Posté par vazco () le 06/04/2002 à 17:18. (lien). Évalué à 4.

Je crois que tu devrais relire ma question, qui n'étais pas "à quoi sert l'implémentation complète des raw sockets ?", mais "à quoi sert l'implémentation complète des raw sockets dans XP home edition ?"

Or, quand je lis ta réponse :

1) creer ton propre protocole pour faire du load-balancing de jenesaisquoi sur des machines de bureau

avec XP home edition ?!!

2) une boite de jeux veut faire son propre protocole pour jeux en LAN ou je ne sais quoi

<lol>... je pouffe...
Tu ne devrais pas me faire rire comme ça quand je suis en train de boire mon café, tu sais... Restons sérieux, tu veux bien ?</lol>

3) tu veux un soft d'analyse de protocole genre Ethereal tu peux

même remarque que 1). On croit rêver !

C'est une possibilite de plus que tout le monde peut utiliser dans ses softs en cas de besoin.

Justement, quels besoins ? Il me semble que XP home edition est défini comme l'OS pour M. Toutlemonde, dont le dernier des soucis est de savoir comment marche sa machine (ce qui me semble tout à fait naturel, soit dit en passant). Tu m'expliques en quoi M. Toutlemonde a besoin de load-balancing de jenesaisquoi et d'analyse de protocole ou je ne sais quoi ?

Tu n'as toi-même pas l'air très fixé, on dirait...

Je tiens à ajouter que je n'avais jamais entendu parler de Steve Gibson jusqu'à cette news, donc inutile de me balancer des grcsucks.com, fuckgrc.com ou autres gibson_is_a_nut-register_said_it.com.


Afin de permettre à ceux que ça intéresse de suivre sans avoir à se taper une cinquantaine de pages, voici un résumé du débat dont M. Gibson est à l'origine :

En mai 2001, le site de M. Gibson est victime d'un déni de service distribué (DDOS): Plusieurs centaines de machines infectées par des chevaux de troie envoient des paquets ICMP et des datagrammes UDP énormes, qui après fragmentation, viennent s'écraser sur son routeur, saturant sa bande passante et coupant de fait son site du reste du monde.
Rien que de très (trop) classique.
M. Gibson, visiblement peu au fait de ce type d'attaque, l'identifie néanmoins pour ce qu'elle est et parvient avec l'aide (maladroite) de son FAI, à mettre en place un filtre avant le point d'engorgement que constitue son propre accès au réseau et redevient accessible.
Visiblement choqué par ce qui vient de se passer, il décide d'enquêter, va lire des RFC (une démarche que l'on aimerait plus fréquente dans le monde Windows, soit dit en passant) et pénètre dans le monde inquiétant et ténébreux des catacombes IRC, où règnent en maîtres les C0wb0yz, W4rl0rdz, W4r3z et autres 3133t35. L'enfer du net, quoi...
Effaré par ce qu'il y trouve (des gamins -pardon, des petits génies de l'informatique®- y ont à leur disposition des centaines de machines infectées par des chevaux de troies, prêtes à lancer des dénis de services sur tout site dont la gueule ne leur revient pas), il décide d'alerter le monde du danger.

Surtout, il met en relation ce qui vient de lui arriver et l'annonce (nous sommes en mai 2001) du prochain Windows XP, qui lave plus blanc et qui va mettre à disposition des masses une API avec implémentation complète des raw sockets, c'est-à-dire la possibilité de passer outre la couche applicative pour manipuler directement les datagrammes IP.

M. Gibson émet alors les remarques suivantes à l'intention de Microsoft :

- du fait que les machines équipées d'OS grand public Microsoft sont de loin majoritaires et présentent une certaine tendance (uhm ! uhm!) à négliger les questions de sécurité, et que leurs utilisateurs sont, à juste titre (no troll here), ignorants de ces questions, ces mêmes machines représentent la grande majorité des machines compromises par des chevaux de troie.
Je ne cherche nullement à lancer un troll sur le mérite du modèle de sécurité des OS Microsoft et suis le premier à reconnaître qu'une machine correctement administrée sous Windows 2000 sera aussi sécurisée qu'une machine correctement administrée sous *nix.
Nous parlons là :
·) de nombre,
·) du fait qu'un système destiné au grand public est forcément moins sécurisé par défaut qu'un système destiné aux professionnels car on doit nécessairement faire un compromis entre les exigences de sécurité et la facilité d'utilisation, et que l'usage grand public penche vers la facilité d'utilisation,
·) de machines non-administrées.

- jusqu'à présent, les dénis de service originaires de machines sous win 9x et NT, s'ils présentent une efficacité indéniable, restent rudimentaires et filtrables en raison d'une implémentation native partielle des raw sockets. Même s'il est effectivement possible de patcher le système pour disposer des fonctionnalités offertes par les raw sockets, cela est beaucoup plus difficile à faire pour un cheval de troie que d'utiliser simplement l'API standard, et, jusqu'à présent, nos chers W4rl0rdz ne s'en sont pas donné la peine.

- Les raw sockets ont été historiquement implémentées dans les systèmes *nix à seule fin d'expérimentation des protocoles et d'audit du réseau, nullement pour être mises à disposition des utilisateurs, qui n'en ont d'ailleurs pas besoin.
En guise de garde-fou, leur manipulation est réservée aux administrateurs. Or, il est à craindre que XP, qui doit préserver la compatibilité avec les applications win 9x, lesquelles ont l'habitude de faire comme chez elles dans tout le système, n'ait même pas cette précaution.

Toutes ces remarques sont justes et M. Gibson pose en conséquence une question tout-à-fait légitime :

«Pour quelle raison Microsoft est-il si désireux de doter son OS grand public, qui s'en passaient très bien jusqu'à présent, d'une implémentation complète des raw sockets, étant donné les risques que cela comporte de rendre les dénis de service à venir beaucoup plus "meurtriers" ?»

J'ajouterai à titre personnel que si j'en crois ArsTechnica, on n'a pas hésité à inhiber un certain nombre de fonctionnalités réseau dans la home edition de XP, histoire d'être sûrs que les entreprises achèteront bien la version pro :
http://www.arstechnica.com/tweak/win2k/xp-versions-3.html(...)
Autant pour mon voisin, impatient de découvrir les joies de l'équilibre de charge et de je ne sais quoi tout en faisant le récit de ses vacances sous Word.


Pour répondre aux interrogations de M. Gibson, sept (7!) exécutifs de Microsoft ont organisé une téléconférence avec lui. Ces respectables managers étaient visiblement ignorants de l'existence du site grcsucks.com, sans quoi ils n'auraient pas pris la peine de répondre à un débile mental qui n'a de toute évidence jamais rien fait de constructif de toute sa vie.J'espère que la consigne a été passée.
La conférence échoue visiblement à convaincre M. Gibson de l'intérêt d'une implémentation complète des raw sockets. Mais, d'après M. Gibson, on y apprend de la part d'un développeur XP que «n'importe qui pourrait obtenir un certificat pour signer un patch qui implémenterait les fonctionnalités des raw socket et l'installer, et que donc, autant les prévoir dès le départ...»
Là, je dois dire, heureusement que j'étais assis. Moi qui croyait qu'avec le nouveau modèle de sécurité, basé sur les certificats, l'avenir serait plus beau, plus brillant, plus bleu... (tiens, j'ai pas fait exprès, pour celui-là)
On m'aurait menti à l'insu de mon plein gré ?

Au total, les réponses proposées à la question «à quoi sert l'implémentation complète des raw sockets dans XP home edition ?» sont les suivantes :

de Microsoft :

- les autres l'ont, pourquoi pas nous ?

(no comment)

de M. Gibson :

- Microsoft n'a pas réfléchi aux dangers que cela représentait -ça peut arriver- et est incapable de remettre sa décision en cause -ce qui est plus grave.
- Les rumeurs selon lesquelles Microsoft aurait pompé la pile TCP/IP BSD sont vraies. Il y a l'implémentation des raw sockets au milieu et ils ne sont pas fichus de la virer.

(je suis sûr qu'elle va te faire bondir, celle-là :-)

de Thomas Greene, un "journaliste" du Register qui fait, je dois dire, particulièrement honneur à la réputation de sérieux de ce site :

- C'est une partie du plan maléfique secret de la divinité .NET et M. Gibson est un crétin

Pour clore cette petite histoire, il semblerait que M. Gibson, qui a apparemment consacré sa vie à écrire des programmes pour DOS/Windows, ait été un peu déçu de ne pas recevoir de réponse satisfaisante.

Depuis, il dit partout que FreeBSD, c'est vachement mieux que Windows. pasBill pasGates, que ça énerve, claironne partout que grcsucks.com. :-)

Je réitère donc la question :

À quoi sert l'implémentation complète des raw sockets dans XP home edition ?

Je souhaite juste une réponse à cette question. Pas à une autre question, pas de troll, pas que je suis incompétent et que je dis n'importe quoi... Même si c'est le cas, ça n'empêche pas de répondre à cette simple question.

Désolé pour la longueur du message...

PS :
un lien sympa que j'ai trouvé dans le courrier du Register (au milieu de beaucoup de bruit), l'intervention d'Avi Rubin à Usenix 2000 :
http://media.cmpnet.com/technetcast/str0354/tnc-0354-24.mp3(...)
Rien de bien nouveau pour la plupart d'entre nous, mais plaisant à écouter néanmoins (en anglais).

Et si quelqu'un a une bonne traduction française pour raw sockets, je suis preneur...

[ Répondre ]

Posté par vazco () le 06/04/2002 à 02:08. (lien). Évalué à 1.

Ben tiens, puisque t'es là...

Elle sert à quoi l'implémentation complète des raw sockets, dans XP home edition ?

Parce que j'ai parcouru un peu les liens et j'ai pas vu de réponse.

Ça n'est quand même pas sérieusement pour les jeux !?

[ Répondre ]

Posté par vazco () le 29/03/2002 à 18:11. (lien). Évalué à 7.

Il ne s'agit pas d'un troll velu mais d'une indignation bien compréhensible de la part de quelqu'un qui voit dénigré son travail sans raison apparente...

Le malentendu est aisément dissipé en lisant :

"[...] et gcompris ne suffit pas à combler ce vide."

ce qui correspond mieux, je pense, à ce que voulait dire nemerid (qu'il me corrige si ce n'est pas le cas).

[ Répondre ]

Posté par vazco () le 28/03/2002 à 13:38. (lien). Évalué à 5.

Il est tout-à-fait possible d'éteindre la machine sans le mot de passe root dans wdm.

Simplement ce n'est pas la configuration par défaut.

$less /etc/X11/wdm/wdm-config
[...]
DisplayManager*wdmVerify: false
DisplayManager*wdmRoot: false
[...]

[-1 parce que c'est un tantinet hors-sujet]

[ Répondre ]