens au sujet: pour utiliser Windows correctement, il faut utiliser Linux.
L'exemple du jour est: le partage de fichiers, qui est pourtant un point fort de Windows

Des utilisateurs extérieurs à l'entreprise ont besoin d'accéder à certains fichiers situés sur les serveurs internes. Ils n'y connaissent rien (ne savent pas copier/coller un mot de passe présent dans un email, voyez le niveau).

Windows ne sait pas autoriser l'accès depuis l'extérieur pour seulement certains utilisateurs. Ou alors il faut programmer, car des API sont exposées pour cela.
Bien entendu, hors de question d'exposer les ports 139/445 directement sur internet. Ca attire les chieurs. Il faudrait pouvoir indiquer que seuls tels utilisateurs peuvent se connecter de ce côté, mais ça n'existe pas.
En plus je voudrais que les utilisateurs en question ne puissent avoir accès qu'à une partie bien précise de l'arborescence. Ca évite d'avoir à vérifier que personne ne met en place des permissions trop laxiste. Et puis il faudrait vérifier cela 24h/24, pas possible.

Il y aurait bien stunnel, mais Windows ne permet pas de changer les ports 139/445 dont c'est mort (car stunnel va écouter en local sur 127.0.0.1:139). Pour utiliser stunnel dans ce cas, il y a une grosse astuce bien invasive (ajouter une carte réseau virtuelle).

Ou OpenVPN. Mais bon, créer un VPN pour contourner une limitation de Windows, bof. Et puis c'est bien invasif aussi (ajout d'une carte réseau virtuelle également, à chaque fois dans la version portable).

Alors bon, j'ai une astuce: sur un Linux j'installe Samba. Avec uniquement les utilisateurs voulus. Ce Samba est accessible depuis l'extérieur.
Je monte le bon répertoire partagé du Windows dans mon Linux, et c'est ça ce que Samba partage.
Avantage 1: seuls les utilisateurs voulus peuvent se connecter depuis l'extérieur, alors que Windows en est incapable
Avantage 2: seuls les répertoires voulus sont exposés (car smbf/cifs permet de monter un sous-répertoire alors que Windows en est incapable)
Avantage 3: ça permet d'exposer le contenu d'un ordinateur distant, alors que Windows en est incapable
Avantage 4: se connecter à un partage Samba via internet est plus rapide que de se connecter à un partage Windows (heu... bon, ok).
Avantage 5: ça m'a pris environ 30 minutes, alors que mes recherches pour le faire avec Windows ont été abandonnées après plus d'une heure de google avec réponses pourrittes

--> pour utiliser Windows correctement, utilisez Linux
  • # Je comprends pas

    Posté par (page perso) . Évalué à 4.

    Bonjour,

    je ne comprends pas quel est vraiment ton problème.
    Dans mon bureau ou ailleurs (sur les serveurs), mes utilisateurs ont des comptes dessus. Je n'en ai pas assez pour passer à du LDAP, mais ce serait possible.

    Pour le partage de fichier, c'est avec sshfs. C'est cool, sécurisé, et ça fonctionne.

    La dernière fois que j'ai regardé un partage de fichier avec Samba, c'était vraiment pénible.
    Bravo pour n'avoir mis qu'une demie-heure.

    sshfs, c'est moins d'une minutes à ajouter sur le poste client, et rien à faire sur le serveur (sauf éventuellement créer le compte).

    Comme tu le faisais remarquer, avec Linux c'est plus rapide et plus simple.

    Concernant les mots de passes, si tes utilisateurs sont incapable de les gérer, tu peux être certain qu'au premier virus/attaque qui prendra sur ton réseau parce qu'il n'y a aucun mot de passe, ça sera pour ta pomme.

    Ils ont bien un code sur le carte bancaire?
    Il sont bien capable de retenir un numéro de téléphone?
    Il sont aussi capable de retenir une adresse, une phrase?
    Donc ils peuvent aussi retenir un mot de passe constitué de chiffres, de lettres majuscules et sans majuscules. Au pire, ils le notent sur un petit carnet, c'est moins grave que pas de mot de passe.

    A bientôt
    Grégoire
    • [^] # Re: Je comprends pas

      Posté par (page perso) . Évalué à 7.

      Sur un client Windows?

      ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

      • [^] # Re: Je comprends pas

        Posté par (page perso) . Évalué à -8.

        Bonjour,

        c'est une question d'outil.

        Si tu veux enfoncer un clou avec un tournevis, ce n'est pas l'outil idéal.

        C'est pareil en informatique :
        Si tu veux bosser avec un système efficace sans mauvaises surprises : Linux,
        Si tu veux bosser avec un système fiable, immunisé aux virus : Linux,
        Si tu veux disposer d'un grand choix d'outils adaptés à tes besoin : Linux,
        etc.

        par contre, si tu veux un prétexte pour pas bosser..., si tu veux augmenter le risque de perte de donnée... reste cette chose Infâme que certain appellent Win. Mais c'est surtout l'utilisateur qui est perdant.

        A bientôt
        Grégoire
        • [^] # Re: Je comprends pas

          Posté par . Évalué à 5.

          Va expliquer ça au type qui sait pas faire un copier coller tiens ...
          • [^] # Re: Je comprends pas

            Posté par (page perso) . Évalué à 9.

            En fait, c'est un vrai utilisateur averti (qui en vaut donc 2), qui sait que jamais un véritable admin n'enverrait un mot de passe en clair dans un mail, et qui refuse de copier / coller n'importe quoi.
    • [^] # Re: Je comprends pas

      Posté par . Évalué à 1.

      C'est vraiment bien sshfs ? Je m'en suis toujours servi, aprce que c'est super pratique, mais j'ai toujours eu l'impression, au fond, que ça ne pouvait pas être si beau, et que donc il devait y avoir quelque chose de "sale" en dessous.

      Qu'en est-il vraiment ?
      • [^] # Re: Je comprends pas

        Posté par . Évalué à 3.

        c'est relativement lent comparé à du ftp ou smb/cifs en local, (perceptible pour d'énormes fichiers) si non je ne vois pas ce qu'il peut y avoir de sale...
        • [^] # Re: Je comprends pas

          Posté par (page perso) . Évalué à 2.

          Ca donne "accessoirement" la possibilité de se connecter en ligne de commande sur la cible. Sauf à bricoler. Et dans tout bricolage il y a risque d'oubli, risque d'écrasement lors d'une mise à jour, etc.

          sshfs est vraiment très pratique pour se sortir des sales situations. Ou pour faire un petit truc vite-fait sans y passer 20 minutes.
          • [^] # Re: Je comprends pas

            Posté par . Évalué à 2.

            Ca donne "accessoirement" la possibilité de se connecter en ligne de commande sur la cible.

            bah euh c'est du ssh quoi hein... donc oui, c'est certain

            Le seul truc "sale" que je peux voir c'est la non gestion des accès concurrents
            • [^] # Re: Je comprends pas

              Posté par . Évalué à 2.

              et le point d'entrée vers le reste du réseau pour celui qui trouve une combinaison login/pass ?
  • # de surcroît, il faut les payer ces features

    Posté par (page perso) . Évalué à 2.

    Et quand on suppute que les différentes limitations imposées dans widows (et décrites dans ce journal), il a fallu payer quelqu'un pour les inventer et les mettre en place et que c'est donc une grosse partie des coûts de développement qui sont engloutis dans ce genre d'âneries, il n'y a qu'un pas pour éviter à tout jamais loosedos ; et ce même sans la moindre considération éthique ou altruiste.
  • # Mais que fait PBPG ?

    Posté par . Évalué à 8.

    J'attends avec impatience la réponse de PBPG, il ne peut pas laisser passer ca !


    Je me barre vite fait avant qu'on m'inculpe pour "appel au troll"
    • [^] # Re: Mais que fait PBPG ?

      Posté par . Évalué à 4.

      il pourrait répondre que dans un cas comme ça c'est un VPN qu'il faut, et d'ailleurs c'est ce qu'on a installé chez nous, chaque utilisateur extérieur utilise une connexion VPN pour accéder à nos fichiers partagés. D'ailleurs le serveur c'est un serveur linux, et qui gère aussi la connexion openvpn.

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: Mais que fait PBPG ?

        Posté par (page perso) . Évalué à 4.

        Le VPN c'est très bien, sauf si tu n'as pas envie d'avoir des emmerdements avec l'utilisateur. Lorsque son navigateur web plantera, ce sera le VPN. Lorsque son cousin va bricoler sa machine, le VPN va sauter. Etc.
        Le VPN est parfait en interne. Pas avec des prestataires qui ont besoin d'accéder à tes fichiers une fois tous les mois.

        Et puis, honnêtement, un fournisseur/client/voisin/etc t'impose son VPN pour aller sur son serveur: si tu y pannes un tout petit peu en informatique, tu devrais te dire que c'est un poil intrusif sur ta machine, et que ça risque de donner accès à des choses que tu ne veux pas.
        Si tu t'y connais bien c'est une autre histoire, mais il te faut configuer ton pare-feu et tout le toutim.
        • [^] # Re: Mais que fait PBPG ?

          Posté par . Évalué à 2.

          Le VPN est parfait en interne. Pas avec des prestataires qui ont besoin d'accéder à tes fichiers une fois tous les mois.

          possible. L'accès VPN chez nous on le donne à nos employés, et à un prestataire info pour de la maintenance à distance. Mais je n'ai pas trop compris ta solution avec samba, cela ne me semble pas très sécurisé de faire un accès comme ça, mais c'est peut-être un préjugé. J'aurais plutôt tendance à utiliser dans ce cas un accès sur une machine en local, via freenx par exemple. Ou si l'accès aux fichiers n'est qu'en lecture seule, du ftp.

          Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

          • [^] # Re: Mais que fait PBPG ?

            Posté par (page perso) . Évalué à 7.

            Ou si l'accès aux fichiers n'est qu'en lecture seule, du ftp.

            Du FTP pour des utilisateurs lambda oméga, c'est du suicide. Ce qu'il leur faut c'est un partage Windows pour pouvoir l'utiliser dans l'explorateur Windows sinon ils sont perdus. C'est beaucoup trop différent pour eux.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Mais que fait PBPG ?

          Posté par (page perso) . Évalué à -1.

          quand ils sont chez toi, les prestataires, ils sont connectés au LAN, non ?? ben le VPN c'est pareil.

          et s'ils ne sont pas capable de configurer OpenVPN, ben arrête de payer ces gens. Mêmes les gens débutants arrivent à "double cliquer" sur un icône.

          Par contre, ouvrir du SMBFS sur Internet, c'est vraiment une folie totale... je laisse une semaine ou deux de durée de vie à ton client, avant de se faire rooter bien profond...
    • [^] # Re: Mais que fait PBPG ?

      Posté par (page perso) . Évalué à 10.

      c'est vrai ça manque d'ambiance

      mais attention pBpG va attirer Albert, qui va attirer Zenitram, qui va attirer IsNotGood, qui va transformer le troll en flamewar RedHat contre le reste du monde

      ;-)
      (pas taper messieurs)

      "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

      • [^] # Re: Mais que fait PBPG ?

        Posté par (page perso) . Évalué à 4.

        qui va attirer IsNotGood

        GeneralZold plutôt ! Faut se tenir à la page, les temps changent.
        • [^] # Re: Mais que fait PBPG ?

          Posté par . Évalué à 3.

          GeneralZod, mon capitaine !
          PS : Merci de lâcher la page, je n'arrive plus à scroller.
      • [^] # Re: Mais que fait PBPG ?

        Posté par . Évalué à 10.

        Ça pourrait être intéressant de faire un graphe des dépendances trollessque entres les moules les plus actives.
  • # Gasp...

    Posté par . Évalué à 5.

    Bon, par où je commence?
    1- T'as pas un firewall sur la connexion internet de ton entreprise? Si oui, fait du NAT en filtrant les IP. Sinon, change de boite...
    2- Active directory, tu connais? tu devrais regarder ce que tu peut faire avec, en cherchant bien, tu peut trouver des tutos pour changer ces ports.
    2bis-Les ACL c'est pas fait pour faire joli (heureusement d'ailleurs, parce que c'est très moche...)
    3-Le VPN est ton amis
    4- C'est une aberration d'un point de vu sécurité ton truc (hormis si tes utilisateurs passent par un VPN.
    5-Sinon iSCSI c'est bien aussi. Surtout que tu peut le faire à travers un VPN (BSD sait TRÈS bien gérer ce genre de choses, Linux aussi d'ailleurs...)

    Bref, ta solution est juste pas sécurisé pour deux sous! Tu me donne le nom de ta société que j'aille m'y promener?
    • [^] # Re: Gasp...

      Posté par (page perso) . Évalué à 6.

      1 - filter les ip ca marche pas pour les nomades et ca ajoute une latence pour tout le monde : c'est pas la solutions optimales.

      Pour le vpn il a dit qu'il trouvait trop invasif pour les clients extérieurs.
      • [^] # Re: Gasp...

        Posté par . Évalué à 1.

        Bah pourtant, si il ficèle bien sont truc avec le VPN, une appli à installer, sur Windaube, une icone sur le bureau, double clic et le dossier s'ouvre en toute sécurité...

        De plus, j'ai pas vu où il parlais de Nomades! Mais dans ce cas, le VPN se justifie beaucoup plus facilement.

        Maintenant, quand des utilisateurs se feront démonter leur portable, que tu auras des usurpations d'identités, que ton entreprise auras des fuites d'information, c'est sur ta pomme que ça retombera. A toi donc de faire le nécessaire, car tu es responsable de la solution en place, et donc de la sécurité.

        A l'heure de la HADOPI, vous êtes en plein dans le défaut de sécurisation!
        • [^] # Re: Gasp...

          Posté par (page perso) . Évalué à 5.

          Peut être que le problème c'est justement l'installation et la configuration de l'applis sur les machines clients. Imagine une situation, par exemple, ou ce sont des commerciaux, avec un trun-over important, ou la solution mise en place c'est juste une gestion sur la machine serveur et on ne ce soucie pas des machines clientes.

          Je trouve que c'est bien plus sécurisé une application qui gère cela coté serveur qu'une appli qui gère cela coté client.

          Moi j'aime bien les jugements à l'emporte pièce. Un machine linux ouverte sur le net est moins sécurisé qu'une machine windows ouverte sur le net ? je crois réver.
          • [^] # Re: Gasp...

            Posté par (page perso) . Évalué à 5.

            Peut être que le problème c'est justement l'installation et la configuration de l'applis sur les machines clients.

            Ben, il a dit que c'était des neuneus, donc ils sont sous Windows, donc ils ont automatiquement un client PPTP (voire L2TP/IPSec mais on va pas se prendre le chou, hein) dans leur OS. Donc il installe vite fait un serveur PPTP (dans la config' RAS de son Windows Server, ou dans sa babasse Linusque), et il transmet aux utilisateurs la procédure pas-à-pas pour créer une connexion VPN (il y a une dizaine d'étapes, mais la plupart se résument à appuyer sur « Suivant »). Ensuite, tout le monde il est content.

            Imagine une situation, par exemple, ou ce sont des commerciaux, avec un trun-over important,

            Il doit être bigrement important pour que le nouvel arrivé n'aie pas le temps d'aller dans « connexions réseau » et créer sa cnx VPN avant d'être viré ;-) Sérieusement, les 5 min perdues par l'utilisateur à faire ça t'évitent de devoir trouver de nouvelles bidouilles lorsque les lusers vont demander l'accès à d'autres ressources (e.g., « je veux un bureau distant vers mon poste fixe ! », « je veux pouvoir lire mon courriel sur le serveur ! », « je veux accéder à la compta ! », « je veux un poney ! »... une seule réponse : « utilisez le VPN »). Et si c'est toi qui doit leur configurer le VPN sur les clients ? Bah tu les factures (cher : ils ne veulent pas apprendre ? Ils paient. C'est aussi simple que ça), et c'est tout bénéf'. Quant à la sécurité, ben suffit de donner un login/mdp à chacun, et verrouiller les comptes de ceux qui partent.

            Moi j'aime bien les jugements à l'emporte pièce. Un machine linux ouverte sur le net est moins sécurisé qu'une machine windows ouverte sur le net ?

            Le problème, c'est surtout qu'un service disponible à tous est un vecteur d'attaque, donc ne pas les multiplier permet de réduire le nombre de 0-day qui vont troubler ton sommeil. Et moi, mon sommeil, j'y tiens ;-)

            Envoyé depuis mon PDP 11/70

            • [^] # Re: Gasp...

              Posté par (page perso) . Évalué à 3.

              Il doit être bigrement important pour que le nouvel arrivé n'aie pas le temps d'aller dans [...] Sérieusement, les 5 min perdues [etc]

              Il est clairement indiqué: Des utilisateurs extérieurs à l'entreprise
              Si ça te chante, tu vas faire "les 10 étapes simples" sur leurs postes situés à 250 bornes. Moi pas.

              De toutes manières ça ne résout pas les autres limitations. Donc mauvaise solution.
              • [^] # Re: Gasp...

                Posté par (page perso) . Évalué à 2.

                Si ça te chante, tu vas faire "les 10 étapes simples" sur leurs postes situés à 250 bornes. Moi pas.
                Moi, j'envoie un courriel. La plupart du temps, les gens sont quand même capables de suivre des instructions données étape par étape (sinon, ben mauvais client, changer client — ou monter les tarifs).

                De toutes manières ça ne résout pas les autres limitations. Donc mauvaise solution.
                Quelles limitations ? Pour OpenVPN, tu signales simplement qu'il « ajoute une carte réseau virtuelle ». Certes, les VPN MS rajoutent le « miniport PPTP machin », mais c'est transparent pour le luser. Si le problème est que le VPN leur donne trop d'accès sur le réseau, le démon pptpd crée des interfaces ppp* sur lesquelles tu peux mettre les règles iptables que tu veux (e.g., seuls les ports 139/445 et seulement vers ton serveur). Et, avantage par rapport à ta solution, les fichiers sont transférés dans un tunnel chiffré.

                Quant à la limitation de l'accès dans l'arborescence, ça n'a rien à voir avec l'OS utilisé : il faut simplement mettre les bonnes permissions sur tes dossiers (ça vaut pour Windows comme pour Linux).

                Envoyé depuis mon PDP 11/70

                • [^] # Re: Gasp...

                  Posté par (page perso) . Évalué à 4.

                  Moi, j'envoie un courriel. La plupart du temps, les gens sont quand même capables de suivre des instructions données étape par étape (sinon, ben mauvais client, changer client — ou monter les tarifs).

                  Je ne sais pas ce que vous avez comme client (non-informaticien¹), mais il y a peu de gens autour de moi qui sont capable de suivre une liste d'instruction pour configurer leur PC c'est très rare. Entre ceux qui s'y « connaissent » et qui sautent des étapes parce qu'elles n'étaient pas utiles lorsqu'ils ont branché leur webcam² et ceux qui n'y connaissent rien et il faut donner les instructions en cm de déplacement de souris, c'est souvent difficile d'avoir un résultat correct sans passer du temps au téléphone avec chacun.

                  ¹: quoi que...
                  ²: - mais ça n'a rien à voir avec une webcam.
                  - et alors?

                  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                  • [^] # Re: Gasp...

                    Posté par (page perso) . Évalué à 3.

                    Pour aider ces gens là, il y a gitso qui permet facilement de prendre le contrôle d'un poste distant sans leur demander leur IP et sans leur fait ouvrir des ports dans leur box.

                    Dans le même genre il y a pchelpware, mais gitso à l'avantage d'être multiplateforme ( windows, linux, mac ), tant du coté de l'utilisateur que du technicien
          • [^] # Re: Gasp...

            Posté par . Évalué à 2.

            Moi j'aime bien les jugements à l'emporte pièce. Un machine linux ouverte sur le net est moins sécurisé qu'une machine windows ouverte sur le net ? je crois réver.

            Hem, ou t'a vu que j'ai marqué ça? Moi aussi j'aime bien les jugements à l'emporte pièce pour reprendre tes mots.

            Ensuite, une application ça se package, double clic et puis s'installe. Surtout pour le VPN.

            Et non, une application sécurisé se joue ET sur le serveur ET sur le client.
    • [^] # Re: Gasp...

      Posté par . Évalué à 8.

      ta solution est juste pas sécurisé pour deux sous
      les mots de passes sont envoyés par mail, voyez le niveau
      • [^] # Re: Gasp...

        Posté par . Évalué à 1.

        Bah, c'est toujours plus sécurisé que par courrier papier ou téléphone...
      • [^] # Re: Gasp...

        Posté par (page perso) . Évalué à 3.

        Ben il a pas spécifié si les mails étaient chiffrés avec une solution comme PGP. Dans ce cas, je ne vois pas de problème de sécurité ... un mail en clair par contre ...

        "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

        • [^] # Re: Gasp...

          Posté par . Évalué à 5.

          De toute manière, vu comment ils ont l'air doué ses utilisateurs, je suis sur qu'il y'en a au moins un qui a un fichier motdepasse.txt sur son bureau windaube... Enfin si c'est pas carément le DSI qui possède l'intégralité des mots de passes root et administrateur de la boite stocké de cette manière...
          • [^] # Re: Gasp...

            Posté par (page perso) . Évalué à 7.

            >>> vu comment ils ont l'air doué ses utilisateurs, je suis sur qu'il y'en a au moins un qui a un fichier motdepasse.txt sur son bureau

            Ha moi j'ai vu un mec plus malin que ça. Il m'a dit qu'il n'avais pas un fichier motdepasse.txt sur son bureau car ce n'était pas sécurisé. Il a donc nommé son fichier avec un nom innocent du type "rapport_hebdo_06/03/2009.txt" histoire de donner le change et de tromper les vils pirates.
            • [^] # Re: Gasp...

              Posté par (page perso) . Évalué à 8.

              C'est pour ça que beaucoup de gens préconisent de conseiller d'écrire le mot de passe sur un papier et de garder ce papier dans le porte-monnaie. Je suis assez d'accord avec cette idée.

              "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

              • [^] # Re: Gasp...

                Posté par . Évalué à 2.

                Moi je trouves ca tres stupide au contraire.

                Ce que je preconise si vraiment necessaire, c'est d'ecrire sur un bout de papier quelque chose qui aidera l'utilisateur a se rappeler le mot de passe, mais pas le mot de passe lui-meme.

                Sinon, il y a toujours les trucs genre choisir un mot de passe simple mais difficile a cracker :

                One_Day2Hot
                PoolArray[2046]
                etc...
                • [^] # Re: Gasp...

                  Posté par (page perso) . Évalué à 3.

                  Oui genre "ma date de naissance à l'envers", informations qui se trouvent dans le porte-monnaie aussi.
                  La personne va beaucoup plus faire attention à son porte-monnaie que les données de l'entreprise. Un porte-monnaie contient :
                  - pièce d'identité
                  - permis de conduire ou abonnement de transport public
                  - cartes de banque
                  - cartes de crédit
                  - cartes de fidélité dans les restos (option)
                  - argent liquide
                  - ...

                  N'importe quel utilisateur va donner assez facilement son mot de passe à n'importe qui, par contre son porte-monnaie non. Et quand l'utilisateur perd son porte-monnaie, on le sait très, très rapidement.

                  Et tu devrais suivre la politique des "gourous" Microsoft : http://news.cnet.com/Microsoft-security-guru-Jot-down-your-p(...) et http://www.schneier.com/blog/archives/2005/06/write_down_you(...) (pour le stockage dans le porte-monnaie).

                  Entre le mot de passe "abcd1234" pas écrit sur un papier ou "3%dj4*sjdcv&*" écrit sur un papier dans le porte-monnaie, je préfère le second.

                  Ensuite il reste les cartes de mot de passe qui est une solution plus sécurisée, mais plus difficile à faire passer auprès des utilisateurs (mais je vais essayer, des fois que ...) : http://www.tchetch.net/wiki/services/passcard et http://www.vvsss.com/grid/

                  Finalement : http://xkcd.com/538/

                  "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

                  • [^] # Re: Gasp...

                    Posté par . Évalué à 0.

                    Ben non justement, pas date de naissance a l'envers.

                    Tu noteras que les exemples que j'ai donne ne sont connectes en rien a l'utilisateur, ils sont simplement faciles a memoriser.

                    abcd1234 est bien trop basique (suite --> facile), des melanges de mots et chiffres avec majuscule ici ou la et autres caracteres (_ ! etc...) par contre, ca devient tout de suite autre chose.
                    • [^] # Re: Gasp...

                      Posté par (page perso) . Évalué à 6.

                      Clairement, on voit que le contact avec les utilisateurs tu connais pas. Les mots de passes que tu as donné en exemple sont des mots de passes d'informaticien, pas d'utilisateur.

                      Les utilisateurs mettent des mots de passe intemporels (toujours vrai), réel et rattaché à leur vie. Genre le nom de la femme. Et comme on les oblige à appliquer des règles particulières, ils vont mettre la première lettre en majuscule ensuite rajouté 123* à la fin et c'est bon.

                      C'est ce que j'ai vu un peu partout où j'ai travaillé ... comme j'ai fait de la ssi, ça fait vite beaucoup d'utilisateurs et surtout des utilisateurs n'ayant pas de compétences en informatique. D'ailleurs quand tu veux tester un compte utilisateur, tu devines son mot de passe en connaissant les dates de naissances, les noms et quelques lieux clés et les boissons préférées, ... (des choses que tu sais facilement après avoir travaillé un mois avec). Où je suis actuellement, ça marche pour, à la louche, ~90% des utilisateurs (oui on s'était amusé un jour à tester) ...

                      "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

                      • [^] # Re: Gasp...

                        Posté par (page perso) . Évalué à 2.

                        Ou les initiales de la personne. Ou "serveur monentreprise numéro" dans ce style là. Un mot de passe c'est pas une protection au final...

                        Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

                      • [^] # Re: Gasp...

                        Posté par . Évalué à -1.

                        Celui de l'array tout a fait, le 1er pas du tout.

                        Tu vas trouver ca dingue, mais je cotoie plein de gens qui ne sont pas informaticiens.

                        Les utilisateurs, effectivement si on ne leur dit rien, ils vont mettre des mots passe bidons genre le nom de leur chien, copain/copine, date de naissance et autre, ceux qui veulent faire un effort ils vont prendre un mot de passe un peu complexe... et l'ecrire quelque part.

                        Mais une fois que tu leur a explique et montre la technique, ca devient vite different car c'est simple a memoriser et suffisament complexe(meme si loin d'etre parfait).
                        • [^] # Re: Gasp...

                          Posté par (page perso) . Évalué à 3.

                          Tu vas trouver ça dingue mais je te parle de centaines d'utilisateurs, toutes catégories confondues. D'autres admin abondent dans mon sens et si tu cherches un peu :

                          http://www.zdnet.com/blog/security/weak-passwords-dominate-s(...) et http://www.net-security.org/secworld.php?id=8742

                          Et encore plus dingue, on leur explique. Et, là ça devient carrément hallucinant, ça fait des années qu'on leur explique. Et, là c'est le trip au LSD sur saturne, ça fait des années que _plein_ de monde leur explique, qu'on fait des campagnes de prévention, ...

                          Bien. Tu as réussi a expliquer ça à deux trois personnes (peut-être plus), maintenant il te reste quelques millions de personnes, vu que tu sembles être le seul à être capable d'expliquer ça.

                          Et tu leur expliques aussi de ne pas utiliser le même mot de passe pour l'entreprise que leur compte Microsoft Live ou Microsoft Hotmail, parce que ces entreprises ne respectent pas l'intimité et ça représente un risque pour la sécurité. Et aussi un mot de passe différent pour Facebook, un différent pour Apple, un différent pour Google, un différent pour la banque en ligne, un différent pour ...

                          Et tu vois maintenant la problématique. Alors avec tes "one_Day_2hot" ... sur facebook c'est "last_day_2_colD" et sur google c'est "I_can_1_remember_the_DAY!", ...

                          Et tu sais pourquoi ce merdier ? Parce que des entreprises comme Microsoft, Apple, Google, Facebook, ... n'ont aucun respect des règles de politesse élémentaire : respecter l'intimité des gens. La confiance est nécessaire à la sécurité.

                          ... un jour tu comprendras ...

                          "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

                  • [^] # Re: Gasp...

                    Posté par . Évalué à 3.


                    Et tu devrais suivre la politique des "gourous" Microsoft : http://news.cnet.com/Microsoft-security-guru-Jot-down-your-p(...) et http://www.schneier.com/blog/archives/2005/06/write_down_you(...) (pour le stockage dans le porte-monnaie).


                    La politique de mots de passe chez Microsoft c'était mieux à vent :o
                    http://support.microsoft.com/kb/276304


                    Sinon perso je suis fan des mots de passe qu'on ne peut retenir directement : table de code, somme de contrôle...

                    J'ai d'ailleurs prévu de m'imprimer une table de code pour chaque service, avec un chemin différent pour chaque fiche (mais facile à déduire) et mettre le tout sur un répertoire rotatif trié par nom du service.

                    Et pour revenir au sujet du journal, si le problème c'est l'accès de l'extérieur à une resource privée du réseau local, la solution la plus logique et propre est un d'utiliser un VPN, c'est fait pour ça, c'est même écrit dans le nom "réseau privée virtuel" !
      • [^] # Re: Gasp...

        Posté par (page perso) . Évalué à 2.

        Tu interprètes :-)

        Ces personnes ne savent pas copier/coller un mot de passe envoyé par email != j'envoie les mots de passe par email
    • [^] # Re: Gasp...

      Posté par (page perso) . Évalué à 4.

      Toi, tu cherches les mauvais arguments et tu les trouves :-)

      1- T'as pas un firewall sur la connexion internet de ton entreprise?
      Il faudra que tu m'expliques comment ton pare-feu autorise certains utilisateurs et pas d'autres.
      De plus certaines personnes osent avoir une liaison sans IP fixe: clef 3G, ADSL, ou même plusieurs lieux de connexions non connus à l'avance.



      2- Active directory, tu connais? tu devrais regarder ce que tu peut faire avec, en cherchant bien, tu peut trouver des tutos pour changer ces ports.

      Changer les ports 139 et 445 des postes clients extérieurs à l'entreprise sur lesquels je n'ai pas la main ? Tu es très fort.


      2bis-Les ACL c'est pas fait pour faire joli
      Les ACLs Windows fonctionnent très bien, c'est un point vraiment positif pour ces systèmes. J'ai tout de même précisé dans mon texte que je préfère éviter de me baser là-dessus car ça oblige à vérifier régulièrement que personne n'a mis par erreur des droits trop permissifs pour ces personnes étrangères.


      3-Le VPN est ton amis
      Déjà répondu. Personnes extérieures, trop intrusif, lourdingue, etc.
      Tu te débrouilles en informatique. Le reste du monde non.
      Et surtout un VPN ne résout pas les autres points.


      4- C'est une aberration d'un point de vu sécurité ton truc
      Ah ?


      5-Sinon iSCSI c'est bien aussi.
      Mouche, bombe atomique, toussa :-)


      Avec ma "solution pourrie" aucun utilisateur n'a besoin de modifier quoi que ce soit sur son poste. Ca limite considérablement les risques d'intrusion. Ca limite considérablement les risques d'erreur de droits/paramétrages/etc. Et en prime c'est un poil plus rapide.
      Tu veux quoi d'autre comme argument ?
      • [^] # Re: Gasp...

        Posté par (page perso) . Évalué à 7.

        L'argument de la rapidité tombe à l'eau vu que tu dois répondre à tout les trolls qui critiquent ta solution : CQFD.

        « En fait, le monde du libre, c’est souvent un peu comme le parti socialiste en France » Troll

        • [^] # Re: Gasp...

          Posté par (page perso) . Évalué à 1.

          Sur LinuxFr on trolle pour dire que Windows avait les outils privateurs requis pour faire ce qui a nécessité Linux.


          Bientôt on s'appellera UbuntuFr, on se plaindra des antivirus préinstallés lors de l'achat d'un GayMacBook, Microsoft éditera WinBSD orienté serveur, et Mark fera des conférences de presse dans l'Espace tandis que les moules, glapissant sur LinuxFr UbuntuFr, diront que Fedora caylemal.

          Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

          • [^] # Re: Gasp...

            Posté par . Évalué à 3.

            En même temps, on apprend qu'une moule « glapit ». Avec ça, on ne peut pas avoir perdu sa journée… :-)
          • [^] # Re: Gasp...

            Posté par . Évalué à 2.

            C’est intéressant d’utiliser gay comme préfixe, il faut comprendre gaymacbook, comme «cet ordinateur de pédale» ?

            Depending on the time of day, the French go either way.

      • [^] # Re: Gasp...

        Posté par . Évalué à 5.

        1- Ok, c'est vrai que plus personne n'a d'IP fixe de nos jour...
        2 et 3 - Paquet préparé par tes soins, double clic, s'installe tout seul, fin du problème. Bon évidement, il faut que tu travail alors forcément, c'est pas gagné.
        2Bis - Parce que tout le monde peut toucher les ACL de tes serveurs de fichier? Tu bosse où pour que tout le monde puisse modifier ça? Monte un AD ou un équivalent avec Samba (ça marche très bien aussi!), limite les droits!
        4- Nan mais maintenant, tu vas me dire que SMB est un protocole sécurisé? T'as fumé ou quoi? C'est un protocole fait pour être utilisé sur un LAN, pas pour des utilisateurs distant...
        5-Ben, là, je peut rien pour toi, google est ton ami...

        Avec ma "solution pourrie" aucun utilisateur n'a besoin de modifier quoi que ce soit sur son poste. Ca limite considérablement les risques d'intrusion. Ca limite considérablement les risques d'erreur de droits/paramétrages/etc. Et en prime c'est un poil plus rapide.
        Tu veux quoi d'autre comme argument ?


        Pour le premier, ok et ils se connectent comment sur ton partage?
        Ca limite les risques d'intrusion? Avec un SI ou n'importe qui peut modifier les droits sur tes partage, t'y crois toi? Bon, effectivement, c'est un poil plus rapide, mais c'est le seul argument valable que j'y vois.

        En bref, t'y connais pas grand chose en Windows et en Linux non plus. Qui plus est, t'as la flemme de chercher une vrai solution et t'as pris le premier truc qui passait par là... Alors, oui, ta solution est pourris.
  • # j'ai du loupé un episode mais

    Posté par . Évalué à 4.

    Windows ne sait pas autoriser l'accès depuis l'extérieur pour seulement certains utilisateurs.[...] Bien entendu, hors de question d'exposer les ports 139/445 directement sur internet.

    suivi quelques lignes plus bas par
    Avantage 4: se connecter à un partage Samba via internet est plus rapide que de se connecter à un partage Windows (heu... bon, ok).

    je me demandes bien quels sont les ports que samba (par defaut) peut bien exposer ?

    et puis un partage windows, tu lui dis quels utilisateurs peuvent y avoir acces.
    ensuite que ca vienne du reseau local, ou de l'exterieur, c'est la meme problematique non ?
    • [^] # Re: j'ai du loupé un episode mais

      Posté par . Évalué à 2.

      Je crois que le problème n'est pas les autorisations, mais les potentielles failles de sécurité de l'implémentation SMB de Windows.

      Même si Samba en a certainement, elles sont bien moins exposées et surtout médiatisées que celles de Windows, et c'est de ça qu'il doit avoir peur.

      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

      • [^] # Re: j'ai du loupé un episode mais

        Posté par . Évalué à 4.

        Là mon gars, je parierais pas dessus. Même si µ$oft c'est des nazes, le CIFS, ils maitrisent quand même un peu (bon, même si ils font de super bourdes...).
        Par contre, oui, elles sont quand même plus facile à trouver sur google.
        • [^] # Re: j'ai du loupé un episode mais

          Posté par . Évalué à 4.

          Je ne parierais pas non plus là-dessus. Théoriquement, ils maitrisent Windows aussi, c'est même eux qui l'ont conçu. Et pourtant, il y a de nouvelle failles tous les jours...

          Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

          • [^] # Re: j'ai du loupé un episode mais

            Posté par . Évalué à -2.

            Tout a fait, le truc etant qu'on en a moins que les autres, ce qui prouve qu'on est pas des nazes (du moins compare aux 2 autres)
            • [^] # Re: j'ai du loupé un episode mais

              Posté par . Évalué à 3.

              Il y en a peut-être moins, mais elles sont belles.

              Tiens celle d'aujourd'hui : http://www.pcinpact.com/actu/news/58013-microsoft-faille-cri(...)

              Franchement, faut reconnaître que c'est ironique : c'est le centre de sécurité du SP2 qui apporte une faille :o)
              Et bien que connue depuis le 10 juin, toujours pas de patch.

              Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

              • [^] # Re: j'ai du loupé un episode mais

                Posté par . Évalué à 3.

                Si seulement ce qu'ils racontaient etait vrai.

                La vulnerabilite n'a _absolument rien_ a voir avec le centre de securite. C'est le Help & Support center (aucune idee de la traduction dans la version francaise) qui contient le probleme.

                Et bien que connue depuis le 10 juin, toujours pas de patch.

                a) Tous les anti-virus existants protegent contre cette attaque
                b) Il y a un workaround ici : http://support.microsoft.com/kb/2219475 qui bloque la vulnerabilite

                Bref, il faut corriger la vulnerabilite, mais c'est pas urgent au point de sortir un patch sans le tester. Ca peut paraitre dingue, mais ici on teste nos patchs avant de les envoyer a quelque centaines de millions de gens, et tester un patch correctement ca prend du temps.
                • [^] # Re: j'ai du loupé un episode mais

                  Posté par (page perso) . Évalué à 4.

                  a) Tous les anti-virus existants protegent contre cette attaque
                  Bref, il faut corriger la vulnerabilite, mais c'est pas urgent
                  Moi un OS qui me demande un anti-virus pour être protégé et qui se dit : « on attend avant de publier un patch, les AV gère déjà » ça me fait peur.

                  et tester un patch correctement ca prend du temps
                  Ben oui, forcément, on sait pas ça nous, qu'est-ce qu'on est con…

                  J'suis utilisateur de Arch en desktop (sur [testing]) et server@home (sur [core] à jour), les rare problème que j'ai eu c'est sur le desktop avec des truc genre : « XX (programme installé à la main) ne trouve pas libmachin.so.xx » (corriger en recompilant XX avec la bonne lib).
                  • [^] # Re: j'ai du loupé un episode mais

                    Posté par (page perso) . Évalué à 3.

                    Merde…
                    s/qui se dit/qui dit/
                    s/gère/gèrent/
                    s/rare/rares/
                    s/problème/problèmes/
                    s/truc/trucs/
                    s/corriger/corrigés/

                    Bonne nuit les petits…
                  • [^] # Re: j'ai du loupé un episode mais

                    Posté par . Évalué à -1.

                    Moi un OS qui me demande un anti-virus pour être protégé et qui se dit : « on attend avant de publier un patch, les AV gère déjà » ça me fait peur.

                    T'as rate l'option b) hein ?

                    Ben oui, forcément, on sait pas ça nous, qu'est-ce qu'on est con…

                    Visiblement oui, parce qu'un patch ca ne s'ecrit/teste/release pas en 2 jours de maniere correcte.

                    J'suis utilisateur de Arch en desktop (sur [testing]) et server@home (sur [core] à jour), les rare problème que j'ai eu c'est sur le desktop avec des truc genre : « XX (programme installé à la main) ne trouve pas libmachin.so.xx » (corriger en recompilant XX avec la bonne lib).

                    C'est super, tu m'as toujours pas explique comment on teste un patch correctement en 2 jours.
                    Tu sais : verifier que rien ne casse, que la localisation marche correctement, qu'il n'y a pas de probleme de perf, que le patch s'installe correctement sur un tas de configs differentes, qu'en cas d'interruption de courant lors de l'installation ta machine ne part pas dans les choux, etc... Tout ca sur toutes les plateformes necessaires : x64/x86 XP/Vista/Win7/WS08/...

                    Ben oui, ici on fait du developpement de softs utilises en masse et dont les enterprises dependent pour tourner, on ecrit pas des gadgets utilises par 3 pekins. Ca demander legerement plus d'attention que Arch
                    • [^] # Re: j'ai du loupé un episode mais

                      Posté par (page perso) . Évalué à 2.

                      qu'en cas d'interruption de courant lors de l'installation ta machine ne part pas dans les choux
                      On voit bien que vous gérez ça très bien, y a qu'à voir les finitions d'installation de màj (quand on arrête le PC) qui en plus de prendre 3 plombes sont considérées comme installées au reboot après une coupure.

                      Visiblement oui, parce qu'un patch ca ne s'ecrit/teste/release pas en 2 jours de maniere correcte
                      Qui a parler de le tester en 2 jours ?

                      Un patch, ça s'écrit, ça se distribue, des gens le test, s'il apporte une régression des gens corrigent, re-testent etc…

                      En fait, vous c'est :
                      - une faille critique ?
                      - On fait un patch, on test en interne pendant 2 mois;
                      - tous le monde a le temps de se faire cracker (pour peu que la personne se balade sans AV);
                      - On publie le 2ème mardi (c'est ça ?) du 3ème mois (et oui 2 mois de test).

                      Chez nous c'est :
                      - une faille critique ?
                      - Le patch est là (2 jours après);
                      - pas de régression on s'en « occupe plus » sinon, on corrige l'erreur;

                      L'avantage de la solution libre c'est que le mec qui a une distro qui met le patch à dispo il est protégé.

                      C'est super, tu m'as toujours pas explique comment on teste un patch correctement en 2 jours.
                      Voilà, c'est fait. De rien.

                      verifier que rien ne casse
                      Ben oui, vous verifiez tellement qu'on voit jamais : « la mise à jour de sécurité XX apporte une nouvelle faille ».

                      que le patch s'installe correctement sur un tas de configs differentes,
                      Tiens d'ailleurs, c'est HS mais ça me fait penser, le kernel Linux est installable sur plus de matériel que les distribution Windows.

                      Ben oui, ici on fait du developpement de softs utilises en masse
                      Ben oui, c'est pas comme nous, on a pas de GROS serveur en prod un peu partout. C'est vrai que l'utilisation de windows sur serveur est très très grande comparré aux OS Libre.

                      dont les enterprises dependent pour tourner
                      Ben ça… C'est sûr que GNU/Linux en entreprise ça existe pas. Même pas 1% je dirai…

                      on ecrit pas des gadgets utilises par 3 pekins
                      Sûr ! Ton OS n'est pas un gadget le notre si. D'ailleurs c'est tellement un gadget que vous commencez à sentir vos fesses se serrer dans le domaine de l'embarqué/téléphone.

                      Ca demander legerement plus d'attention que Arch
                      Normal, Arch ne demande aucune attention, Arch tu l'installe une fois, ça juste marche toujours…


                      Voilà, t'es content, j'ai répondu point par point à toi d'en faire autant (à ben non, tu sais pas faire ça toi).

                      désolé pour les fautes, trop fatigué pour relire
                      • [^] # Re: j'ai du loupé un episode mais

                        Posté par . Évalué à 3.

                        On voit bien que vous gérez ça très bien, y a qu'à voir les finitions d'installation de màj (quand on arrête le PC) qui en plus de prendre 3 plombes sont considérées comme installées au reboot après une coupure.

                        On gere ca certainement bien mieux que Linux oui, c'et garanti a 100% vu que les package managers sous Linux n'utilisent pas de systeme a base de transaction

                        Qui a parler de le tester en 2 jours ?

                        Un patch, ça s'écrit, ça se distribue, des gens le test, s'il apporte une régression des gens corrigent, re-testent etc…


                        Ah oui c'est super comme methode, et Mme Michu, le jour ou elle installe un patch qui a un probleme elle fait quoi exactement ? Ben oui elle est dans une merde noire, sinon ben elle fait quoi ? Elle attend que le patch soit stable, ce qui revient a ce qu'on fait.

                        L'avantage de la solution libre c'est que le mec qui a une distro qui met le patch à dispo il est protégé.

                        Ben oui c'est evident, sa machine plante, c'est sur que personne ne va aller la hacker pendant ce temps !

                        Ben oui, vous verifiez tellement qu'on voit jamais : « la mise à jour de sécurité XX apporte une nouvelle faille ».

                        Non quasiment jamais, a toi de me prouver le contraire. J'attends.

                        Tiens d'ailleurs, c'est HS mais ça me fait penser, le kernel Linux est installable sur plus de matériel que les distribution Windows.

                        Super, ensuite on ira regarder le support de ces materiels sous Linux et on rigolera tres fort.
                        Dans le meme temps je passerai sur le fait que la majorite des machines vendues avec Win7 le sont avec la version 64bit de l'OS, le jour ou Linux 64bit sera autre chose qu'anectodique par contre tu me fais signe.

                        Ben oui, c'est pas comme nous, on a pas de GROS serveur en prod un peu partout. C'est vrai que l'utilisation de windows sur serveur est très très grande comparré aux OS Libre.

                        Ben oui, vu qu'on a 73% du marche et Linux 21%, dont la plupart sont Redhat et Novell, des societes qui testent leurs patchs correctement

                        Ben ça… C'est sûr que GNU/Linux en entreprise ça existe pas. Même pas 1% je dirai…

                        Du Redhat et du Novell beaucoup, le reste pas trop non.

                        Sûr ! Ton OS n'est pas un gadget le notre si. D'ailleurs c'est tellement un gadget que vous commencez à sentir vos fesses se serrer dans le domaine de l'embarqué/téléphone.

                        Sur le telephone c'est sur, mais iOS c'est pas base sur Linux, et Android au final n'a pas grand-chose a voir avec Linux, donc c'est pas vraiment a cause de ton OS cheri.
                        • [^] # Re: j'ai du loupé un episode mais

                          Posté par . Évalué à 2.

                          Ah oui c'est super comme methode, et Mme Michu, le jour où elle se fait pirater parce qu'elle attend un patch Microsoft pour resoudre un probleme, elle fait quoi exactement ? Ben oui elle est dans une merde noire.
                          • [^] # Re: j'ai du loupé un episode mais

                            Posté par . Évalué à 1.

                            Ben non vu qu'il y a 2 methodes pour resoudre le probleme : l'anti-virus, et la solution FixIt de MS.
                            • [^] # Re: j'ai du loupé un episode mais

                              Posté par . Évalué à 2.

                              1) A ton avis, les editeurs d'antivirus, ils sont bien meilleurs que Microsoft (ie: il n'ont pas besoin de deux mois de tests) ou ils ne testent pas leurs produits ?

                              2)
                              a) La solution FixIt de Microsoft n'est pas serieuse : comment Madame Michu en connaîtrait-t-elle l'existence ?
                              b) Garantissez-vous qu'il n'y a pas d'effets de bord avec ce correctif ?

                              3) On se mange la queue ?
                              • [^] # Re: j'ai du loupé un episode mais

                                Posté par . Évalué à 0.

                                1) Un anti-virus c'est pas un OS, la seule chose qu'ils ont a faire c'est ajouter une signature, rien a voir avec le test d'un OS

                                2a) Ben c'est simple: l'enorme majorite des pekins moyens ont un anti-virus et sont proteges sans le savoir, ceux qui n'en ont pas d'habitude savent ce qu'ils font, et eux savent ou trouver le FixIt. Maintenant le monde n'est pas parfait et il y aura toujours une petite minorite qui est entre les deux, mais entre sortir un patch qui risque de foutre la merde chez des millions de gens et quelque milliers de gens, le choix est tres vite fait hein.

                                2b) Non on dit meme clairement quel est l'effet de bord, c'est tout l'avantage, les gens savent exactement ce qui va se produire, contrairement a un patch non-teste

                                3) Euh.... non ca va
                                • [^] # Re: j'ai du loupé un episode mais

                                  Posté par . Évalué à 2.

                                  Ajouter une signature a un antivirus est tout sauf anodin. Les risques d'effets de bords sont tres grand. J'aurais prefere que tu me reponde que les editeurs d'antivirus etait moins scrupuleux a lancer des trucs non teste dans la nature, j'aurais ete plutot d'accord ... (cf. svchost.exe chez McAfee, WoW chez Symantec).
                                  • [^] # Re: j'ai du loupé un episode mais

                                    Posté par . Évalué à 1.

                                    Les risques d'effets de bord sont au contraire tres petits : il leur suffit de valider la signature sur les binaires de l'OS (quelque versions differentes) et sur un ensemble d'applications representatif en plus de la vuln. elle meme.

                                    Ca prend quelque heures a tout casser.
                        • [^] # Re: j'ai du loupé un episode mais

                          Posté par . Évalué à 3.

                          Ben oui, vu qu'on a 73% du marche et Linux 21%
                          uh? quel marché? source? stp?
                        • [^] # Re: j'ai du loupé un episode mais

                          Posté par (page perso) . Évalué à 4.

                          On gere ca certainement bien mieux que Linux oui, c'et garanti a 100% vu que les package managers sous Linux n'utilisent pas de systeme a base de transaction

                          Je suis plutôt d'accord avec tes réponses dans l'ensemble, mais là tu mens effrontément. Utilisateur exceptionnel de Fedora (je ne connais vraiment pas es rouages) je peux pourtant te garantir que « yum » (au moins dans Fedora 13) utilise les transactions (il l'affiche même). Et ça marche, ça ma sauvé une install ou le portable a surchauffé (pas de mauvaise foi, il fait la même chose sous Windows) et s'est éteint.

                          HS: En fait, dans ce cas précis, contrairement à Vista, Fedora s'est même payer le luxe d'un arrêt d'urgence en quelques secondes au moment de la surchauffe, là où Vista meurt d'un coup. Je ne savais même pas que c'était possible.
                          • [^] # Re: j'ai du loupé un episode mais

                            Posté par . Évalué à 1.

                            Oh non ca n'a absolument rien a voir.

                            Tu lances yum, il se met a copier des fichiers, tu coupes au milieu.

                            Apres le reboot, ton disque aura la moitie des fichiers copie et pas l'autre moitie, yum le saura mais le systeme apres reboot ne sera pas dans le meme etant qu'avant l'install, et c'est normal car le FS par defaut sur toutes les distribs n'a pas de concept de transaction.

                            Ce que fait yum c'est pas une transaction ca, dans le cas de Vista/Win7, au reboot, le machine est comme si tu n'avais pas lance l'installation du package.
                            • [^] # Re: j'ai du loupé un episode mais

                              Posté par (page perso) . Évalué à 5.

                              Oui, c'est vrai, j'ai pas mal d'étudiants qui font ca avec Windows: "Quoi des mises à jours ? Extinction forcée"...

                              Et le résultat ? Un bel écran bleu au démarrage suivant, merci Microsoft...

                              >Linux 64bit sera autre chose qu'anectodique par contre tu me fais signe.

                              Tu veux dire quoi par la ?
                              • [^] # Re: j'ai du loupé un episode mais

                                Posté par (page perso) . Évalué à -7.

                                Je vais venir rajouter ma merde, mais j'ai commandé plusieurs logiciels Microsoft dont Windows 7, parce que sincèrement... Linux, j'en ai raz-le-bol. Combien de temps j'ai pas passé à chaque mise-à-jour pour refaire fonctionner ma machine parce que X déconnait ou les drivers n'étaient pas bon ou des nouvelles versions de certains logiciels ne fonctionnent plus comme il faut, etc. Que ce soit avec ex-Mandrake, Debian ou encore Kubuntu. Au moins Windows, ça plante des fois mais la MAJ elle me fait pas perdre mon temps inutilement.

                                Allez ! Let's go à l'équipe de "inutileurs" ; vous pouvez y aller, j'ai parlé de Microsoft en bien, je suis à bannir.
                                • [^] # Re: j'ai du loupé un episode mais

                                  Posté par (page perso) . Évalué à 3.

                                  Mais on en a rien à branlé que windows plante pas lors des mise à jours (meme si des mises à jour drivers automatique, j'ai jamais vu)...

                                  Mais de toute façon, c'est pas la peine de venir défendre Microsoft, Windows est un logiciel de merde parce qu'il n'est pas libre, c'est aussi simple que cela. Tant qu'il ne sera pas libre, il aura tous les tords !

                                  Perso, un truc qui coute la peau du cul et qui plante, je dis c'est de la merde, un truc libre qui plante, je me dis: tiens je vais essayer de les aider...
                                  • [^] # Re: j'ai du loupé un episode mais

                                    Posté par . Évalué à 3.

                                    Tout a fait d'accord avec toi (bien que la mise à jour auto des drivers windows existe...avec reboot obligatoire...).
                                    Windows c'est de la merde parceque :
                                    - C'est pas libre
                                    - C'est difficile de faire de l'optimisation (je sais faire sous Linux et Windows et je vous garanti que je préfère 1million de fois administrer des machines Linux!)
                                    - Windows est la cible de toutes les attaques, parce que ces cons refusent de donner le code pour que des gens participent aux corrections des failles. La culture du secret est la source de tout les conflits.

                                    Sinon, après, il y a de nombreuses bonnes idées dans cet OS, dommage qu'elles soient gâchée par cette politique commerciale de merde...
                                  • [^] # Re: j'ai du loupé un episode mais

                                    Posté par . Évalué à -3.

                                    Mais de toute façon, c'est pas la peine de venir défendre Microsoft, Windows est un logiciel de merde parce qu'il n'est pas libre, c'est aussi simple que cela. Tant qu'il ne sera pas libre, il aura tous les tords !

                                    Tout a fait, c'est ton libre avis.

                                    Maintenant, visiblement l'enorme majorite de la planete ne le partage pas.
                                    • [^] # Re: j'ai du loupé un episode mais

                                      Posté par . Évalué à 6.

                                      L'énorme majorité de la planète ne sait pas ce qu'est le Logiciel Libre non plus. Sans parler de ceux qui en ont entendu parler mais de façon déformée, et qui prennent ça simplement pour une série de logiciels gratuits... :-)
                        • [^] # Re: j'ai du loupé un episode mais

                          Posté par . Évalué à 5.

                          Mme Michu, le jour ou elle installe un patch qui a un probleme elle fait quoi exactement
                          En même temps il a donné un ordre de grandeur de deux jours pour distribuer le patch, ce qui laisse un peu de temps comme il dit pour envoyer le patch à une foultitude de beta-testeurs. Si après correction des régressions beta-testées Mme Michu a un problème c'est sans doutes qu'elle a une configuration vraiment particulière.

                          « la mise à jour de sécurité XX apporte une nouvelle faille ».

                          Non quasiment jamais, a toi de me prouver le contraire. J'attends.


                          C'est marrant, mais il me semble bien (des souvenirs précis de formations sécurité) que la meilleure façon de trouver une nouvelle faille, c'est justement d'étudier le patch qui est censé en corriger une autre. En effet, le patch est généralement fait assez vite, et n'a pas tous les critères de qualité du développement traditionnel, donc pour une faille connue corrigée, il en introduit quelques-unes inconnues.

                          ensuite on ira regarder le support de ces materiels sous Linux et on rigolera tres fort.
                          Tiens c'est amusant, de mon côté j'avais entendu dire plusieurs fois que Linux était devenu l'OS qui reconnaissait et supportait le plus de matériel de toute l'histoire. Qui se souvient par exemples de ces nombreuses imprimantes qui marchaient avec windows XP et windows XP SP1 et plus avec le SP2 ? Combien de scanners, imprimantes multifonctions, chip wifi etc. ont été laissés sur le carreau de windows XP à windows 7 par exemple ?


                          et puisqu'on est vendredi...
                          Ben oui, vu qu'on a 73% du marche et Linux 21%, dont la plupart sont Redhat et Novell, des societes qui testent leurs patchs correctement
                          Et si plutôt que de se restreindre à une approche purement économique, tu considérais aussi l'utilisation de Linux hors marché ? si toutes les distributions sont libres, nombreuses sont gratuites et beaucoup de boîtes utilisent des serveurs Linux en faisant une maintenance en interne et en se reposant uniquement sur le support gratuit (mises à jour de sécurité) gratuites. Tu veux donc dire que Debian, ArchLinux et les autres ne testent pas leurs patches correctement ? Comment le sais-tu ?
                          • [^] # Re: j'ai du loupé un episode mais

                            Posté par . Évalué à 0.

                            En même temps il a donné un ordre de grandeur de deux jours pour distribuer le patch, ce qui laisse un peu de temps comme il dit pour envoyer le patch à une foultitude de beta-testeurs. Si après correction des régressions beta-testées Mme Michu a un problème c'est sans doutes qu'elle a une configuration vraiment particulière.

                            Tu rigoles ? 2 jours c'est _rien du tout_

                            Ca donne tout juste le temps aux beta-testeurs d'installer la chose et essayer 2-3 trucs, et inutile de dire que l'enorme majorite de ces beta-testeurs n'a absolument aucune idee de comment tester un patch.

                            Tiens pour exemple, tous nos composants serveurs doivent tenir de maniere propre (pas de mem leak, # de requetes rejetees raisonnable, evidemment pas de crash,...) au moins 2 semaines en etant totalement bombardes de requetes non-stop. Il y a evidemment aussi les tests de performance (les perfs ne baissent pas de maniere significative a cause du patch)... Tu m'expliques comment tester un truc comme cela en 2 jours ? Impossible. Pour les composants "desktop" genre librairies, faut verifier qu'on a pas casse la compatibilite avec les milliers de softs utilisant ces librairies, on teste evidemment pas tous les softs de la planete, mais plusieurs centaines, et de maniere ciblee, pas juste en lancant le soft, etc...

                            C'est marrant, mais il me semble bien (des souvenirs précis de formations sécurité) que la meilleure façon de trouver une nouvelle faille, c'est justement d'étudier le patch qui est censé en corriger une autre. En effet, le patch est généralement fait assez vite, et n'a pas tous les critères de qualité du développement traditionnel, donc pour une faille connue corrigée, il en introduit quelques-unes inconnues.

                            Chez Linux totalement, parce qu'en 2 jours c'est impossible. Chez nous pas du tout, parce que ce boulot (trouver les variantes avant de sortir le patch) c'est exactement ce quoi je suis paye pour ainsi que plusieurs collegues, c'est mon boulot a plein temps. Et crois-moi ca prend plus d'une semaine pour faire un boulot correct dans la plupart des cas.

                            Tiens c'est amusant, de mon côté j'avais entendu dire plusieurs fois que Linux était devenu l'OS qui reconnaissait et supportait le plus de matériel de toute l'histoire. Qui se souvient par exemples de ces nombreuses imprimantes qui marchaient avec windows XP et windows XP SP1 et plus avec le SP2 ? Combien de scanners, imprimantes multifonctions, chip wifi etc. ont été laissés sur le carreau de windows XP à windows 7 par exemple ?

                            Oh mais c'est pas la question, pour la reconnaissance des scanners de l'an mille, je suis 100% sur que Linux fait un meilleur job.
                            Pour la reconnaissance et l'utilisation a 100% du materiel qui est en magasin aujourd'hui par contre, c'est clairement pas le cas.

                            Et si plutôt que de se restreindre à une approche purement économique, tu considérais aussi l'utilisation de Linux hors marché ? si toutes les distributions sont libres, nombreuses sont gratuites et beaucoup de boîtes utilisent des serveurs Linux en faisant une maintenance en interne et en se reposant uniquement sur le support gratuit (mises à jour de sécurité) gratuites

                            Et toi tu as considere les nombreuses entreprises qui achetent des machines serveur sans OS car elles ont un contrat avec MS ? C'est pourtant le cas de la plupart des grosses et de beaucoup de moyennes entreprises.

                            Tu veux donc dire que Debian, ArchLinux et les autres ne testent pas leurs patches correctement ? Comment le sais-tu ?

                            Quand un patch sort en quelque jour c'est plus qu'evident, il n'y a tout simplement pas assez de temps pour faire un boulot correct.
                            • [^] # Re: j'ai du loupé un episode mais

                              Posté par (page perso) . Évalué à 3.

                              Un scanner, tu l'achètes pour qu'il fonctionne.
                              Si changer de version d'OS ça signifie jeter à la poubelle le scanner (ou l'imprimante), parce que la nouvelle version ne prend pas en compte le matériel à peine démodé, c'est que cet OS est merdique et contribue à la pollution de l'environnement.

                              Sous Linux, quand un matériel fonctionne une fois, il fonctionne toujours (sauf à quelques exceptions près). Donc Linux, c'est pérenne. D'autant plus qu'il est très facile de revenir en arrière pour une partie du système. Linux, c'est flexible... donc fiable.

                              CQFD.
                        • [^] # Re: j'ai du loupé un episode mais

                          Posté par (page perso) . Évalué à 4.

                          Dans le meme temps je passerai sur le fait que la majorite des machines vendues avec Win7 le sont avec la version 64bit de l'OS, le jour ou Linux 64bit sera autre chose qu'anectodique par contre tu me fais signe.
                          Ha ben oui, c'est pas comme si j'utilisait des distro 64b depuis 2 ou 3 ans maintenant.

                          D'ailleurs assez souvent les LL sont écris correctement et portables facilement entre i*86 et x86_64.
                        • [^] # Re: j'ai du loupé un episode mais

                          Posté par . Évalué à 6.

                          Dans le meme temps je passerai sur le fait que la majorite des machines vendues avec Win7 le sont avec la version 64bit de l'OS, le jour ou Linux 64bit sera autre chose qu'anectodique par contre tu me fais signe.

                          Il était temps. Windows est dispo sur cette archi depuis XP, et ce n'est que maintenant qu'il commence à être utilisé sur des machines 64 bits ?

                          Parce qu'au contraire, depuis que je bosse dans l'info (2006), dès que je vois une machine Linux avec un proc 64 bits, l'OS est 64 bits. D'ailleurs, tu achètes un serveur sous Linux, il est en 64 bits.

                          À côté de ça, je voyais mes collèges administrateurs Windows me dire « mais t'es fou, pourquoi t'as mis du 64 bits ? ». Ben pour suivre le proc, pardi.

                          Bien entendu, avec ma Debian sur mon portable, je dois être le seul au boulot avec un OS 64 bits.

                          Alors ce genre de considérations, ça me fait doucement sourire.

                          Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                          • [^] # Re: j'ai du loupé un episode mais

                            Posté par . Évalué à 1.

                            Il était temps. Windows est dispo sur cette archi depuis XP, et ce n'est que maintenant qu'il commence à être utilisé sur des machines 64 bits ?

                            Ca fait longtemps, la difference est qu'ajourd'hui la majorite est 64bits.

                            Parce qu'au contraire, depuis que je bosse dans l'info (2006), dès que je vois une machine Linux avec un proc 64 bits, l'OS est 64 bits. D'ailleurs, tu achètes un serveur sous Linux, il est en 64 bits.

                            Sur les serveurs oui car le matos a gerer est limite.
                            Sur le desktop par contre, c'est une autre histoire, au hasard tous les matos ou le support est assure par ndiswrapper, si par malheur le driver Windows est base sur NDIS6 ce qui est de plus en plus souvent le cas, pas de bol, marchera pas.
                    • [^] # Re: j'ai du loupé un episode mais

                      Posté par (page perso) . Évalué à 4.

                      quel sens de l'humour ...
    • [^] # Re: j'ai du loupé un episode mais

      Posté par (page perso) . Évalué à 6.

      Exposer les ports 139/445 d'un Windows sur internet, c'est donner la possibilité d'entrer dessus, entre autre via le compte administrateur. C'est également la possibilité de faire des appels RPC.

      Exposer les ports 139/445 de Samba ne permet que d'entrer avec les utilisateurs Samba. Root n'en fait jamais partie (enfin, en principe), ni l'administrateur du Windows d'à côté. Et pas de faille RPC ou autre.

      Si tu trouves un identifiant+passe du Samba, tu as seulement accès aux fichiers correspondant. Par contre si tu fait la même chose sur un serveur Windows, c'est souvent bien plus intéressant :-)
  • # sharepoint

    Posté par (page perso) . Évalué à 5.

    En gros, ce que tu veux, c'est un sharepoint /o\ (pas tapai)

    Je ne sais pas si ca existe en libre
    • [^] # Re: sharepoint

      Posté par . Évalué à 4.

      Il y aurait Alfresco,la version community, qui pourrait convenir.
      http://www.alfresco.com/community/
      C'est du Java derrière.

      Personnellement, je trouve que SharePoint est une mauvaise alternative à Alfresco.
      • [^] # Re: sharepoint

        Posté par . Évalué à 1.

        Ben voila un soft qu'il est bien. Je sais pas pourquoi, mais j'ai comme dans l'idée que c'est plus sécure que du SMB sur le Net. Mais bon, je doit surement raconter des conneries...
  • # WebDAV

    Posté par . Évalué à 1.

    Je me trompe peut-être mais est-ce que dans ce cas un accès WebDAV peut aussi être une solution ?
    • [^] # Re: WebDAV

      Posté par . Évalué à 3.

      Encore mieux, ne serait-il pas possible d'utiliser du SSH ?

      Tu n'es pas obligé de gérer des mots de passe, mais des clefs, est-ce que ça ne serait pas plus facile pour toi ? En plus, c'est au top niveau sécurisé.

      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

      • [^] # Re: WebDAV

        Posté par . Évalué à 2.

        y a des clients SSHFS pour windows ?
        • [^] # Re: WebDAV

          Posté par (page perso) . Évalué à 2.

          >y a des clients SSHFS pour windows ?
          Cygwin ?
          • [^] # Re: WebDAV

            Posté par . Évalué à 4.

            dans le genre pas intrusif

            bonjour monsieur, vous voulez accederà nos fichiers ?
            alors il vous faut installer cygwin
            ensuite taper 3 commandes...

            voila vous avez acces.

            sinon la prochaine fois, vous retapez juste les 3 commandes
        • [^] # Re: WebDAV

          Posté par . Évalué à 1.

          WinSCP.

          Et pas intrusif, puisque disponible en stand-alone.

          Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

          • [^] # Re: WebDAV

            Posté par . Évalué à 3.

            je me fait l'avocat du diable (l'utilisateur microsoft) ;)
            de memoire il me semble que winscp permet de copier un fichier depuis/vers le serveur, via SSH

            en aucun ca cela ne monte un lecteur accessible comme un lecteur reseau.
            et du coup ca ne permet pas de double cliquer et d'editer le fichier au travers du reseau...
            si ?
            • [^] # Re: WebDAV

              Posté par . Évalué à 3.

              Ah oué, pas bête, j'ai jamais essayé. Faudra que je regarde.

              Au pire, il y a NFS avec les SFU (oui, j'aime pas avoir tort :-)

              Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

  • # C'est pourtant simple

    Posté par . Évalué à 3.

    Pour l'acces externe et verifier qui peut s'y connecter, il y a un truc genial nomme IPSEC qui est fait pour. Les guignols qui veulent essayer de hacker ton systeme n'arriveront meme pas a se connecter au port utilise avec ca.

    Pour limiter l'acces dans l'arborescence, il y a un autre truc genial nomme ACL qui est fait pour

    Voila, solution simple et efficace. Suffisait de savoir comment faire.
    • [^] # Re: C'est pourtant simple

      Posté par . Évalué à 1.

      Tien, c'est marrant, je disais la même chose plus haut et je me suis fait jeté...
      Nan, mais sinon, un serveur Web avec HTTPS, c'est bien aussi. Mais c'est pareil, faut faire la conf, gérer les certificats, réfléchir quoi...

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.