Maintenir une liste d'adresses autorisées sur le firewall qui fait le filtrage c'est pas la mort.
Si les adresses sont dynamiques ça se corse un peu, mais ça doit se faire.
Le truc consistant à créer une zone par serveur fonctionne bien.
Mais la résolution de nom dans Windows (Win2k au moins) est buggée: la résolution d'un nom de machine sans point ne fait JAMAIS appel au DNS (sauf si un domaine ou une liste de recherche est définie sur la machine, auquel cas la résolution se fera dans ces domaines uniquement).
En pratique il donc est impossible de résoudre un nom se trouvant dans la zone root.
Un test simple pour vérifier ça: «ping tv» fonctionne sous Linux (oui ils ont mis un enregistrement A pour le TLD!), pas sous Windows.
Dommage pour Verisign (gestionnaire du TLD tv): un «tv» résolvable dans IE c'eut été de l'or en barre (d'adresses).
> Ils vont bloquer le port 25 en sortie : on ne pourra plus envoyer de mails sans passer par le SMTP de tele2. En quoi est-ce que ca va supprimer 100% du spam ? Ca va uniquement supprimer une partie les spams provenant des abonnés tele2, car ils seront obligés de passer par le SMTP de tele2, et seront donc loggés.
Je pense que c'est effectivement ça le but.
C'est plus efficace que d'attendre que le spammé se plaigne, récupérer les infos, sommer le client spammeur d'arrêter ça immédiatement (mais sans le faire fuir vers la concurrence ;)), etc.
Il y a aujourd'hui un bon nombre de vers qui transforment un Win* en relais ouvert en circulation.
Et ça n'arrive pas qu'aux Henri et Luce: un collègue développeur
Finalement je pense que c'est une bonne chose que les FAI bloquent les ports NetBIOS, RPC ou l'envoi SMTP direct par défaut.
Le seul truc c'est qu'il faut que les utilisateurs avertis puissent conserver une connectivité totale.
L'«intérêt» du WINS c'est justement d'éviter les broadcasts, de permettre à la résolution de noms Windows entre sous-réseaux, etc.
Par contre là encore ça nécessiterait d'intervenir dans la config que les clients récupèrent à la connexion et à laquelle je n'ai pas accès. :-/
En fait c'est exactement ce que j'ai fait, sauf que sur les clients (PC sous Win*):
* "nslookup serveur1" fonctionne
* "ping serveur1" échoue
* "ping serveur1." fonctionne (!)
* "ping serveur1" fonctionne finalement APRÈS un "ping serveur1." !!!
Du pur délire.
En fait je ne sais pas vraiment comment la résolution sans nom de domaine (ni sur le client ni dans la requête) est censée fonctionner, ni même si elle est censée fonctionner du tout.
Visiblement ça tape dans la zone root, mais peut-être pas tout à fait comme il faudrait...
Non pas de modif possible côté client. :-(
(connectés via un bout de VPN fourni par Transpac sur lequel je n'ai aucun contrôle)
Le coup de la requête à lui-même ça me paraît bizarre, BIND ne va pas utiliser le resolver du serveur lui-même de toute façon?...
Sinon c'est possible de mettre des enregistrements CNAME dans la zone racine sans pour autant bloquer la résolution de tous les TLD et ce qui va derrière?
Cela dit et à la réflexion, je ne suis pas sûr que de présenter mes serveurs dans la zone root résolve vraiment le pb non plus.
Argh, il faudrait vraiment que mes clients arrivent à récupérer une config correcte. :-(
L'article dit: "L?éditeur prévoit d?étendre son combat aux Pays-Bas et à la France."
Vous avez déjà vu une boîte LindowsOS dans une boutique française vous?
Expérience identique avec Windows 2000 il y a quelques semaines.
Sauf que dans Windows 2000 il n'y a pas de firewall, on est obligé de jongler avec les "stratégies de sécurité IP".
Message à mon pote Bill: la meilleure "stragérie" ça serait peut-être de ne pas exposer son trou du port RPC à l'air libre...
Difficile à trouver je ne pense pas non.
C'est le genre de code sur lequel GCC te sort un gros warning, avec sirène et gyrophare.
Je ne sais pas si ça apparaît clairement dans une compil complète du noyau, mais en tout cas ça aurait été difficile à ignorer en travaillant sur du code voisin.
Par sauvegarde incrementale, tu entends créer une énième session sur le même CD, ne contenant que les fichiers modifiés depuis la dernière sauvegarde, mais dont la table des matières recense l'ensemble des fichiers (en pointant vers les données des sessions précédentes), c'est bien ça?
C'est quoi cette histoire de lien symbolique?
On peut faire ça avec du multisession normal qui marche sur tout système...
Euh... Je ne voudrais pas dire mais pour le grand public un Windows 98 avec un minimum de correctifs de sécurité (au pire installation des dernières versions d'IE/OE) est bien plus sûr qu'un Windows 2000/XP. De très très très loin même.
Alors qu'avec NT/2000/XP tu as entre autres le partage de fichiers activé par défaut sur la connexion Internet, les failles multiples du service RPC, l'installation et démarrage de services à distance.
Mettre un Windows XP sorti de sa boîte sur des PC grand public je trouve ça sidérant.
Ça paraît sans doute n'importe quoi, mais je tenterais bien un memtest86 histoire d'être sûr.
Je présume que Linux fait un usage de la mémoire un peu plus aggressif que cet autre OS, donc si jamais tu as une deuxième barrette qui se trouve être défectueuse...
Dans le même ordre d'idée, le CPU n'est pas overclocké et est bien refroidi?
Tu penses sans doute à CIH/Tchernobyl.
C'est le cas plus généralement des bombes à retardement, prévues pour se déclencher à une date précise.
Mais ce type de virus ou ver est très minoritaire.
Hmm, je ne sais pas quelle est la définition juridique de "vice caché", mais pour moi il s'agit plutôt d'un defaut latent du produit qui ne demande qu'à être révélé.
Lorsque le défaut est connu du fabriquant, j'appellerai plutôt ça de l'escroquerie.
Mais là il ne s'agit pas de ça.
Si les auteurs de vers avaient pour but principal de détruire le matos ou le système de l'utilisateur, ça se saurait.
Rien de tel qu'un porteur sain pour assurer la propagation d'un virus.
Mais là je m'éloigne du sujet...
[^] # Re: Tele2 : port 25 bloque ?
Posté par Nicolas Melay . En réponse au journal Tele2 : port 25 bloque ?. Évalué à 1.
Si les adresses sont dynamiques ça se corse un peu, mais ça doit se faire.
# Re: DNS et zone par défaut
Posté par Nicolas Melay . En réponse au journal DNS et zone par défaut. Évalué à 1.
Le truc consistant à créer une zone par serveur fonctionne bien.
Mais la résolution de nom dans Windows (Win2k au moins) est buggée: la résolution d'un nom de machine sans point ne fait JAMAIS appel au DNS (sauf si un domaine ou une liste de recherche est définie sur la machine, auquel cas la résolution se fera dans ces domaines uniquement).
En pratique il donc est impossible de résoudre un nom se trouvant dans la zone root.
Un test simple pour vérifier ça: «ping tv» fonctionne sous Linux (oui ils ont mis un enregistrement A pour le TLD!), pas sous Windows.
Dommage pour Verisign (gestionnaire du TLD tv): un «tv» résolvable dans IE c'eut été de l'or en barre (d'adresses).
Mon problème reste entier et sans issue. :-(
[^] # Re: Tele2 : port 25 bloque ?
Posté par Nicolas Melay . En réponse au journal Tele2 : port 25 bloque ?. Évalué à 1.
Je pense que c'est effectivement ça le but.
C'est plus efficace que d'attendre que le spammé se plaigne, récupérer les infos, sommer le client spammeur d'arrêter ça immédiatement (mais sans le faire fuir vers la concurrence ;)), etc.
Il y a aujourd'hui un bon nombre de vers qui transforment un Win* en relais ouvert en circulation.
Et ça n'arrive pas qu'aux Henri et Luce: un collègue développeur
Finalement je pense que c'est une bonne chose que les FAI bloquent les ports NetBIOS, RPC ou l'envoi SMTP direct par défaut.
Le seul truc c'est qu'il faut que les utilisateurs avertis puissent conserver une connectivité totale.
[^] # Re: DNS et zone par défaut
Posté par Nicolas Melay . En réponse au journal DNS et zone par défaut. Évalué à 1.
Par contre là encore ça nécessiterait d'intervenir dans la config que les clients récupèrent à la connexion et à laquelle je n'ai pas accès. :-/
[^] # Re: DNS et zone par défaut
Posté par Nicolas Melay . En réponse au journal DNS et zone par défaut. Évalué à 1.
* "nslookup serveur1" fonctionne
* "ping serveur1" échoue
* "ping serveur1." fonctionne (!)
* "ping serveur1" fonctionne finalement APRÈS un "ping serveur1." !!!
Du pur délire.
En fait je ne sais pas vraiment comment la résolution sans nom de domaine (ni sur le client ni dans la requête) est censée fonctionner, ni même si elle est censée fonctionner du tout.
Visiblement ça tape dans la zone root, mais peut-être pas tout à fait comme il faudrait...
[^] # Re: DNS et zone par défaut
Posté par Nicolas Melay . En réponse au journal DNS et zone par défaut. Évalué à 1.
(connectés via un bout de VPN fourni par Transpac sur lequel je n'ai aucun contrôle)
Le coup de la requête à lui-même ça me paraît bizarre, BIND ne va pas utiliser le resolver du serveur lui-même de toute façon?...
Sinon c'est possible de mettre des enregistrements CNAME dans la zone racine sans pour autant bloquer la résolution de tous les TLD et ce qui va derrière?
Cela dit et à la réflexion, je ne suis pas sûr que de présenter mes serveurs dans la zone root résolve vraiment le pb non plus.
Argh, il faudrait vraiment que mes clients arrivent à récupérer une config correcte. :-(
[^] # Re: Un nouveau virus ?
Posté par Nicolas Melay . En réponse au journal Un nouveau virus ?. Évalué à 1.
Il manque un %00 là non?
Et il me semble que c'est plutôt Mozilla qui est affecté.
[^] # Re: Un nouveau virus ?
Posté par Nicolas Melay . En réponse au journal Un nouveau virus ?. Évalué à 1.
# Re: bzip2 et tar sous Mac OS X
Posté par Nicolas Melay . En réponse au message [Terminal] bzip2 et tar sous Mac OS X. Évalué à 1.
Qui d'ailleurs n'est pas présente dans la version française du manuel en ligne.
[^] # Re: Lindows vs Microsoft: suite
Posté par Nicolas Melay . En réponse au journal Lindows vs Microsoft: suite. Évalué à 1.
L'article dit: "L?éditeur prévoit d?étendre son combat aux Pays-Bas et à la France."
Vous avez déjà vu une boîte LindowsOS dans une boutique française vous?
# Re: Vu sur journal du net
Posté par Nicolas Melay . En réponse au journal Vu sur journal du net. Évalué à 2.
Et surtout vu le crétinisme ambiant sur le JDN.
Je suis sidéré de voir que cette caricature de site d'information trouve encore un lectorat.
[^] # Re: Linux ca pue
Posté par Nicolas Melay . En réponse au journal Linux ca pue. Évalué à 1.
Sauf que dans Windows 2000 il n'y a pas de firewall, on est obligé de jongler avec les "stratégies de sécurité IP".
Message à mon pote Bill: la meilleure "stragérie" ça serait peut-être de ne pas exposer son trou du port RPC à l'air libre...
[^] # Re: Sauvegarde incrémentale sur CD : Je l'ai fait !
Posté par Nicolas Melay . En réponse au journal Sauvegarde incrémentale sur CD : Je l'ai fait !. Évalué à 1.
[^] # Re: Tentative d'insertion d'une backdoor dans le noyau Linux
Posté par Nicolas Melay . En réponse à la dépêche Tentative d'insertion d'une porte dérobée dans le noyau Linux. Évalué à 1.
Ça fait bien longtemps que je n'ai pas écrit de C... :-/
(ni quoi que ce soit d'autre d'ailleurs)
# Re: Blog ? Mais d'où tu ?
Posté par Nicolas Melay . En réponse au journal Blog ? Mais d'où tu ?. Évalué à 1.
Binary par opposition à un journal papier, dans le sens "numérique" ("digital" in English).
[^] # Re: A vent
Posté par Nicolas Melay . En réponse au sondage LinuxFr c'était mieux :. Évalué à 1.
[^] # Re: Tentative d'insertion d'une backdoor dans le noyau Linux
Posté par Nicolas Melay . En réponse à la dépêche Tentative d'insertion d'une porte dérobée dans le noyau Linux. Évalué à -1.
C'est le genre de code sur lequel GCC te sort un gros warning, avec sirène et gyrophare.
Je ne sais pas si ça apparaît clairement dans une compil complète du noyau, mais en tout cas ça aurait été difficile à ignorer en travaillant sur du code voisin.
# Re: Sauvegarde incrémentale sur CD : Je l'ai fait !
Posté par Nicolas Melay . En réponse au journal Sauvegarde incrémentale sur CD : Je l'ai fait !. Évalué à 2.
Par sauvegarde incrementale, tu entends créer une énième session sur le même CD, ne contenant que les fichiers modifiés depuis la dernière sauvegarde, mais dont la table des matières recense l'ensemble des fichiers (en pointant vers les données des sessions précédentes), c'est bien ça?
C'est quoi cette histoire de lien symbolique?
On peut faire ça avec du multisession normal qui marche sur tout système...
J'ai dû rater un épisode...
# Re: Nouveauté IE + réponse à des journaux..
Posté par Nicolas Melay . En réponse au journal Nouveauté IE + réponse à des journaux... Évalué à 0.
Autoriser des URL telnet:// ailleurs que dans la barre d'adresse c'est une sacrée connerie.
Par contre n'exagéront rien, c'est pas ça qui va permettre l'exécution de code sur la machine de la victime.
[^] # Re: Installez Windows et détruisez votre vie familiale et sociale
Posté par Nicolas Melay . En réponse au journal Installez Windows et détruisez votre vie familiale et sociale. Évalué à 1.
Alors qu'avec NT/2000/XP tu as entre autres le partage de fichiers activé par défaut sur la connexion Internet, les failles multiples du service RPC, l'installation et démarrage de services à distance.
Mettre un Windows XP sorti de sa boîte sur des PC grand public je trouve ça sidérant.
Désolé pour le HS. :/
# Re: Impossible d'installer???
Posté par Nicolas Melay . En réponse au journal Impossible d'installer???. Évalué à 1.
Je présume que Linux fait un usage de la mémoire un peu plus aggressif que cet autre OS, donc si jamais tu as une deuxième barrette qui se trouve être défectueuse...
Dans le même ordre d'idée, le CPU n'est pas overclocké et est bien refroidi?
[^] # Re: Paranoïas! Paranoïas! Bring out your trolls!
Posté par Nicolas Melay . En réponse à la dépêche Entente tumultueuse entre Linux et lecteurs LG. Évalué à 1.
C'est le cas plus généralement des bombes à retardement, prévues pour se déclencher à une date précise.
Mais ce type de virus ou ver est très minoritaire.
[^] # Re: Entente tumultueuse entre Linux et lecteurs LG
Posté par Nicolas Melay . En réponse à la dépêche Entente tumultueuse entre Linux et lecteurs LG. Évalué à 1.
Lorsque le défaut est connu du fabriquant, j'appellerai plutôt ça de l'escroquerie.
Mais là il ne s'agit pas de ça.
[^] # Re: Page de démarrage du navigateur
Posté par Nicolas Melay . En réponse au journal Page de démarrage du navigateur. Évalué à 1.
[^] # Re: Paranoïas! Paranoïas! Bring out your trolls!
Posté par Nicolas Melay . En réponse à la dépêche Entente tumultueuse entre Linux et lecteurs LG. Évalué à 3.
Rien de tel qu'un porteur sain pour assurer la propagation d'un virus.
Mais là je m'éloigne du sujet...