Gartner Group recommande de lacher IIS !

Posté par  . Modéré par Val.
Étiquettes : aucune
0
25
sept.
2001
Internet
Suite aux récents évènements de sécurité concernant Microsoft IIS, le groupe Gartner recommande aux entreprises de ne plus l'utiliser et de chercher une alternative. Ils suggèrent IPlanet et Apache, qui ont une "much better security than IIS".

Ils expliquent que même en suivant de près l'actualité de la sécurité, il est très difficile de patcher à temps pour se protéger des nouveaux vers et autres et que du coup, le Total Cost of Ownership (TCO) de ces serveurs est en sérieuse inflation.

Pour eux, la situation durera jusqu'à ce que Microsoft sorte une version complètement réecrite de IIS, et estiment que ca n'arrivera probablement pas avant fin 2002 (80% de chances que cela n'arrive pas avant).
Il ne reste plus qu'a attendre les prochaines statistiques de Netcraft et Security Space :-)

Aller plus loin

  • # Aïe

    Posté par  (site web personnel) . Évalué à 10.

    C'est un coup dur pour cette petite start-up ;-P
    • [^] # Re: Aïe

      Posté par  . Évalué à 10.

      On va enfin commencer à se rendre compte qu'il ne suffit pas d'avoir une très bonne démarche commerciale. Un jour ou l'autre, on a le revers de la médaille.

      A quand un article WebSphere par Gartner? :)
    • [^] # Re: Aïe

      Posté par  . Évalué à -4.

      tu sais les temps sont durs en ce moment dans le metier

      je m'inquiete surtout pour les pauvres employes qui vont se retrouver au chomage

      et tout ca a cause d'un expert
      franchement y en a qu'on pas de morale
  • # Et qu'utilisent ils?

    Posté par  (site web personnel) . Évalué à 9.

    http://uptime.netcraft.com/up/graph/?mode_u=off&mode_w=on&s(...)

    On ne peut pas les taxer de parti pris.

    Par contre je ne connaissais pas Gartner. Que font il exactement et quelle est leur influence dans le domaine de l'informatique?

    Tout ce que je vois c'est Gartner, Inc. is a research and advisory firm that helps more than 10,000 clients understand technology and drive business growth.

    Enfin 10,000 clients qui passe leurs serveur de IIS à Apache ça peut changer quand même pas mal de chose.
    • [^] # Re: Et qu'utilisent ils?

      Posté par  (site web personnel) . Évalué à 1.

      Bah, c'est une boite de conseil en informatique ...

      Juste en faisant une petite recherche, tu peux voir qu'on a déjà parlé du Gartner Group ici :
      http://linuxfr.org/2001/06/27/4031,0,-1,0,1.php3(...)

      Dans cette news, on les a plutot descendus en flèche que les encensés ...

      Bref, -1 ... car pas vraiment d'infos
      • [^] # Re: Et qu'utilisent ils?

        Posté par  . Évalué à -1.

        pour ma part je penses pas k'ils se soient vraiment trompé. en effet linux gagne en credibilité et ce surtout depuis un peu plus d'un an, je veux dire parle a ton petit entrepreneur du coin, il y a un an il ne se serait pas posé de questions: "c'est koi ce truc avec un pingouin, j'vais pas me compliqué la vie avec des trucs ou je suis mem pas sur ke ca marche au moins crosoft je connais c'est une grande marque c'est du serieux.". alors qu'aujourd'hui il te tiendrait certainement plus un discours du type :" ch'ais pas j'ai entendu parler de linux, a ce qui parait c'est vraiment bien comme truc c'est stable et je peux avoir confiance, c'est pas comme avec mon wind.. ki plante tout le temps en plus j'ai pas de frais de licence, mais c'est merveilleux".
        alors moi je sais pas cet article dont tu parles je le trouve pas si mal...;o)
    • [^] # Re: Et qu'utilisent ils?

      Posté par  (site web personnel) . Évalué à 10.

      Gartner, si je ne dis pas trop de conneries, fournis des stats et des études de marchés principalement sur le secteur informatique. Je me souviens que je recevais régulièrement un états des prix du marché français proposé par Gartner quand je bossais dans une centrale d'achat.

      De toutes façons, plus que leurs 10 000 clients officiels, ce genre de recommandations peut nous être utile dans notre vie quotidienne : lors d'un échange avec un directeur informatique par ex... Et c'est là qu'il faut les citer : si le Gartner Group propose la même chose que moi c'est que c'est fondé !

      Je sais bien que le raisonnement est assez foioreux, mais c'est un argument qui a du poids

      • [^] # Re: Et qu'utilisent ils?

        Posté par  (site web personnel) . Évalué à 5.

        Je sais bien que le raisonnement est assez foioreux, mais c'est un argument qui a du poids

        T'en fait pas, dans l'info beaucoup de trucs foireux ont du poids.

        Je vais garder l'adresse en bookmarks si jamais on me demande mon avis.
  • # Bonne chose mais...

    Posté par  . Évalué à 10.

    C'est certainement une très bonne chose cette recommandation, mais une société qui aura tout basé sur des solutions MS avec par exemple SQL Server et ASP ne pourra pas aussi facilement changer de Serveur. Il lui faudrait tout revoir. Et à mon avis le coup d'une telle restructuration est plus important que le coup causé par l'application de patchs.
    Ceci dit celà pourrait encourger d'autres sociétés qui envisagent un dévellopement, à le faire avec des softs libre. Et là c'est une très bonne chose.
    • [^] # Re: Bonne chose mais...

      Posté par  . Évalué à 10.

      hmmm... à voir, j'ai déjà fait des migrations comme ça, et ça ne se passe pas si mal... enfin, tout dépend de comment sont écrit les ASP (VBScript, JScript, PerlScript, ...)
      et puis, il ne faut pas oublier http://www.apache-asp.org/(...) ;-))
      • [^] # Re: Bonne chose mais...

        Posté par  (site web personnel) . Évalué à 10.

        Ce n'est pas si simple que ça.

        Microsoft a utilisé son poids et son image pour imposer des outils non-standards qui travaillent ensemble.

        Avec IIS, certains sites ont installés des technologies Microsoft associées.

        Si tu utilises IIS avec une gestion des accès à la Microsoft, un proxy NTLM, avec une base MSSQL Server, des pages dynamiques en ASP mais des composants DCOM partout, la migration risque d'être délicate. Et ce n'est pas une suituation marginale.

        De plus, changer uniquement le serveur HTTP pour ces entreprise est un petit gain, par rapport à tous leur produits, qui ont les mêmes problèmes de sécurité et de robustesse.

        Alors, passer du tout Microsoft (hier, l'admin en chef m'a dis : "Oui, on est en tout microsoft, c'est tellement plus simple ..."), au rien Microsoft ne se fait pas du jour au lendemain.
        Et c'est pourtant la seule solution vraiment viable pour des serveurs.

        Et ne parlons même pas de la formation des admins ...
        • [^] # Re: Bonne chose mais...

          Posté par  . Évalué à 10.

          Oui, souvent le serveur web est couplé au serveur Exchange, qui communique avec Outlook, qui est intégré avec Office, qui tourne sous Windows.

          Tu te retrouve avec une suite d'applications monolithique qui va du client au serveur. Si tu veux changer juste un composant, c'est tellement la merde que tu renonces très rapidement.

          Il faut tout changer d'un coup, et là, bonne chance pour défendre ce choix financièrement devant le grand patron qui veut baissser ses coûts pour faire plaisir aux actionnaires.
          • [^] # Re: Bonne chose mais...

            Posté par  . Évalué à 8.

            Ici, on développe des clients légers, souvent avec un navigateur intégré, et presque toujours sous Linux. Certains clients se sont foutus dans une telle merde que même un client léger avec NT4 Embedded et IE5 ne fonctionne pas bien pour se connecter à leur site "IE5 optimized" (Netscape sous Linux, c'est même pas la peine d'y penser).
          • [^] # Re: Bonne chose mais...

            Posté par  (site web personnel) . Évalué à 10.

            Ben à ma boite, on a fait fit de IIS, bien que...
            On avait besoin d'accèder aux données exchange. Il ya avait pour ca Outlook web access, qui permet de le faire par le web, tout écrit en asp et intégré à exchange. Impossible de le faire marcher, c'est du asp et notre intranet est en apache+php...
            Eh ben en fait il n'y a rien de plus simple que d'attaquer l'ensemble des informations d'Exchange en IMAP, et d'apprendre à les décoder.
            Devant l'absence de choix, on s'est adaptés et on s'est passé de IIS/ASP !!!
        • [^] # Re: Bonne chose mais...

          Posté par  . Évalué à 8.

          Pour ce qui est d'IIS, c'est vrai qu'en général les gens mettent toutes les saloperies qui viennent avec. Le truc, c'est que ça dépend desquelles. Certaines sont aisément contournables et "migrables", d'autre moins... Mais par exemple, ODBC-unix existe, il y a cet Apache::ASP, etc.

          En ce qui concerne le reste, là encore ça dépend de la boite. Notamment pour les postes clients, il est parfois plus facile de changer de logiciels qu'on ne le croit, en télédistribuant un bon coup (Tivoli, quelqu'un ? ;-)). Ceci dit, remplacer IE, c'est pas la chose la plus facile à faire dans Windows, surtout les dernières versions.

          Enfin la formation des admins, c'est un gros problème c'est sur, mais j'ai vu avec surprise que beaucoup préféraient une bonne ligne de commande avec un procédure bien écrite et des scripts pour les aider, plutot qu'une interface point and click imbittable. Là encore, ça dépend de la taille de l'entreprise, car toutes ne peuvent pas s'offrir du service en informatique pour leur écrire ces scripts et ces procédures.
          • [^] # Re: Bonne chose mais...

            Posté par  . Évalué à 4.

            ASP c'est pas vraiment un probleme en soit, vu que
            c'est un peu qu'un framework ... le bleme c'est
            le scripting language implémenté, et meme si on
            peut trouver des implem' d'ASP pour Apache, en
            général le scripting language derriere ce sera
            Perl.

            Je suis pas sur que porter du VBScript vers du
            Perl ce soit facile (mais j'y connais rien au VB
            Script donc je me goure peut-etre).
            • [^] # Re: Bonne chose mais...

              Posté par  . Évalué à 4.

              Ouais, je suis bien d'accord, cf ce que j'ai dit plus haut.

              Porter du VBScript/JScript en Perl, ceci dit, c pas forcément si difficile que ça, essentiellement à cause de l'énorme souplesse de Perl. Mais bon, pour obtenir un résultat vraiment efficace, c clair qu'il vaut mieux réécrire. En plus, souvent, les développeurs VBScripts, ce sont de gros cochons...
              • [^] # Re: Bonne chose mais...

                Posté par  . Évalué à 10.

                >...c clair qu'il vaut mieux réécrire.
                Heu, il faut tout réécrire, c'est juste pas la même chose.

                >En plus, souvent, les développeurs VBScripts, ce sont de gros cochons...

                Le principal problème est qu'en VBS, faut réinventer la roue tous les jours. Par exemple, PHP et Perl sont extremement riches pour manipuler des chaines de texte, tandis que VBS se contente d'une dizaine fonctions minables. A tel point, que j'ai du réécrire une petite bibliothèque de gestion de chaine contenant des fonctions comme isalpha()...
                De plus, La version de VBS fournie avec IIS 4 est la 3.qqch qui ne contient pas de gestion des regexp, pas de pseudo-gestion objet, et d'autres joyeusetés du même genre.
                Enfin, le VBS est très verbeux et donne du code très indigeste à lire

                • le separateur d'instructions est le retour à la ligne (\r\n donc pb avec les macs), pas de possibilité de mettre deux instructions sur la même ligne)

                • un simple a = (condition)?valeur1:valeur2 ; n'est tout simplement pas imaginable, il faut faire

                  If (condition) Then
                  a = valeur1
                  Else
                  a = valeur2
                  End If
                  (nan mais, j'te jure...)

                • VBS est très joueur pour les fonctions mal documentée, on en découvre tous les jours ("ah, tiens, en fait, cette fonction ne marche que en fournissant tel parametre?" Ceci est particulierement évident pour les connexions aux bases de données qui sont dans le meilleur des cas folkloriques


                En gros, la philosophie générale est globalement à chier (j'ai même pas parlé des composants COM).
                Finalement, les devs font un peu ce qu'ils peuvent avec ce qu'on leur donne.
                J'dis pas que tous les devs font du code propre, mais ca peut peut être expliqué la "beauté" du code produit en VBS.

                Bref, l'ASP en VBS plus jamais. JScript à la rigueur (encore que ...)
                • [^] # Re: Bonne chose mais...

                  Posté par  . Évalué à 1.

                  Il ne faut pas systématiquement tout réécrire. En réalité, une bonne moulinette peut déjà pas mal prémacher le travail (pas TOUT faire cependant). De plus, si c'est écrit en JS au lieu de VB, ça va encore plus vite, la moulinette en question.

                  Mais l'ennui c'est très exactement ce que tu décris après... on aimerait bien pouvoir l'écrire, le (condition)?valeur1:valeur2 ;, profiter des regexps, etc. Donc si on veut profiter de tout ça, et avoir un beau code lisible en Perl, il faut réécrire effectivement.

                  De plus, JScript et VBScript, c en gros la meme chose, à une syntaxe différente près (il suffit pour s'en convaincre de regarder les exemples de code dans msdn, qui sont en double pour VB et JS). Je précise bien: la syntaxe est différente (VB est "basic-like", et JS est "C-like", voir "C+-like"). Mais là encore, une moulinette.... D'ailleurs, si je ne me trompe, les deux s'appuient sur le meme moteur de scripts MS, non ? (pas sur de ça...)
                  Ceci dit, attention, je simplifie tout un peu...
                  • [^] # Re: Bonne chose mais...

                    Posté par  . Évalué à 9.

                    [même anonyme qu'au dessus]
                    En écrivant une moulinette, faut aussi tenir compte des composants COM qui améliorent ASP/VBS (ou JS).
                    Par ex, quand j'en faisais, on générait des tableaux excel à la volée en fonction des données dans une base de données, affichés en live dans IE. Même pour envoyer un simple mail, c'est la croix et la bannière. Tu as beau la meilleure moulinette du traduire un composant en Perl, tu ne peux pas. Sauf évidemment si ta moulinette est 'hachement baleze et peut traduire du COM à la volée (dans ce cas, pense à créer une startup ;-).
                    Le fait que par exemple, les regexp n'existent pas dans la version la plus commune de VBS fait que globalement, tu dois réécrire ton algo de parsing de fichier (par exemple). Certes tu peux convertir des suites de manipulation de chaine qui feront la même chose, mais quitte à migrer autant utiliser le mieux possible la nouvelle technologie. Il faut donc réetudier le code, l'adapter, le redébugger, etc.
                    Si on parle de migration, tout ca commence à couter cher pour le 'décideur' (même si à long terme, je discute pas, c'est tout bénéf')

                    Comme tu dis, une bonne moulinette prémache le boulot, mais c'est tout.

                    Pour ce qui est du moteur de script, c'est à peu près ca :
                    tu as ASP qui propose quelques objet relatifs au web. Il y en a 7 ou 8 (Request, Response, Server, Session, Application, en autre), avec leur methodes associées (Server.QueryString par ex pour choper une url contenant des paramétres). Avec ca, tu peux le coupler avec du JScript, VBScript, Python, ou Perl. L'acces au objets précédent change dans la syntaxe, mais les méthodes restent les mêmes.
                    Sur ces langages fonctionnent WSH (Windows Script Host) qui permet de scripter Windows en appelant notamment des composants COM (l'acces au FileSystem ou à Word). Quand tu download le IE à la mode du jour, tu mets en même temps à jour WSH (c'est un des nombreux trucs qui alourdit le d/l d'IE) avec les deux langages de script supportés par MS (soit JScript et VBScript).
                    Un truc marrant, faut installer un IE 5 sur un serveur pour pouvoir bénéficier du composant XML coté ASP (MSXML) (je suis de mauvaise foi, on doit pouvoir le d/l à part comme WSH)
                    A ce jour, WSH est un acteur clé dans la diffusion des virus/worms de Windows, puisque grâce à lui tu accède à tout Windows dont notamment la base de registre ou le carnet Outlook (tous deux dispo en COM).
                    C'est d'ailleurs la seule réalisation poussée que j'ai vue grâce à WSH.
                    Pour en revenir au VBS, la version installée par défaut sur un serveur IIS 4 sur NT4 (grande partie des IIS à l'heure actuelle), est la version 3.qqch qui ne gère pas les regexps ni un semblant d'objet. Les versions 5.0 gèrent comme elles peuvent ces technos. (la version actuelle est la 5.6, et non, il n'y a pas eu de version 4)
                    Pour finir (je m'essoufle), ce que je décris est ASP 2.0, il y a ASP 3.0 qui complique à l'envie et qui me semble pas très intéressante. Ensuite vient .NET (pas sûr)

                    Allez pour finir les liens qui vont bien :)
                    http://asp2php.naken.cc/news.php(...) :convertisseur ASp -> PHP.
                    Ca fonctionne très très moyennement et que sur du VBS.
                    (c'est peut être ca la moulinette dont tu rêves :-)

                    http://msdn.microsoft.com/library/default.asp?url=/nhp/Default.asp?(...) MSDN Window Script

                    http://aspn.activestate.com/ASPN/Downloads/ActivePerl/(...)
                    ActivePerl un binding en Perl pour ASP (entre autre)

                    http://aspn.activestate.com/ASPN/Reference/Products/ActivePython/wi(...)
                    Un exemple de Python et d'ASP (pour l'anecdote)
          • [^] # Re: Bonne chose mais...

            Posté par  (site web personnel) . Évalué à 10.

            Enfin la formation des admins, c'est un gros problème c'est sur, mais j'ai vu avec surprise que beaucoup préféraient une bonne ligne de commande avec un procédure bien écrite et des scripts pour les aider, plutot qu'une interface point and click imbittable.

            Je confirme.

            L'installation du module SSL sur apache est très bien documenté sur http://www.thawte.com(...) , on voit ce qu'on fait et on maitrise à peu près tout le processus.

            La même chose sur IIS est pas trop mal documenté aussi mais par contre on a pas vraiment de prise sur le processus, on met la clé un peu n'importe où et on sait jamais si un click en trop va pas tout nous faire perdre.

            J'ai eu la chance de ne pas continuer mes expérience sur IIS après ça, donc je ne peux dire si le reste est du même acabit.
        • [^] # Re: Bonne chose mais...

          Posté par  . Évalué à 10.

          En cours, on a eu un prof qui bossait à HSC (une boite de consultants sécurité à fond dans le libre pour ceux qui ne connaissent pas). Pour lui, si une boite avait un serveur IIS et qu'elle ne pouvait/voulait pas s'en débarasser (pour les raisons que tu invoques ou d'autres), il mettait un serveur apache en relais avec une vérification des requêtes. Donc, de l'extérieur on voit un serveur Apache, qui interprète les requêtes et les transmet (après vérifications) au bon serveur qui est caché derrière lui.

          Ainsi, il avait un/des serveurs web sécurisés sans appliquer les patchs Microsoft (car en plus ça n'ai pas toujours possible à cause de petits changement de bibliothèques) en installant une seule machine Apache !
          • [^] # Re: Bonne chose mais...

            Posté par  . Évalué à 3.

            Est-ce reellement efficace ?

            Par ex pour Nimda, je vois dans mes logs (Apache) des requêtes qui ont une sale tête mais qui n'en sont pas moins valide.
            Si Apache transmet directement ces requêtes à IIS, quel est l'intérêt ? Il faut donc filtrer.
            Oui mais il faut connaitre l'allure des requêtes "vérolées", cad rajouter un filtre une fois que le virus a été détecté. Quel est le gain au niveau sécurité par rapport à patcher directement IIS dans ce cas ?
          • [^] # Re: Bonne chose mais...

            Posté par  . Évalué à 3.

            Peux-tu m'en dire plus pour "mettre un serveur apache en relais avec une vérification des requêtes".

            De plus il y a un autre problème au niveau du coût , il est tout à fait possible de passer de IIS à Apache y compris quand on a de l'ASP et de l'ODBC (en conservant le serveur MS-Windows) grâce à Chilli!Soft de SUN mais sa licence est a ~500$, du coup on passe du gratuit (IIS) à un autre produit gratuit (Apache) mais on doit rajouter du soft payant (Chilli!Soft).
            Quand au passage ASP-VBScript vers de APS-Perl si on me propose une "moulinette" de conversion je veux bien (en conservant l'ODBC, ADO, DAO ?).

            La solution de mettre Apache comme "cache" pour sécuriser du MS-World me parait une bonne solution mais quand est-il de la mise en place ?
            Comment convertir des admins install-pousse bouton-suivant-jusqu'a-terminé en admin-j'edite-le-txt-config-retrousse-mes-manches-et-sort-mon cerveau ?
            • [^] # Re: Bonne chose mais...

              Posté par  (site web personnel) . Évalué à 3.

              D'après un copain qui vient (justement) d'installer pour test chilisoft, il y a un intérêt non négligeable à cette solution : c'est plus rapide que du IIS (et ils ont des pages ASP avec connection ODBC sur SQL Server) ;-)
          • [^] # Re: l'Apache qui protègeait les visage pâles...

            Posté par  . Évalué à 10.

            Effectivement, il est possible de proteger l'intégralité d'un réseau de serveurs web IIS grâce à un seul serveur apache.
            Le but du jeu c'est de mettre en place un reverse-proxy Apache avec mod_eaccess sous linux :
            - Le Reverse proxy va être destinataire de toutes les requêtes http du site.
            - le mod_eaccess va faire matcher des patterns à chaque requête http. Par exemple :
            EAccessEnable on
            EAccessRule deny "^GET /cgi-bin/.*$"
            EAccessRule permit "^GET /cgi-bin/login.asp\?u=([0-9a-zA-Z]){0,8}\&p=([0-9a-zA-Z]){0,8}"

            - Sous linux parce que ce serveur sera très gourmand en ressources : il s'agit de matcher une série de regex sur chaque requête !

            Mais cette protection est au niveau applicatif et se doit de succeder à des firewalls et autres architectures type ponts/routeurs...

            faire du reverse proxy : http://httpd.apache.org/docs/mod/mod_proxy.html(...)
            le site mod_eaccess : http://www.flopgun.net/christophe/docs/security/eaccess-orig.php(...)
            la niouze linuxfr sur mod_eaccess: http://linuxfr.org/2001/09/10/4871,1,-1,0,1.php3(...)

            ACIC : Société éditrice du porduit rWeb, implementant ces différentes techniques en plus de nombreux autres processus de sécurisation : http://www.acic.fr(...)
        • [^] # Re: Bonne chose mais...

          Posté par  . Évalué à -2.

          cela c'est deja vu.

          bien entendu on ne revolutionne pas tout un systeme en 1 journée. cela est étalé.

          mais cela arrive
    • [^] # Re: Bonne chose mais...

      Posté par  (site web personnel) . Évalué à 6.

      Vu les derniers écrits de microsoft (comment passer d'un serveur Apache/php à un serveur IIS/Php) j'ai l'impression que c'est pas asp qui poseras beaucoup de problème.

      Il faut juste que les développeurs asp apprennent à programmer en php. Il doit bien exister un petit tutoriel pour ça, non?
    • [^] # Re: Bonne chose mais...

      Posté par  . Évalué à 3.

      > plus important que le coup causé par l'application de patchs

      par la non-application des patchs tu veux dire ?
      Appliquer un patch, ça coute pas tres cher.
      Par contre, ne pas l'appliquer et réinstaller un systeme à cause d'un virus (par ex), ça prend plus de temps...

      Mais bon... apparement, ils sont encore nombreux à ne pas les appliquer....


      Nico
      • [^] # Re: Bonne chose mais...

        Posté par  . Évalué à 0.

        Perso, je trouve que la difficulté d'admin de linux c'est de la merde en boite. Il suffit d'avoir une bonne petite debian avec un sources.list correctement configuré (3 lignes...) et ont est à l'abris de biens des problèmes !
  • # Je peux dire une connerie

    Posté par  . Évalué à -1.

    Il faut que tu passe dlfp sous autre choses qui IIS
  • # APACHE RULEZ

    Posté par  . Évalué à 10.

    si il n'en fallait qu'un
    Apache serait le mien

    Il fait tout au bureau
    en interne, en externe
    il est bien, il est beau
    il est mieux qu'une lanterne (rime oblige)

    je n'en ai gardé qu'un
    Apache, je te tiens.
  • # quelle sera la prochaine cible ?

    Posté par  . Évalué à 9.

    He oui, si IIS ne peux plus être une cible facile, ou intéressante (soit parcequ'il est réécrit, soit parcequ'il n'est plus utilisé aussi massivement), quel sera le serveur web, ou le système cible des script-kiddies et codeurs de worms ?

    Est ce que jusqu'à présent IIS ne jouait pas un peu le rôle de "pot de miel" ?

    Perso, je vais peut être commencer à entrer dans une phase de "saine paranoïa", et tout revérifier 15 fois.
    • [^] # Re: quelle sera la prochaine cible ?

      Posté par  (site web personnel) . Évalué à 3.

      Si on est optimiste on se dit qu'ils abandonneront leur conneries.

      Sinon, plus réaliste, ils trouveront bien des trous de sécurité sur les serveurs apaches mais comme rien ne ressemblent moins à une configuration apache qu'une autre configuration apache, les worms seront vite éradiqués ou alors devront être particulièrement intelligents.

      Toutefois pour éviter les abeilles il faut quand même bien virer le pot de miel.
    • [^] # Re: quelle sera la prochaine cible ?

      Posté par  (site web personnel) . Évalué à 5.

      T'inquiètes pas, les outils Microsoft pleins de faille de sécurité, il y en a d'autres :


      • Exchange Server

      • MSSQL Server

      • Le futur LISA

      • ...



      Sans parler des postes clients.

      C'est triste à en pleurer ...
    • [^] # Re: quelle sera la prochaine cible ?

      Posté par  (site web personnel) . Évalué à 10.

      Apache existait avant IIS et le nombre d'Apache tournant est beaucoup plus important qu'IIS (près de 2x plus d'après Netcraft).
      Donc si s'il avait voulu s'attaquer à Apache ils auraient pû le faire bien avant.
      • [^] # Re: quelle sera la prochaine cible ?

        Posté par  . Évalué à 1.

        C'est sans doute un peu plus dur d'attaquer un Apache qu'un IIS.
        Les admins Apache sont plus au fait des choses(?).
        Ou bien comme dit plus haut, un serveur Apache ne ressemble pas forcément (dans sa config) à un autre serveur Apache, contrairement aux serveurs IIS.
  • # Sécurité, c'est quoi ? (Lu sur CNN)

    Posté par  (site web personnel) . Évalué à 10.

    Quand on voit ce que la sécurité signifie pour certains, on comprend bien que l'avis de Gartner est bien nécessaire.
    Pour s'en persuader, aller coir l'article de CNN :
    http://europe.cnn.com/2001/TECH/internet/09/19/internet.attack.ap.a(...)

    " In Japan, Tsuru Credit Union spokesman Takao Ide said the bank -- which is west of Tokyo -- shut down its Web site after finding it infected with the program.
    After the shutdown, the bank suspended accepting account settlements and transfers of funds by customers via the Internet, Ide said."

    (traduction résumée : Au Japon, banque Tsuru Credit Union a fermé son site web après avoir découvert qu'il avait été infecté par Nimda. Elle a ensuite suspendu les virements sur internet."

    Voilà qui est inquiétant, une banque sous IIS non patché, c'est sûr qu'il va falloir encore beaucoup de pédagogie avant de faire prendre conscience au décideurs des besoins de sécurité.
    Je me demande d'ailleurs comment la banque en question a osé communiquer sur ce sujet.
    • [^] # Re: Sécurité, c'est quoi ? (Lu sur CNN)

      Posté par  . Évalué à 4.

      > Je me demande d'ailleurs comment la banque en question a osé communiquer sur ce sujet.

      Ben c'est simple: quitte à avoir un gros problème de sécurité et devoir stopper ses serveurs (ce qui ne passe pas innapercu non plus !), il vaut mieux se la jouer "on a vu un problème, on a préféré tout stopper", que "euh, non, rien, c'est de la routine"....

      Ca fait plus "pro" (ou ca fait au moins moins pitié....).
  • # Le gartner group me fera toujours rire et pleurer à la fois...

    Posté par  . Évalué à 10.

    1- J'aurai mis ca dans la rubrique humour.
    2- Ils me font toujours rire, ces gens là, ils se rendent compte, après leurs clients, que les solutions qu'ils préconisaient la veille sont un chouia merdiques.
    3- Ils me font pleurer parce qu'ils sont toujours les mêmes conneries et sont toujours écoutés par nos chers dirigeants. Quant à avouer qu'ils se sont trompés, alors là non il faut pas exagérer, ce serait tuer le petit commerce.
  • # WINDOWS C'EST PAS POUR LE REZO!!!

    Posté par  . Évalué à -9.

    Je l'ai dit 100 fois : FAUT ETRE CON POUR INSTALLER UN REZO MS !!!

    Unix/Linux/BSD c'est fait pour ça, ça coute pas plus cher, et une fois installe on est tranquille un moment !

    Celui qui installe un rezo IIS est soit un inconscient, soit un certifié MS ou un faineant !


    Par contre coté Client Linux/Unix/BSD n'a rien a faie la dessus !

    Faut etre fou pour vouloir faire bosser des gens "normaux" su un systeme Unix like !

    Essayez de faire fonctionner une Webcam, d'avoir un equivalent MS Project.

    Le pied c'est un rezo Linux/Unix (exemple : SuSE Enterprise, Redhat Deluxe, Turbo server) qui coute certe 20000 Frcs mais possede une BDD IBM, Oracle, et une secu infaillible (Avec l'aide d'administrateur aussi) et avoir des clients Windows 2000 (stabilité, PAS XP C'EST DE LA MERDE)

    Enfin , eviter le trop plein de poduits MS (preferer Netscape, Sta Office, MySQL/DB2, Quicken, solutions CIEL...) afin de retablir la balance (mare du monopole).

    Une fois ça relié par Websphere/Apache/Lotus/ ou autres, on a un truc qui tient la route !

    Passer au tout Linux c'est con, au tout MS encore plus con !
    • [^] # Re: WINDOWS C'EST PAS POUR LE REZO!!!

      Posté par  . Évalué à 8.

      amusant, je n'y lis que des betises a ce post

      un poste client "linux/bsd/unix" n est pas forcement une aberration
      (meme pour des gens "normaux", oui merci ce n'est pas nouveau , y en qui sont encore persuadés que "unix" se resume à sh... et que les gens normaux se résument à "la secretaire blonde et bete")

      et un tout MS n'est pas non plus une aberration.

      bref avant de sortir des enormités, du genre "linux rox, ms sux", faudrait essayer de preciser le contexte, d'argumenter ou de parler de maniere un peu plus raisonnée.

      simplisme et reducteur... toujours ces 2 maux...
    • [^] # Re: WINDOWS C'EST PAS POUR LE REZO!!!

      Posté par  . Évalué à -3.

      Tout a fait d'accord. Et puis quoiqu'en pense billou, le gartner group et les autres moi je m'en fou que des entreprises qui ont mis du MS partout s'en mordent les doights aujourd'hui. Et la solution n'est certainement pas de passer au tout linux. Vous voulez mettre du linux partout ?? pourquoi faire. Ce qu'il faut c'est que les donnees ne soit pas prises en otage. lire un PDF que ce soit sous linux, windows ou MacOS ca fait pareil. Monsieur tout le monde peut bien lire son PDF sous windows si c'est ce qu'il lui faut. En quoi ca me regarde.
      De meme si Entreprise.com met du MS partout, qu'est-ce que la communaute du libre en a a carre!!! RIEN DU TOUT. Entreprise.com ne vous a pas demande d'administrer ses machines que je sache. Et si toi qui lis ces lignes tu es oblige d'administrer un windows NT chez Entreprise.com et bien rappelle toi que tu es payer pour ca. On t'emploi pas pour que tu mettes ton OS favori partout!
      Eclate toi chez toi sur tes machines.
      Et pour ceux que ca interesse j'ai du NetBSD, MacOS, et TOS a la maison!!!!!

      marre de ces types qui veulent mettre du libre partout.

      ah oui au fait,c'est case au clavier.
      • [^] # Re: WINDOWS C'EST PAS POUR LE REZO!!!

        Posté par  (site web personnel) . Évalué à 6.

        A la base, je serais, moi aussi, pour laisser la liberté à chacun de choisir son système.
        Le problème, c'est que la prolifération d'IIS/IE non sécurisés tourne aussi au désavantage de ceux qui préfèrent et utilisent le libre.

        Je n'ose pas imaginer la bande passante qui a été, et qui est encore, gaspillée par les tentatives de Nimda.
        Certains, comme moi, ont de la chance, et n'ont eu que 30.000 connexions. D'autres ont moins de chance, et en ont eu plus de 800.000.

        Alors, oui, tout le monde est concerné.
        • [^] # Re: WINDOWS C'EST PAS POUR LE REZO!!!

          Posté par  (site web personnel) . Évalué à -1.

          "Le problème, c'est que la prolifération d'IIS/IE non sécurisés tourne aussi au désavantage de ceux qui préfèrent et utilisent le libre."

          Des exemples ? Des arguments ?
          • [^] # Re: WINDOWS C'EST PAS POUR LE REZO!!!

            Posté par  . Évalué à 3.

            je pense que son exemple est dans les 30000 tentatives de connexion, ça bouffe de la bande passante quelque soit ton système...
        • [^] # Re: WINDOWS C'EST PAS POUR LE REZO!!!

          Posté par  . Évalué à -1.

          A la base, je serais, moi aussi, pour laisser la liberté à chacun de choisir son système.
          Le problème, c'est que la prolifération d'IIS/IE non sécurisés tourne aussi au désavantage de ceux qui préfèrent
          et utilisent le libre.


          Nan! je ne suis pas d'accord. Monsieur tout le monde peut utilise windows s'il le veut. Si c'est IIS la cause de probleme de bande passante (arf, ca me fait marrer tout de meme) et bien c'est IIS qu'il faut erradique. pas l'OS de monsieur tout le monde!

          Et puis meme si ya un gros bug de la mort qui tue et bouffe la bande passante dans IIS et que monsieur tout le monde utilise IIS, tu n'as aucun droit de lui dire de ne pas l'utiliser, ce qui est sous entendu dans ta phrase ou tu dis je cite:
          A la base, je serais, moi aussi, pour laisser la liberté à chacun de choisir son système.
          case, non authentifie.
          • [^] # Re: WINDOWS C'EST PAS POUR LE REZO!!!

            Posté par  . Évalué à 1.

            Ce qu'il faut c'est que des organisations a but hautement lucratif tel que le gartner group que tout ces imbeciles de soit-disant ecoutent, disent que IIS c'est de la daube. Nous, les types du libres, les decideurs ils n'en ont rien a foutre.
            Par contre si monsieur Gartner le dit c'est que ce doit etre vrai (selon les decideurs).
            C'est a monsieur le vendeur du soft qu'il faut faire comprendre que ces softs c'est de la pure m*rde et qu'il ne faut pas qu'il nous prenne pour des imbeciles, comme l'a fait le gouvernement Allemand (ou l'un des ministeres Allemand). Et si la grogne se generalise, peut-etre que nanomou se bougera un peu le popotin pour faire des softs sinon bugue, au moins mieux pense.

            case
        • [^] # Re: Ne pas gaspiller de la bande passante..

          Posté par  . Évalué à 6.

          je rappelle que pour éviter de bouffer les logs apache, voire éviter de surcharger apache, on peut filtrer en live les addresses des serveurs qui vous attaquents :

          #!/bin/sh
          #lancer ce script 1 fois, il suivra les logs apaches
          logs=/var/logs/httpd/access_log
          tail -f -n$(cat $logs|wc -l) -f $logs | awk '/root.exe|default.ida/{system("/sbin/ipchains -A input -j DENY -i eth0 -p tcp -s " $1 " --destination-port 80")}'
          #EOF


          je rappelle que seuls les serveurs web seront blacklistés, et non pas les clients (sauf ceux qui font serveurs/xDSL avec leur windows...)
    • [^] # Re: WINDOWS C'EST PAS POUR LE REZO!!!

      Posté par  . Évalué à 2.

      tu nous prends pour des etres anormaux ???
      comment as tu fait pour te perdre sur ce site alors ???

      note : qu est ce que la normalite ?

      pour toi les unixiens sont des extraterrestres (venant de la planete unix) ?
      et utiliser windows releve du masochisme plutot que du bon sens et de la normalite
  • # La moitié des serveurs .gov sous IIS

    Posté par  . Évalué à 2.

    Selon Security space, quasi la moitié des serveurs .gov tourne IIS. Cela fait peur vu les évenements actuels.
  • # NT/IIS -> UnixLibre/Apache ou autre... Migration difficile

    Posté par  . Évalué à 9.

    J'ai déjà été confronté à ce problème (migration NT/IIS -> Unix Libre / Apache). Ce n'est pas une mince affaire en tant qu'admin l'an passé.
    En effet cela demande la conversion de l'existant, pas toujours simple. Par exemple tout ce qui est DAO/ADO n'est pas toujours simple à convertir, mais pas impossible. Il faut remplacer toute l'API MS par l'API d'une DB sur le système libre, y'a du boulot...
    Mais aussi, autre problème, c'est que les utilisateurs (créateurs de pages web) de ce serveur étaient formés aux outils Krosoft, ASP/VBScript + ADO/DAO - Cold Fusion, etc. Je me voyais mal réunir tout ce beau monde et leur offrir un cours de PHP/MySQL qu'ils auraient mal vu : "C'est quoi ce mec qui vient nous rápprendre à faire ce qu'on sait déjà faire autrement et qui marche très bien". T'as beau argumenter que c'est plus secure, plus puissant, plus ouvert... Rien n'y fera !
    Se débarrasser d'IIS quand il a été installé depuis un moment c'est très balaise. C'est comme une maladie, plus elle traîne plus elle est dure à soigner !!
    • [^] # Re: NT/IIS -> UnixLibre/Apache ou autre... Migration difficile

      Posté par  . Évalué à 0.

      Et à coup de baffes, ça passe pas ? :)
    • [^] # Re: NT/IIS -> UnixLibre/Apache ou autre... Migration difficile

      Posté par  . Évalué à 10.

      Moi, j'ai vécu une expérience encore pire. Dans ma jeune entreprise, nous sommes d'abord passé de postgresql à SQL Server donc nt a fait son apparition. Plus récemment, nous sommes passé de apache sous linux à apache sous nt. Maintenant, tout passe en win2000. Pourquoi? Pas par manque de compétence puisque tous les admins sont linux. Ils ont au contraire, dû se former à nt (bcp sont partis) :(
      A cause de java et d'un dirigeant incompétent. Le seul language qu'il maitrise est java alors tout doit être fait en java. Applis, sites web. Sun ayant pris assez tard le virage java sous liux, les jvms sont plus rapides sous win (5% à peu prés) d'où passage vers nt+apache comme serveur web.
      Pour la base, aucunes compétences en SQL pour créer les schémas des bases donc postgresql pliait normalement les genoux. SQL Server a fait illusion un petit moment mais le même probléme a fait surface. On en est à un octo processeur pour faire tourner convenablement la DB aprés avoir essouflé un quadri!!!!!!
      Mon analyse de tout celà, c'est que les produits microsoft sont trés appréciés parce qu'ils masquent trés bien l'incompétence des gens. Microsoft est le leader mondial parce qu'il transforme l'ignorance en compétence. A l'époque où nous étions tout linux avec quelques machines nt, un admin MCSE a été embauché pour s'occuper des nt et se former à linux pour faire des install + configs de machines. Au bout d'un mois, il est parti parce qu'il ne supportait pas cette nouvelle situation ou il était directement responsable de ses échecs. Quand il nous disait que c'était l'appli qui avait planté et qu'on lui montrait que les logs lui auraient permis de voir où il s'était gouré dans la config, il découvrait un autre monde. C'est celà qui fait la force de microsoft. Pas autre chose.
      Certains croient que microsoft est en avance technologique et qu'ils créent l'informatique du futur. Comment expliquent-ils que des bénévoles réussissent à créer un systéme plus abouti que le leur?
      Pour conclure, la prise de position de Gartner, c'est bien pour ceux qui se posent la question et qui ont les compétences. Pour ceux qui sont déjà microsoft powered, ce n'est pas la solution .
  • # Prendre le Pb à la base

    Posté par  . Évalué à 10.

    Mouais... et moi, je recommanderais aux sociétés d'embaucher de vrais administrateurs système pour occuper les postes d'admin. Ca reste d'ailleurs vrai pour les autres systèmes et produits.

    Si un admin (Linux, Solaris) ne fait pas son boulot (patcher, veiller, configurer, etc...) le problème sera le même ! Il y a assez de failles exploitables dans les OS et dans les anciennes versions d'Apache.

    Je crois que la faute revient majoritairement aux sociétés utilisatrices qui depuis plusieurs années considèrent que NT n'a pas besoin d'être administré (un D.I. m'a dit avoir choisi NT par rapport à Unix parce que NT "ça ne s'administre pas").

    La majorité des failles exploitées par les différentes génération de ces worms étaient corrigées par différents patches et hotfixes, il aurait suffit que les admins fassent leur boulot et les appliquent ! Au fait, pourquoi le worm s'appelle Nimda (Admin à l'envers) selon vous ?
  • # Microsoft = MicroMerde

    Posté par  . Évalué à -2.

    Ils sont vraiment nuls. Avec tout le pognon qui est injecté dedans, et pour un produit payant, qu'il soit aussi peu sécurisé.
    VIVE MICROSOFT !
  • # Migration de MS vers ailleurs

    Posté par  . Évalué à 1.

    Avec le temps, la question deviendra de plus en plus cruciale : comment migre-t-on de Microsoft MS-Office plus précisément vers autre chose ? (le nouveau système de licence de MS risque d'en effrayer plus d'un et j'espère que le code des marchés publics sera enfin appliqué aux outils bureautiques)

    Tant qu'il s'agit de migrer les données cela ne pose pas (ne devrait pas poser) de problèmes majeurs (documents Word, tableaux Excel, données Access...).

    Par contre, il plus difficile de faire migrer ce qui est programmes/scripts et ça en entreprise vous en avez un paquet.

    Donc, quelqu'un a-t-il un truc pour assurer cette migration ? (SVP eviter la réponse faire tourner le vieux Office dans une machine virtuelle Windows sous Linux, l'objectif est d'abandonner MS-Office)

    scoré -1 car en limite du sujet de la news

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.