Quelques articles truffés d'erreurs

Posté par  . Modéré par Amaury.
Étiquettes :
0
30
nov.
2001
Presse
Dans cette nouvelle on apprend que PHP-Nuke est non seulement un programme non OpenSource (c'est vrai qu'il est seulement sous licence GPL), qu'en plus son code source n'est pas accessible, ce qui est un comble pour un logiciel écrit dans un langage de "script", mais qu'en plus il est truffé de bugs de sécurité, qui après analyses se revèlent avoir été corrigés depuis quelque temps. La methode de "crack" présentée est en plus passablement suréaliste


Dans cette autre nouvelle, un mélange invraisemblable est fait entre les differentes implémentations d'un protocole pour arriver à la conclusion que le protocole n'est pas fiable car soumis à la somme des failles de toutes les implémentations.



Il serait temps de que la communauté du "logiciel libre" s'organise pour faire rectifier ces contre-vérités.

(Note du modérateur : ces propos n'engagent que leur auteur.)

Aller plus loin

  • # Ca faisais longtemps

    Posté par  . Évalué à 1.

    Ces deux nouvelles sortent du même dossier du même journal (c'est jusque que yahoo en a repris une des deux). Je ne vais pas dire le nom, j'en ai marre qu'ils ne racontent que des conneries.

    Dans la boite ou je bosse, et autour de moi, je leur fait de la contre-pub, j'explique a tous le monde qu'ils ne disent que des conneries, articles montrés à l'appui.

    J'ai quand même un de leur article (sur mon travail) accroché au mur. Quand j'ai pas la forme, je le regarde, je rigole, et hop, ça repars.
    • [^] # Re: Ca faisais longtemps

      Posté par  . Évalué à 1.

      JDN: le segfault français

      Yahoo ça vaut pas mieux, à part retranscrire bêtement des nouvelles prises n'importe où sans les vérifier, ils ne savent pas faire grand-chose. Ah si, des contrepèteries faciles.
      • [^] # Re: Ca faisais longtemps

        Posté par  . Évalué à 1.

        [note: à chaque news venant de Yahoo!, y'a une remarque de ce type. Moi et d'autres ont déjà donné l'explication plusieurs fois. Mince]

        Yahoo! a un contrat avec plusieurs publications online pour profiter de leur contenu. Basiquement, c'est du cobranding: ils payent la société en face (Transfert.net, JDNet, Overgame, 01net, Reuteurs, etc) et disposent en échange d'un contenu fourni automatiquement. C'est le cas pour l'intégralité de Yahoo! Actualités ( http://fr.news.yahoo.com/(...) pour mémoire).

        Donc Yahoo! ne retranscrit rien. Et ne vérifie rien non plus, puisqu'ils ne sont pas maîtres du contenu, qui ne leur appartient pas. Ils se contentent de parser du XML, et basta.

        Pour connaître les auteurs originaux, et donc les gens à féliciter (Transfert.net) ou à conspuer (JDnet, 01net, ZDnet ...), il suffit d'ouvrir un peu les yeux et de chercher sur la page le lien vers le site (et parfois l'article) original. Généralement, c'est situé en dessous de l'article.
        • [^] # Re: Ca faisais longtemps

          Posté par  . Évalué à 1.

          Ah merci, je savais pas...

          hop, -1
        • [^] # Re: Ca faisais longtemps

          Posté par  . Évalué à 1.

          Pour connaître les auteurs originaux, et donc les gens à féliciter (Transfert.net)
          Euh, quand tu dis féliciter, tu veux sans doute parler de l'affaire i2bp, c'est ça ? ;-)
        • [^] # Re: Ca faisais longtemps

          Posté par  . Évalué à 1.

          Et cette explication est censée dégager yapou de toute responsabilité????
          Deuxiémement rien dans ce que tu dis n'infirme le commentaire original:
          "Yahoo ça vaut pas mieux, à part retranscrire bêtement des nouvelles prises n'importe où sans les vérifier", au contraire. Donc je ne vois pas en quoi on doit se contenter de conspuer le journal pas net, et pas Yahoo.
          Si en plus de pas vérifier ils leur refilent de l'$ comme tu le dis, c'est eux en premier qu'il faut mailler.. le nerf de la bétise publié, c'est l'argent.
          • [^] # Re: Ca faisais longtemps

            Posté par  . Évalué à 1.

            Encore une fois, ils ne peuvent pas vérifier, ils ne contrôlent pas ce que les sociétés choisissent de leur envoyer. S'ils ont de la chance, ils peuvent peut-être filtrer les articles, mais pas les modifier. Et je les vois mal engager des semi-experts dans chaque domaine de connaissance pour filtrer des news potentiellement fausses alors que justement ils payent des sociétés pour leur fournir une information censée être juste.

            Par contre, oui, on peut prévenir Yahoo! que le JDnet n'est pas la publication online la plus fiable qui soit, mais ça ne changera rien avant un moment, ce genre de contrats se faisant au minimum à l'année.
            • [^] # Re: Ca faisais longtemps

              Posté par  . Évalué à 1.

              Sans compter que les news de yahoo sont reprisent par un tas de fournisseurs d'info comme newsline qui les commercialisent elles aussi par la suite.
            • [^] # Re: Ca faisais longtemps

              Posté par  . Évalué à 1.

              Encore une fois, je ne suis pas d'accord avec toi, tu sembles excuser une attitude en répondant à une critique justifiée de cette attitude par une explication de cette attitude(comme tu le dis: toi et d'autres répondez toujours cette réponse dés que quelqu'un critique les news yahoo).
              Excuse moi encore mais si un site comme yahoo diffuse des news venant d'autres sites suite à un contrat, il se place dans un contexte trés différent de linuxfr.org: dans un contexte éditorial!
              Sur un site comme linuxfr, il est trés clair que les news sont des contributions de participants aux discussions du site.La méfiance du lecteur est automatique, et je ne parle pas des posts. Sur un site comme yahoo news tout est fait pour te donner l'impression d'un professionnalisme, "à la AFP",ou d'une publication papier.
              D'ailleurs ils reprennent surement les news AFP, non ?
              S'ils ne sont pas capable de gérer le contenu éditorial, c-a-d la qualité de leurs nouvelles, oui on a le droit de les critiquer, oui ils sont responsables de ce fait.
              Quand quelqu'un prétend à se faire journaliste, j'attends de lui de la déontologie, pas du "c'est pas ma faute, on est sous contrat".
              • [^] # Re: Ca faisais longtemps

                Posté par  . Évalué à 1.

                Oui, ils reprennent les news AFP.

                Mais encore une fois, les gens de Yahoo! ne se prétendent pas journalistes, ils ne le sont pas, ils n'écrivent aucun article, et toute la publication est automatisée.

                Ce que fait Yahoo!, c'est juste payer pour afficher du texte, texte sur lequel il n'a aucun droit, ni moral, ni intellectuel. Juste celui de l'afficher.

                Tout ce qu'ils ont, c'est un développeur qui a fait une appli qui parse des backends, rien d'autre.

                Alors bien sûr, tu peux dire continuer à dire que ce sont de mauvais journalistes sans déontologie, mais ça deviendra ridicule, dans la mesure, où, encore une fois, ils ne le sont pas. Ceux de JDnet/ZDnet & co, oui, ils sont largement faillibles et critiquables, mais Yahoo, tu n'y peux rien.

                C'est comme accuser Google Groups de manque de déontologie parce qu'ils archivent aussi les posts racistes. Ca n'a aucun sens.
        • [^] # Re: Article original

          Posté par  (site web personnel) . Évalué à 1.

          Je viens de remonter à l'article original : http://www.isecurelabs.com/nuke_passwd.html(...)
          L'auteur précise qu'il faut utiliser IE :
          Une vulnérabilité dans Internet Explorer permet de faire exécuter du code Java script sur la machine d'une personne qui suivra un "lien" un peu bidouillé...
          Il faut donc que l'administrateur utilise IE pour que l'on puisse découvrir son mot de passe.
          C'est quand même un bug de Microsoft qui permet cela. Bien sûr, le cookie de PhpNuke n'est pas une trouvaille, mais le fait d'utiliser IE pour administrer son site ressemble à une faute professionnelle.

          Voila donc un bon motif pour rénover beaucoup de machines en leur donnant un vrai OS.
    • [^] # Re: Ca faisais longtemps

      Posté par  (site web personnel) . Évalué à 1.

      eh bien moi, quand ma secrétaire me tape sur les nerfs et que je ne trouve plus ma flutine, je fais

      http://www.google.com/search?hl=en&q=site%3Alinuxfr.org+%22jdn%(...)

      ça me revitalise.
    • [^] # Re: Ca faisait longtemps

      Posté par  . Évalué à 1.

      Je sens bien que je suis un grand naïf dans cette histoire, car je crois encore que l'on peut faire
      rectifier un article losque l'on peut démontrer qu'il contient des erreurs.

      Je me dis aussi que je n'ai qu'à prendre mon clavier et écrire un petit mail au site qui
      publit l'info pour la faire corriger et voir ce que ça donne.

      Poutant je crois que l'on pourrait réaliser une sorte de lobbying pour faire corriger les news
      au moins pour les fautes les plus grossières.

      Pour cela il faudrait des gens qui se partagent la surveillance des news, il faudrait identifier
      les techniques qui conduisent le plus surement à faire corriger les sites. Il faudra peut-être dans
      certains cas recourir à la justice.

      La piste que je propose est de ne pas s'embarquer dans des débats publics à coup de contres
      nouvelles, mais juste d'obtenir les modifications que nous demandons le plus rapidement possible.

      Lorsque les services de presse de ces sites en auront marre d'être assaillis de demandes de
      corrections pour des articles écrits avec certains interlocuteurs, ils finiront par mieux
      sélectionner leurs sources. Enfin je l'imagine dans ma grande naïveté.
      • [^] # Re: Ca faisait longtemps

        Posté par  . Évalué à 1.

        Mailer l'auteur (ou le modérateur, voire le directeur de publication, ça dépend bien sûr du site), c'est généralement amplement suffisant.

        Pas besoin de veille technologique poussée ni d'action en justice pour ça, hein. Juste un mailer, de la courtoisie, et une explication claire.

        Bon, -1.
        • [^] # Re: Ca faisait longtemps

          Posté par  . Évalué à 1.

          c'est vrai, et surtout, ça ne sert à rien d'insulter les journalistes. Ce ne sont pas des techniciens, et ce n'est pas en leur jetant leur papier à la figure que cela va donner envie d'écrire des bonnes choses sur le libre et la communauté GNU/Linux. Les premiers journalistes sur le terrain...c'est nous, il faut expliquer c'est tout.
          • [^] # Re: Ca faisait longtemps

            Posté par  . Évalué à 1.

            Ce ne sont pas des techniciens
            Tu m'étonnes, la plupart se contentent de recopier les communiqués de presse et d'ajouter leur signature...
  • # Pas mal leur technique

    Posté par  (site web personnel) . Évalué à 1.

    J'avais vu le premier mais pas le deuxieme (en effet je lis Yahoo mais très rarement le journal du net).
    Après avoir été choqué par la phrase ou ils disent que c'est pas de l'Open Source, j'ai lu la suite pour voir ce qui pouvait trainer d'autre. Ils ont donc réussi à me faire lire tout un article qui ne m'a rien appris à part leur incompétence ;)
    • [^] # Re: Pas mal leur technique

      Posté par  . Évalué à 1.

      Le pire comme dit l'auteur de la news c'est qu'il disent que PHP-NUKE n'est pas fournit avec les sources alors que c'est un langage de script !

      C'est à en perdre mon PHP...
      • [^] # Re: Pas mal leur technique

        Posté par  . Évalué à 1.

        PHP-Nuke n'est pas un langage de script. C'est un script tout court. Et tous les scripts PHP ne sont pas opensource, loin de là.

        Sans aller chercher les exemples qu'on a pu voir au PHP Forum 2001 (groupe SQLI, Ivalua, etc), on peut prendre le (relativement célèbre) script de board de Presence-PC (utilisé sur Hfr si je me souviens bien), dont l'usage est vendu, et qui reste apparemment closed-source.
        • [^] # Re: Pas mal leur technique

          Posté par  . Évalué à 1.

          Dans la news, l'auteur explique entre parenthèses qu'il est-à-dire que "le code source n'est pas livré avec".

          Comment est-ce possible avec un outil écrit en PHP ?

          Que tu n'ais PAS LE DROIT de modifier le code, à la limite, mais comment peut-on faire pour le masquer aux yeux du client ? PHP proposerait-il une forme compilée ?
          • [^] # Re: Pas mal leur technique

            Posté par  . Évalué à 1.

            > mais comment peut-on faire pour le masquer aux yeux du client ? PHP proposerait-il une forme compilée ?

            Oui :
            http://www.zend.com/store/products/zend-encoder.php(...)
            C'est commercial.
          • [^] # Re: Pas mal leur technique

            Posté par  . Évalué à 1.

            Il y a les solutions pour encoder le code source, comme dit plus bas.

            Il y a aussi la solution de ne pas livrer l'outil, mais d'en vendre l'usage depuis un serveur. C'est le cas pour l'exemple donné précédemment, à savoir le forum Presence-PC.

            Maintenant, en ce qui concerne PHP-Nuke, il y avait bien sûr erreur de la part de l'auteur de l'article, puisque PHP-Nuke est distribué avec son code source. On pourrait même dire qu'en tant que script, il est lui-même son code source.
  • # [François Morel, JDNet]

    Posté par  . Évalué à 1.

    J'envoi à l'instant un mail à ce cher monsieur
    avec la license de phpnuke, à savoir la gpl, comme précisé dans la news .
    Si il me réponds promis je forwarde ici :)
  • # Le site "femme actuelle" a une news sur linux

    Posté par  . Évalué à 1.

    et y a plein de connerie. OUHHH, la honte !!!

    Trève de plaisanterie.
    DLFP ne va pas mettre en première page toutes les conneries du web !
    La dernière news aussi n.... date de trois jours seulement (linuxfr se spécialise !) : :
    http://linuxfr.org/2001/11/27/6108,0,1,0,0.php3(...)

    PS :
    Dans la page pour mettre un post. Il y a un textarea pour entrer le texte. L'attribut wrap="virtual" a été supprimé et c'est gonffrant quand on utilise netscape 4.x.
    Pouvez pas corriger SVP.
  • # les journalistes de la honte

    Posté par  . Évalué à 1.

    je me sens sans dessus-dessous quand je vois ce genre de connerie. Quel est leur intérêt ? Parce qu'à ce niveau là, c'est forcément volontaire. Moi aussi j'essaye de rattraper le coup auprès de mes collègues. Aujourd'hui, mon PDG m'a fait suivre un mail qui parlait d'une faille de sécurité dans Linux alors que c'était wu-ftpd, cf les news précédentes. Mais les titres sont conçus de manière à être accrocheur et trompeur. Que touchent ces journalistes financièrement en échange de leur connerie, est-ce pour faire de l'audiance ou y a-t-il un intérêt autre....
    Va falloir vraiement faire quelque chose pour contrer tout ça et linuxfr est pour moi un très bon début.
    Jusqu'où irez-vous ?
    • [^] # Re: les journalistes de la honte

      Posté par  . Évalué à 1.

      Je pense que les journalistes aujourd'hui sont un peu dépassé par les nouvelles technologies, néanmoins Linux est un sujet qui attire les lecteurs.
      En effet bcp ont entendu de Linux et des logiciels libres sans bien comprendre de quoi il s'agit, les journalistes même non spécialistes veulent en parler pour faire vendre leur revue.
      Je ne pense pas que leur erreurs soient volontaires c'est juste qu ils veulent parler d'un sujet qui "fait vendre" mais auquel ils ne connaissent rien.
      • [^] # Re: les journalistes de la honte

        Posté par  . Évalué à 1.

        j'avoue avoir été un peu dur concernant ma critique en généralisant un peu trop. Il y a bien sûr de très bons journalistes. Mais il y a quand même une limite entre "se tromper" et "inventer". Par naïveté à cause d'un manque de connaissances sur le monde du logiciel libre, on peut comprendre les erreurs mais de là à sortir des articles qui relèvent de la fiction, c'est fort. Peut-être que c'est moi qui suit naïf concernant ma connaissance du journalisme. Ce qu'il faudrait, ce serait de leur donner des références mais le nombre de journaliste/chroniqueur à "toucher" est fort important. J'ai l'impression d'être en bas de la montagne et que pour changer les idées reçues, il faille monter, monter jusqu'au sommet pour se faire entendre très loin et très fort mais la route sera longue...
    • [^] # Re: les journalistes de la honte

      Posté par  (site web personnel) . Évalué à 1.

      Je suis d'accord avec toi.

      Linuxfr constitue un bon début, mais ne suffira pas à améliorer le qualité de l'information de Monsieur-Tout-Le-Monde. Je veux dire informer, voire éduquer tous ce qui ne connaissent presque rien de Gnu-Linux, ceux qui

      - ne savent pas ce qui est commun et différent entre les distributions ;
      - qui ne comprennent pas pourqoi, il y'a KDE et Gnome.
      etc. Nous, savons, tous, ici, que le public, y compris nous, à besoin d'être informé.

      Je ne pense pas que Linuxfr puisse constituer une source d'information privilégiée pour les non-linuxophiles ou non-informaticiens.
      Certains sites, comme Lea, même s'ils s'addressent à des déburtants visent aussi des( futurs ) linuxophiles.

      Dans une telle situation, il nous reste deux solutons :
      - ignorer les logiciels propriétaires et tous les sites qui en parlent. On considère que les sites
      qui parlent de Microsoft (Zdnet , Yahoo...), (surtout s'ils sont commercials) ont ce qu'ils méritent et ne méritent donc aucun effort de notre part et aucune aide de notre part.

      - les aider, mais pour cela il faut s'organiser et créer ou participer à un portail/mailing liste collaboratif.

      Pour la deuxième solution, je fais confiance à l'abnégation, imagination et sens de l'organisation de la communauté Linuxienne.

      N'oublions pas l'information est vital pour la compréhension.

      -1, car je n'aime pas faire de longs posts
    • [^] # Re: les journalistes de la honte

      Posté par  . Évalué à 1.

      Comme disait Coluche :

      Jusqu'ou s'arrterons t'il ?
  • # Juste pour info

    Posté par  . Évalué à 1.


    mais qu'en plus il est truffé de bugs de sécurité, qui après analyses se revèlent avoir été corrigés depuis quelque temps. La methode de "crack" présentée est en plus passablement suréaliste


    Je tiens a faire remarquer que php-nuke a subit quelques desagrements il y a peu.
    En effet le fondateur du projet a ferme l'acces a son cvs suite au ras-le-bol des autres contributeurs du au manque de serieux quand a la securite, et a la lenteur des mise a jour.
    Recemment l'auteur a reprit son travail depuis une version anterieure, donc non patchee et je n'ai pas verifie s'il avait fixe ces problemes depuis ...

    Suite a cela l'auteur des addons php-nuke a decide de se retirer du projet afin de s'integrer dans postnuke qui est un fork de php-nuke.
    Ce dernier a ete cree pour produire une version plus securisee et mieux codee :)

    Bref je conseille fortement aux utilisateurs de php-nuke de migrer vers postnuke pour eviter les desagrements causes par l'incapacite de l'auteur a gerer correctement son projet (de toute facon j'ai du mal a faire confiance a un codeur windows ;)
    • [^] # Re: Juste pour info

      Posté par  . Évalué à 1.

      Je tiens a faire remarquer que php-nuke a subit quelques desagrements il y a peu.
      En effet le fondateur du projet a ferme l'acces a son cvs suite au ras-le-bol des autres contributeurs du au manque de serieux quand a la securite, et a la lenteur des mise a jour.

      Je rappelle que Burzi REFUSE d'utiliser CVS. Et de
      laisser quiconque toucher à son code.
      • [^] # Re: Juste pour info

        Posté par  . Évalué à 1.


        Je rappelle que Burzi REFUSE d'utiliser CVS. Et de laisser quiconque toucher à son code.


        Il y avait sur sourceforge un acces cvs il y a quelques temps.
        C'est la ou j'attendais les mises a jour ...

        Maintenant c'est clair qu'il n'aime pas cvs car il ne sait quasiment pas s'en servir.
        Il est aussi sur qu'il ne veut plus que quiconque touche a son source, mais de toute facon maintenant quiconque de sense prefere aller voir du cote de postnuke ...
    • [^] # Re: Juste pour info

      Posté par  . Évalué à 1.

      meme http://www.nukeaddon.com/(...) a fait passer son suport de phpnuke à postnuke, parce que le mode de dév ne lui permettait pas d'avoir ses modules à jour.

      pour lancer un petit troll mais plutôt rigolo, j'aime bien le débat sur http://www.boomtchak.net/(...) ou les utilisateurs discutent du problème d'avoir à éditer directement le code php chaque fois qu'une virgule est mal placée. apparemment aucun d'eux n'a jamais entendu parler de dacode...
      allez -1
  • # Morceaux choisis !

    Posté par  . Évalué à 1.

    Mes amis, je crois que cette fois on touche le fond.

    - Le journaliste qui a écrit cet article ne connait visiblement pas la GPL.
    - Il ne connait pas non plus le fonctionnement de PHP (C'est pourtant pas dur à expliquer, au moins dans son idée principale).

    Outre le fait qu'un outil écrit en PHP est FORCEMENT livré avec sa source, puisqu'il est interprété, ce gars-là arrive à clamer en l'espace d'un paragraphe que PHP-Nuke n'est pas Open Source, alors qu'il donne l'URL vers le téléchargement dudit outil ! Faut quand même en tenir une sacrée couche ...

    Point de vue SSH

    La note d'incident (où figure la liste des actions à la disposition du responsable sécurité) du Cert fait état de l'exploitation d'un dépassement de la mémoire tampon dans le sous-système de détection d'attaque CRC-32

    "Aware" comme dirait Jean-Claude.
    C'est typiquement le genre de phrases ronflantes mais sans aucun contenu. Je ne comprends pas cette manière de faire de l'info-esbroufe.


    Ce qu'il y a de drôle, c'est que c'est exactement du même niveau que cette news qui parle aussi de PHP :-)

    http://bbspot.com/News/2000/6/php_suspend.html(...)

    (C'est bon de revoir ses classiques :-) )
    • [^] # Re: Morceaux choisis !

      Posté par  . Évalué à 1.

      Ce gars-là arrive à clamer en l'espace d'un paragraphe que PHP-Nuke n'est pas Open Source, alors qu'il donne l'URL vers le téléchargement dudit outil ! Faut quand même en tenir une sacrée couche...

      Et alors, ça ne change rien. Je peux faire un article sur WinCommander, te filer l'URL pour le télécharger, et il n'est ni Open-Source ni Libre, juste un Shareware. Seule la première partie de ta phrase signifie quelque chose dans ce cas :
      Un outil écrit en PHP est FORCEMENT livré avec sa source, puisqu'il est interprété, sauf qu'apparemment comme tu le dis :

      - Le journaliste qui a écrit cet article ne connait visiblement pas la GPL.
      - Il ne connait pas non plus le fonctionnement de PHP (C'est pourtant pas dur à expliquer, au moins dans son idée principale).

      Et oui, le journaliste a apparemment pas mal d'articles à écrire et il donne environ 5 minutes à chacun, recherche documentaire comprise...
  • # Il y a bien...

    Posté par  (site web personnel) . Évalué à 1.

    En cherchant des infos sur internet, je suis tombé sur cette page de liens de la société Open Care:
    http://www.ocare.com/?p=press&lg=fr(...)
    C'est certes une page de lien concernant une seule société (de la pub quoi) mais que j'ai trouvé assez intérréssantes. D'abord, c'est la page d'une société qui travaille avec des programmes open-source (open source support provider) et qui défend de maniéres assez agréables son gagne pain mais aussi, qui n'hésite pas à se mouiller dans la lute anti brevet et autres et le fait savoir dans des publications pas forcément orientée informatique libre (cf un lien vers le site des échos). Autrement dit, quand il y a un bon support dérriére, "des experts", les journalistes qui le veulent peuvent pondre un bon article et dire des trucs intérréssant, même le journal du net* (même s'il y a encore (au moins) une erreur (cherchez c'est au début)).
    D'ailleurs je me pose une question, ne serait-il pas possible pour ces sociétés de "mettre la pression" sur les journaux qui diffusent leurs pubs? Aprés tout, l'article sur la sécurité de Linux est également préjudiciables à leur business.

    *http://solutions.journaldunet.com/0011/001102opencare.shtml(...)
  • # Il y a bien pire ;)

    Posté par  (site web personnel) . Évalué à 1.

    Si on commence à s interresser de près à la presse informatique, laissez moi evoquer certains zines linux qui se permettent de nous vendre des articles déjà publié sur le net ... Quand je vois que 30 % du journal est composé d articles que j ai déjà lu ça me fout les boules ....

    SInon depuis quelques semaines, je reçois gratuitement un veritable torchon, pour ne pas le siter 'le nouvel hebdo [...]' Le journal de la e-conomie qui analyse les tendances du web, et qui s adresse aux chefs d entreprises , et aux start up ... C est le must de la connerie et de l ignorance, qui donne un bon indicateur du marché de l informatique, et de l image qui en est véhiculé, le tout pour faire du $$$ ...

    Quant à Jdnet, ils restent indépendants, ils n ont pas le droit de modifier l article sans l autorisation de l auteur (ce qui n est pas un mal), et il n applique pas la censure. Je crois que la seule chose que l on peut leur reprocher, c est de ne pas donner un droit de réponse en postant des commentaires à la suite des articles...

    Quand à ssh1, les failles de secu existent depuis plus d un an [...] pourquoi ils y en a qui se reveillent à la bourre comme ça ? Le ssh2 ça sert à quoi ????

    Quand au java scripts bouuuuuuuu il y en a encore qui utilise ça ?

    Forwardez la nouvelle à Mandrake concernant la license phpnuke !!!

    @++ Code34
  • # Openssh != Ssh

    Posté par  (site web personnel) . Évalué à 1.

    Ce cher journaliste ne doit même pas savoir qu'il y a plusieurs versions de SSH, sinon il aurait été sur la page d'OpenSSH et aurait cliqué avec sa jolie souris microsoft sur "security", et serait tombé sur cette page http://www.openssh.org/security.html(...) .

    Il aurait alors appris que OpenSSH résiste aux attaques qu'il a cité :

    * Vulnérabilité n°1 : "l'exploitation d'un dépassement de la mémoire tampon dans le sous-système de détection d'attaque CRC-32."
    --> OpenSSH 2.3.0 and newer are not vulnerable to the "Feb 8, 2001: SSH-1 Daemon CRC32 Compensation Attack Detector Vulnerability"


    * Vulnérabilité n°2 : "Découverte par la société Core SDI, celle-ci permettrait de récupérer la clef de chiffrement pour accéder aux sessions en cours."
    --> OpenSSH 2.2.0 and newer are not vulnerable to the "Feb 7, 2001: SSH-1 Session Key Recovery Vulnerability", CORE-SDI Advisory CORE-20010116.

    * Vulnérabilité n°3 : "l'association de OpenSSH sous OpenBSD 2.9 avec le système de mot de passe S/Key pourrait donner au hacker, après certaines sollicitations, un accès à des informations susceptibles de l'assister dans la pénétration du système visé"
    --> Là j'ai rien vu qui parle de ça dans la page de OpenSSH, ni dans les advisories d'OpenBSD, mais en tout cas ce n'est pas une vulnérabilité qui permet d'accéder à un système distant, ce qui en relativise très fortement la gravité.

    Cet article ne présente rien de nouveau, et n'est qu'un ramassis d'inexactitudes alors qu'il traite de la sécurité, domaine qui requiert une certaine rigueur que l'on ne retrouve pas ici. La rigueur aurait voulu qu'on ait la liste des logiciels vulnérables, avec leurs versions, ainsi que la liste de ceux qui ne sont pas vulnérables. Et surtout, il aurait fallu que ce journaliste décrive comment se protégér des attaques, au lieu de critiquer bêtement...
    • [^] # OpenSSH et S/Key

      Posté par  . Évalué à 1.

      * Vulnérabilité n°3 : "l'association de OpenSSH sous OpenBSD 2.9 avec le système de mot de passe S/Key pourrait donner au hacker, après certaines sollicitations, un accès à des informations susceptibles de l'assister dans la pénétration du système visé"

      En gros : S/Key (one-time password authenficiation) untilise un système de challenge-response. Un attaquant peut deviner, selon le challenge posé, l'existant ou pas d'un login, voire la fréquence d'utilisation de ce login.

      La réponse de Markus Friedl : OpenSSH utilise un "fake skey challenge" dans ce cas, donc pas exploitable, et ce depuis Novembre 2000, y'a plus d'un an donc.

      cf. http://securityfocus.com/cgi-bin/archive.pl?id=1&start=2001-11-(...)
  • # Droit à la parole

    Posté par  . Évalué à 1.

    Bonjour,

    Je suis l'auteur de l'article sur le moyen de subtiliser le login/passwd phpnuke.

    J'ai bien expliqué dans mon article qu'il fallait utiliser la faille IE. Cependant, depuis peu de temps, de nombreuses vulnérabilités de type cross site scripting ont étés découvertes sur phpnuke, il n'est donc plus necessaire d'utiliser la faille IE pour que la technique fonctionne(je vous invite à aller sur securiteam.com pour plus d'infos)


    Je tiens aussi à préciser que je ne suis pas responsable de ce qu'écrivent les journalistes.
    A aucun moment je n'ai dis que phpnuke n'etait pas open source, ou qu'on ne pouvait pas avoir les sources....etc...


    Je suis autant désolé que vous de la tournure qu'a pri cet article, mais je n'en suis pas responsable.

    Trés cordialement.

    acz
    http://www.iSecureLabs.com(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.