non il est clair que ce genre de blagues ne fonctionne plus...
En 2001, des failles on en trouvait à la pelle dans tous les navigos, que ce soit moz ou IE.
A l'heure actuelle, j'attend toujours qu'on me démontre qu'IE est moins secure que moz, malgré toutes les personnes qui me l'ont affirmé :(
Toutes les attaques par l'intermédiaire d'une page web relevées (a ma connaissance) depuis 2 ans sur IE supposaient soit que les activeX étaient acceptés par défaut, soit que l'exécution de VBscript était acceptée par défaut. Dans le cas contraire elles ne passaient pas. Mais bon je ne suis pas au courant de tout... Je voudrai bien un exemple concret, une faille qui me permette d'exécuter du code en ayant désactivé scripting+ActiveX sur une machine mise à jour.
Il y a bien eu pendant un temps la possibilité d'exécuter du code via javascript en utilisant je ne sais plus quelle combinaison de classes, mais ca a rapidement été patché.
"bien sûr. et si c'était grave, et des mises à jour annuellles, attendons aussi, béats, la bouche ouverte. "
Comme je l'ai dit, je ne comprend pas cette politique de sortie de maj à dates fixes. Pour le reste (ActiveX etc.), ok ca a des désavantages, mais pas uniquement, et ca se bloque si on veut alors... Certes il y a eu une jolie collection de failles, mais jusqu'ici elles ont été corrigées. Nouvelles fonctionnalités = nouveaux trous ? oui, comme presque à chauque fois pour tous logiciels.
Je ne veux pas prendre la défense de MS, ils se sont plantés, et leur politique nous fait attendre les correctifs. Simplement faut pas tout mélanger et dire IE SAPU juste à cause de ça... Quant à leur page d'info, certes elle prête à rire, mais quels autres choix avaient-ils s'ils souhaitaient s'en tenir à leur politique de sorties de maj ? Donc faut taper, mais pe pas trop fort...
Ca veut dire juste dire : y a un souci de sécurité, si vous voulez pas de soucis voila quelques pistes. En attendant un patch. Maintenant si aucune maj ne sort jamais, je serai le premier à râler. Mais en attendant, c'est mieux d'informer que de se cacher.
On a lancé une comparaison il n'y pas longtemps entre IE+plugins et Firebird+plugins, et on a pas été capables de choisir un vainqueur. Pourtant chaque parti tenait a avoir raison. Mais je ne veux pas relancer un troll... J'avais juste 2 remarques à faire :
1°/ par défaut IE te demande ton avis avant d'exécuter un ActiveX. Après tu assumes, si tu veux pas prendre de risques tu désactives complètement. Ce n'est pas fait par défaut car les Active X sont très utiles et utilisés, notamment sur les intranet d'entreprises.
2°/ Microsoft n'a pas sorti de patch. Mais rappelons la politique récente de Microsoft : on ne fournit les correctifs qu'une fois par mois. Je ne sais pas pourquoi ils font comme ça, je ne comprends pas, mais en tous cas attendons avant de hurler au loup.
Petite réflexion en passant : si on nous passe la LEN plus les textes sur les brevets logiciels, si une boite pose un brevet sur un système de contrôle un peu moins idiot que les autres, elle va se faire des cou*lles en or :)
Jean Dionis du Séjour propose 2 liens vers www.verity.fr et www.ltutech.fr
Les produits de verity concernent l'indexation des contenus d'un intranet, leur classification, et l'amélioration de la gestion des connaissances au sein de l'entreprise. Intéressant, mais peu de rapport avec ce qui nous préoccupe. A moins de ne vouloir se contenter que d'un filtrage simpliste, ce qui est hors de question au vu des conséquences.
Quant à ltutech, ils proposent des outils d'analyse sémantique d'images. Il est très intéressant de lire les spécifications des produits, par exemple ceci : http://www.ltutech.fr/Image-Indexer.htm(...) Il s'agit donc d'outils nécessitant un apprentissage, et utilisant des mots-clefs (ce qui semble logique au vu des techniques actuelles). Cela a ses limitations, notamment aucun hébergeur ne pourra définir lui-même une procédure d'apprentissage efficace, cela est bien trop technique et coûteux. 2 solutions : soit les sociétés vendant les logiciels s'en occupent, mais cela engendrera un coût énorme pour les suites logicielles en question, vu le faible marché, et ce ne sera pas supportable pour les hébergeurs. Soit l'état retient une société, dont le produit sera diffusé une fois l'apprentissage réalisé. Ca pourrait fonctionner. Mais qui a dit monopole ?
Par ailleurs les techniques d'apprentissages actuelles sont très efficaces dans un contexte relativement statique. Dans un contexte d'analyse de pages web cherchant à empêcher l'analyse, cela ne pourra pas fonctionner : les outils proposés sont conçus pour indexer les connaissances qu'une entreprise ceut mettre en valeur en son sein, pas celles qu'un ingénieur a voulu cacher. En faisant abstraction de toutes les techniques cryptographiques, de tels outils devront s'adapter, disons de manière hebdomadaire, à de nouvelles techniques de mise en page, à un vocabulaire nouveau, à de nouveaux codages des pages... Ce n'est pas impossible, mais le prix de revient semble énorme. Par ailleurs, que dire de la procédure d'apprentissage quand il s'agit de détecter des sites pédophiles ? Il va falloir mettre en place des cellules psychologiques bétons pour les employés de ces boîtes:D
Enfin, à supposer que ces outils aient vraiment l'efficacité qu'on leur prête (ce qui semble réalisable à court terme en se focalisant sur la détection d'un contenu bien précis, et avec un déploiement de moyens formidable), que dire des machines qui seront nécessaires pour faire fonctionner ces outils ? Imaginons un petit hébergeur, qui héberge notamment un site référençant des images artistiques, et notamment des nus, en haute résolution. Supposons qu'il ait récupéré ces images un peu partout sur le web, et qu'il y en ait 5000. Ca nous fait dans les 20 milliards de pixels à analyser, avec tous les changements d'échelle etc. que cela implique. A supposer qu'une image pédophile y soit planquée, le p2 400 de l'assoc va mettre un joli bout de temps à la trouver :D Alors imaginons à plus grande échelle...
A supposer que le gouvernement souhaite réellement se donner les moyens de contrôler certains contenus sur le web, il semble techniquement et financièrement impossible d'attribuer cette reponsabilité aux hébergeurs. Il faudrait mettre en place une institution spécialement créée pour l'occasion, avec un budget énorme vu l'infrastructure et les experts nécessaires, et un cadre jusridique très stict pour éviter tout débordement. Visiblement on est loin d'y arriver, vu le niveau technique de nos élus. D'ailleurs ce faible niveau est censé être compensé par l'existence des commissions, mais dans le cas présent elles n'ont pas été écoutées. Et malheureusement il semble que cette tendance soit en vogue ces derniers temps :(
Il me semble que ce problème particulier (LEN) met en évidence l'archaïsme d'un système ancien, et inadapté à la complexité et au dynamisme des sociétés modernes dans leur ensemble, et à la complexité des problèmes inhérents. Mais cela est un autre sujet..
Bon je me suis un peu mélangé les pédales on dirait, tout mon résumé a disparu...
J'ai développé un tel script en JSP, qui exploite JESS (implémentation/extension de CLIPS pour Java). Il s'agit de l'architecture d'un système expert, avec une interface pour définir simplement les connaissances. Celles-ci sont stockées dans des fichiers XML modifiables via l'interface web. Et bien sur, on peut consulter le système expert via le web. Pour l'instant ça tourne bien, sauf que je n'ai quasiment plus de connaissances suite à une mauvaise manip. Par ailleurs l'interface doit être améliorée, les saisies vérifiées, et la doc reste à faire.
Mais si ca t'amuses, tu peux jeter un oeil sur http://pudcy.no-ip.biz/seacmi.jsp.(...) Tu peux ajouter des connaissances, j'ai désactivé les mots de passe. Mais attention il n'y a pas de validation des saisies, alors gare aux plantages...
Quoiqu'il en soit on n'est pas obligé d'activer la gestion des droits avec WMP, et dans ce cas évidemment aucun fichier ne peut être effacé. D'ailleurs activer la gestion des droits peut être assez risqué, en cas d'effacement des fichiers de licence on n'a plus accès à la musique :( - ca m'est arrivé suite à un problème de disque dur. Mais gt pas très futé à l'époque ;)
J'ai un script en JSP basé sur Jess (implémentation et extension de CLIPS en Java). Il suffit de rentrer les règles à l'aide de l'interface, ca les stocke dans des fichiers XML, ensuite tu lances le truc et tu causes avec. C'est évidemment un système expert derrière.
Problème : ce n'est pas fini, donc pour l'instant interface "pourrite" (mais fonctionnelle), et surtout aucune doc. Mais bon si ça t'intéresse : http://pudcy.no-ip.biz/seacmi/(...)
Il n'y a rien qui tourne, je n'ai provisoirement plus de règles, mais l'architecture est au point. Tu peux t'amuser à rentrer des règles si tu veux et si tu y arrives, ça ne me dérange pas (g désactivé les mots de passe). Par contre il n'y a pas encore de vérification des saisies, donc gare aux plantages...
[^] # Re: internet et microsoft...
Posté par pudcy . En réponse au journal internet et microsoft.... Évalué à 1.
En 2001, des failles on en trouvait à la pelle dans tous les navigos, que ce soit moz ou IE.
A l'heure actuelle, j'attend toujours qu'on me démontre qu'IE est moins secure que moz, malgré toutes les personnes qui me l'ont affirmé :(
Toutes les attaques par l'intermédiaire d'une page web relevées (a ma connaissance) depuis 2 ans sur IE supposaient soit que les activeX étaient acceptés par défaut, soit que l'exécution de VBscript était acceptée par défaut. Dans le cas contraire elles ne passaient pas. Mais bon je ne suis pas au courant de tout... Je voudrai bien un exemple concret, une faille qui me permette d'exécuter du code en ayant désactivé scripting+ActiveX sur une machine mise à jour.
Il y a bien eu pendant un temps la possibilité d'exécuter du code via javascript en utilisant je ne sais plus quelle combinaison de classes, mais ca a rapidement été patché.
[^] # Re: internet et microsoft...
Posté par pudcy . En réponse au journal internet et microsoft.... Évalué à 1.
[^] # Re: internet et microsoft...
Posté par pudcy . En réponse au journal internet et microsoft.... Évalué à 1.
[^] # Re: internet et microsoft...
Posté par pudcy . En réponse au journal internet et microsoft.... Évalué à 1.
[^] # Re: internet et microsoft...
Posté par pudcy . En réponse au journal internet et microsoft.... Évalué à 1.
Comme je l'ai dit, je ne comprend pas cette politique de sortie de maj à dates fixes. Pour le reste (ActiveX etc.), ok ca a des désavantages, mais pas uniquement, et ca se bloque si on veut alors... Certes il y a eu une jolie collection de failles, mais jusqu'ici elles ont été corrigées. Nouvelles fonctionnalités = nouveaux trous ? oui, comme presque à chauque fois pour tous logiciels.
Je ne veux pas prendre la défense de MS, ils se sont plantés, et leur politique nous fait attendre les correctifs. Simplement faut pas tout mélanger et dire IE SAPU juste à cause de ça... Quant à leur page d'info, certes elle prête à rire, mais quels autres choix avaient-ils s'ils souhaitaient s'en tenir à leur politique de sorties de maj ? Donc faut taper, mais pe pas trop fort...
[^] # Re: internet et microsoft...
Posté par pudcy . En réponse au journal internet et microsoft.... Évalué à 1.
[^] # Re: internet et microsoft...
Posté par pudcy . En réponse au journal internet et microsoft.... Évalué à 0.
On a lancé une comparaison il n'y pas longtemps entre IE+plugins et Firebird+plugins, et on a pas été capables de choisir un vainqueur. Pourtant chaque parti tenait a avoir raison. Mais je ne veux pas relancer un troll... J'avais juste 2 remarques à faire :
1°/ par défaut IE te demande ton avis avant d'exécuter un ActiveX. Après tu assumes, si tu veux pas prendre de risques tu désactives complètement. Ce n'est pas fait par défaut car les Active X sont très utiles et utilisés, notamment sur les intranet d'entreprises.
2°/ Microsoft n'a pas sorti de patch. Mais rappelons la politique récente de Microsoft : on ne fournit les correctifs qu'une fois par mois. Je ne sais pas pourquoi ils font comme ça, je ne comprends pas, mais en tous cas attendons avant de hurler au loup.
[^] # Re: La LEN se défend
Posté par pudcy . En réponse à la dépêche La LEN se défend. Évalué à 2.
# Re: La LEN se défend
Posté par pudcy . En réponse à la dépêche La LEN se défend. Évalué à 5.
Les produits de verity concernent l'indexation des contenus d'un intranet, leur classification, et l'amélioration de la gestion des connaissances au sein de l'entreprise. Intéressant, mais peu de rapport avec ce qui nous préoccupe. A moins de ne vouloir se contenter que d'un filtrage simpliste, ce qui est hors de question au vu des conséquences.
Quant à ltutech, ils proposent des outils d'analyse sémantique d'images. Il est très intéressant de lire les spécifications des produits, par exemple ceci : http://www.ltutech.fr/Image-Indexer.htm(...) Il s'agit donc d'outils nécessitant un apprentissage, et utilisant des mots-clefs (ce qui semble logique au vu des techniques actuelles). Cela a ses limitations, notamment aucun hébergeur ne pourra définir lui-même une procédure d'apprentissage efficace, cela est bien trop technique et coûteux. 2 solutions : soit les sociétés vendant les logiciels s'en occupent, mais cela engendrera un coût énorme pour les suites logicielles en question, vu le faible marché, et ce ne sera pas supportable pour les hébergeurs. Soit l'état retient une société, dont le produit sera diffusé une fois l'apprentissage réalisé. Ca pourrait fonctionner. Mais qui a dit monopole ?
Par ailleurs les techniques d'apprentissages actuelles sont très efficaces dans un contexte relativement statique. Dans un contexte d'analyse de pages web cherchant à empêcher l'analyse, cela ne pourra pas fonctionner : les outils proposés sont conçus pour indexer les connaissances qu'une entreprise ceut mettre en valeur en son sein, pas celles qu'un ingénieur a voulu cacher. En faisant abstraction de toutes les techniques cryptographiques, de tels outils devront s'adapter, disons de manière hebdomadaire, à de nouvelles techniques de mise en page, à un vocabulaire nouveau, à de nouveaux codages des pages... Ce n'est pas impossible, mais le prix de revient semble énorme. Par ailleurs, que dire de la procédure d'apprentissage quand il s'agit de détecter des sites pédophiles ? Il va falloir mettre en place des cellules psychologiques bétons pour les employés de ces boîtes:D
Enfin, à supposer que ces outils aient vraiment l'efficacité qu'on leur prête (ce qui semble réalisable à court terme en se focalisant sur la détection d'un contenu bien précis, et avec un déploiement de moyens formidable), que dire des machines qui seront nécessaires pour faire fonctionner ces outils ? Imaginons un petit hébergeur, qui héberge notamment un site référençant des images artistiques, et notamment des nus, en haute résolution. Supposons qu'il ait récupéré ces images un peu partout sur le web, et qu'il y en ait 5000. Ca nous fait dans les 20 milliards de pixels à analyser, avec tous les changements d'échelle etc. que cela implique. A supposer qu'une image pédophile y soit planquée, le p2 400 de l'assoc va mettre un joli bout de temps à la trouver :D Alors imaginons à plus grande échelle...
A supposer que le gouvernement souhaite réellement se donner les moyens de contrôler certains contenus sur le web, il semble techniquement et financièrement impossible d'attribuer cette reponsabilité aux hébergeurs. Il faudrait mettre en place une institution spécialement créée pour l'occasion, avec un budget énorme vu l'infrastructure et les experts nécessaires, et un cadre jusridique très stict pour éviter tout débordement. Visiblement on est loin d'y arriver, vu le niveau technique de nos élus. D'ailleurs ce faible niveau est censé être compensé par l'existence des commissions, mais dans le cas présent elles n'ont pas été écoutées. Et malheureusement il semble que cette tendance soit en vogue ces derniers temps :(
Il me semble que ce problème particulier (LEN) met en évidence l'archaïsme d'un système ancien, et inadapté à la complexité et au dynamisme des sociétés modernes dans leur ensemble, et à la complexité des problèmes inhérents. Mais cela est un autre sujet..
[^] # Re: Gestion de processus de connaissance
Posté par pudcy . En réponse au journal Gestion de processus de connaissance. Évalué à 1.
[^] # Re: Gestion de processus de connaissance
Posté par pudcy . En réponse au journal Gestion de processus de connaissance. Évalué à 1.
J'ai développé un tel script en JSP, qui exploite JESS (implémentation/extension de CLIPS pour Java). Il s'agit de l'architecture d'un système expert, avec une interface pour définir simplement les connaissances. Celles-ci sont stockées dans des fichiers XML modifiables via l'interface web. Et bien sur, on peut consulter le système expert via le web. Pour l'instant ça tourne bien, sauf que je n'ai quasiment plus de connaissances suite à une mauvaise manip. Par ailleurs l'interface doit être améliorée, les saisies vérifiées, et la doc reste à faire.
Mais si ca t'amuses, tu peux jeter un oeil sur http://pudcy.no-ip.biz/seacmi.jsp.(...) Tu peux ajouter des connaissances, j'ai désactivé les mots de passe. Mais attention il n'y a pas de validation des saisies, alors gare aux plantages...
# Re: Licence Windows Media Player
Posté par pudcy . En réponse au journal Licence Windows Media Player. Évalué à 1.
[^] # Re: Gestion de processus de connaissance
Posté par pudcy . En réponse au journal Gestion de processus de connaissance. Évalué à 1.
# Re: Gestion de processus de connaissance
Posté par pudcy . En réponse au journal Gestion de processus de connaissance. Évalué à 1.
Problème : ce n'est pas fini, donc pour l'instant interface "pourrite" (mais fonctionnelle), et surtout aucune doc. Mais bon si ça t'intéresse : http://pudcy.no-ip.biz/seacmi/(...)
Il n'y a rien qui tourne, je n'ai provisoirement plus de règles, mais l'architecture est au point. Tu peux t'amuser à rentrer des règles si tu veux et si tu y arrives, ça ne me dérange pas (g désactivé les mots de passe). Par contre il n'y a pas encore de vérification des saisies, donc gare aux plantages...
[^] # Re: Synchronisation de dossiers entre 2 PCs
Posté par pudcy . En réponse au journal Synchronisation de dossiers entre 2 PCs. Évalué à 5.