Nicolas Melay a écrit 113 commentaires

Maintenir une liste d'adresses autorisées sur le firewall qui fait le filtrage c'est pas la mort.
Si les adresses sont dynamiques ça se corse un peu, mais ça doit se faire.

Bon ben c'est mort.

Le truc consistant à créer une zone par serveur fonctionne bien.
Mais la résolution de nom dans Windows (Win2k au moins) est buggée: la résolution d'un nom de machine sans point ne fait JAMAIS appel au DNS (sauf si un domaine ou une liste de recherche est définie sur la machine, auquel cas la résolution se fera dans ces domaines uniquement).

En pratique il donc est impossible de résoudre un nom se trouvant dans la zone root.
Un test simple pour vérifier ça: «ping tv» fonctionne sous Linux (oui ils ont mis un enregistrement A pour le TLD!), pas sous Windows.
Dommage pour Verisign (gestionnaire du TLD tv): un «tv» résolvable dans IE c'eut été de l'or en barre (d'adresses).

Mon problème reste entier et sans issue. :-(

> Ils vont bloquer le port 25 en sortie : on ne pourra plus envoyer de mails sans passer par le SMTP de tele2. En quoi est-ce que ca va supprimer 100% du spam ? Ca va uniquement supprimer une partie les spams provenant des abonnés tele2, car ils seront obligés de passer par le SMTP de tele2, et seront donc loggés.

Je pense que c'est effectivement ça le but.
C'est plus efficace que d'attendre que le spammé se plaigne, récupérer les infos, sommer le client spammeur d'arrêter ça immédiatement (mais sans le faire fuir vers la concurrence ;)), etc.

Il y a aujourd'hui un bon nombre de vers qui transforment un Win* en relais ouvert en circulation.
Et ça n'arrive pas qu'aux Henri et Luce: un collègue développeur

Finalement je pense que c'est une bonne chose que les FAI bloquent les ports NetBIOS, RPC ou l'envoi SMTP direct par défaut.
Le seul truc c'est qu'il faut que les utilisateurs avertis puissent conserver une connectivité totale.

L'«intérêt» du WINS c'est justement d'éviter les broadcasts, de permettre à la résolution de noms Windows entre sous-réseaux, etc.
Par contre là encore ça nécessiterait d'intervenir dans la config que les clients récupèrent à la connexion et à laquelle je n'ai pas accès. :-/

En fait c'est exactement ce que j'ai fait, sauf que sur les clients (PC sous Win*):
* "nslookup serveur1" fonctionne
* "ping serveur1" échoue
* "ping serveur1." fonctionne (!)
* "ping serveur1" fonctionne finalement APRÈS un "ping serveur1." !!!

Du pur délire.

En fait je ne sais pas vraiment comment la résolution sans nom de domaine (ni sur le client ni dans la requête) est censée fonctionner, ni même si elle est censée fonctionner du tout.
Visiblement ça tape dans la zone root, mais peut-être pas tout à fait comme il faudrait...

Non pas de modif possible côté client. :-(
(connectés via un bout de VPN fourni par Transpac sur lequel je n'ai aucun contrôle)

Le coup de la requête à lui-même ça me paraît bizarre, BIND ne va pas utiliser le resolver du serveur lui-même de toute façon?...

Sinon c'est possible de mettre des enregistrements CNAME dans la zone racine sans pour autant bloquer la résolution de tous les TLD et ce qui va derrière?

Cela dit et à la réflexion, je ne suis pas sûr que de présenter mes serveurs dans la zone root résolve vraiment le pb non plus.

Argh, il faudrait vraiment que mes clients arrivent à récupérer une config correcte. :-(

Ah, CETTE faille...
Il manque un %00 là non?
Et il me semble que c'est plutôt Mozilla qui est affecté.

Qui est?

Ah c'est cool je ne connaissais pas l'option -j :-)
Qui d'ailleurs n'est pas présente dans la version française du manuel en ligne.

Merci pour la précision. (source?)

L'article dit: "L?éditeur prévoit d?étendre son combat aux Pays-Bas et à la France."
Vous avez déjà vu une boîte LindowsOS dans une boutique française vous?

> Voila qui promet d'etre objectif quand on voit le parcours du mec :)

Et surtout vu le crétinisme ambiant sur le JDN.
Je suis sidéré de voir que cette caricature de site d'information trouve encore un lectorat.

Expérience identique avec Windows 2000 il y a quelques semaines.
Sauf que dans Windows 2000 il n'y a pas de firewall, on est obligé de jongler avec les "stratégies de sécurité IP".
Message à mon pote Bill: la meilleure "stragérie" ça serait peut-être de ne pas exposer son trou du port RPC à l'air libre...

Je veux bien te croire... :)

Ah oui, très juste.
Ça fait bien longtemps que je n'ai pas écrit de C... :-/
(ni quoi que ce soit d'autre d'ailleurs)

Ah... J'avais plutôt en tête "binary log".
Binary par opposition à un journal papier, dans le sens "numérique" ("digital" in English).

Vent arrière, pcq y'en a marre de tirer des bords...

Difficile à trouver je ne pense pas non.
C'est le genre de code sur lequel GCC te sort un gros warning, avec sirène et gyrophare.

Je ne sais pas si ça apparaît clairement dans une compil complète du noyau, mais en tout cas ça aurait été difficile à ignorer en travaillant sur du code voisin.

Ye pas compris.

Par sauvegarde incrementale, tu entends créer une énième session sur le même CD, ne contenant que les fichiers modifiés depuis la dernière sauvegarde, mais dont la table des matières recense l'ensemble des fichiers (en pointant vers les données des sessions précédentes), c'est bien ça?

C'est quoi cette histoire de lien symbolique?
On peut faire ça avec du multisession normal qui marche sur tout système...

J'ai dû rater un épisode...

Pas mal le coup des iframe + telnet :-)

Autoriser des URL telnet:// ailleurs que dans la barre d'adresse c'est une sacrée connerie.

Par contre n'exagéront rien, c'est pas ça qui va permettre l'exécution de code sur la machine de la victime.

Euh... Je ne voudrais pas dire mais pour le grand public un Windows 98 avec un minimum de correctifs de sécurité (au pire installation des dernières versions d'IE/OE) est bien plus sûr qu'un Windows 2000/XP. De très très très loin même.

Alors qu'avec NT/2000/XP tu as entre autres le partage de fichiers activé par défaut sur la connexion Internet, les failles multiples du service RPC, l'installation et démarrage de services à distance.

Mettre un Windows XP sorti de sa boîte sur des PC grand public je trouve ça sidérant.

Désolé pour le HS. :/

Ça paraît sans doute n'importe quoi, mais je tenterais bien un memtest86 histoire d'être sûr.
Je présume que Linux fait un usage de la mémoire un peu plus aggressif que cet autre OS, donc si jamais tu as une deuxième barrette qui se trouve être défectueuse...

Dans le même ordre d'idée, le CPU n'est pas overclocké et est bien refroidi?

Tu penses sans doute à CIH/Tchernobyl.
C'est le cas plus généralement des bombes à retardement, prévues pour se déclencher à une date précise.
Mais ce type de virus ou ver est très minoritaire.

Hmm, je ne sais pas quelle est la définition juridique de "vice caché", mais pour moi il s'agit plutôt d'un defaut latent du produit qui ne demande qu'à être révélé.

Lorsque le défaut est connu du fabriquant, j'appellerai plutôt ça de l'escroquerie.
Mais là il ne s'agit pas de ça.

Oh, mon sauveur (de session). Merci!

Si les auteurs de vers avaient pour but principal de détruire le matos ou le système de l'utilisateur, ça se saurait.
Rien de tel qu'un porteur sain pour assurer la propagation d'un virus.
Mais là je m'éloigne du sujet...