Journal Faites confiance a Microsoft

Posté par .
Tags : aucun
0
25
avr.
2008
et confiait lui vote site web en le mettant sous IIS le plus secure des serveurs web. Enfin un demi million de site foutu en lair a cause d'une faille de IIS non patche qui dit mieux?

C'est rigolo ca doit etre le fait de la popularite de IIS par rapport a Apache qui fait que ce genre de probleme n'arrive qu'avec les logiciel de cette boite!
  • # Des liens !

    Posté par . Évalué à 10.

    Source ?
  • # Mes yeux !!!!

    Posté par . Évalué à 10.

    Ça pique !

    C'est pourtant pas compliqué :
    "Confiez" ça sonne comme un "é" pas comme un "ait"
    • [^] # Re: Mes yeux !!!!

      Posté par . Évalué à 4.

      toi, tu n'es jamais parti dans le sud
    • [^] # Re: Mes yeux !!!!

      Posté par . Évalué à 3.

      c'est encore à cause de la télé ça !

      "Papaaaa ? C'est quoi cette bouteille de lé ?"

      :-)
      • [^] # Re: Mes yeux !!!!

        Posté par . Évalué à 4.

        Mais vous avait pas comepris qu'Aleubert venait de Monepelliai
        • [^] # Re: Mes yeux !!!!

          Posté par (page perso) . Évalué à 2.

          comepris [...] Aleubert [...] Monepelliai

          Mais c'est pas possible de faire des fautes aussi enormes ! Tu es dyslexique ou quoi !
          • [^] # Re: Mes yeux !!!!

            Posté par . Évalué à 8.

            [root@localhost ~]# modprobe humour
            FATAL: Module humour not found.

            :-/
            • [^] # Re: Mes yeux !!!!

              Posté par (page perso) . Évalué à 5.

              C'était une blague, hein... cette personne ayant déjà dit qu'elle était dyslexique...
              • [^] # Re: Mes yeux !!!!

                Posté par . Évalué à 2.

                Ah...
                Comme quoi, on n'est pas toujours prophète en son pays !
                Mais bon, tous ceux qui m'ont plussé devaient penser comme moi, je suppose (mais non, je vous balance pas !)...


                [Mode "je me rattrape aux branches"]
                Et puis de toute façon, j'ai fait une commande en root, ça prouve bien que ça ne pouvait que m'être adressé ! Je n'ai quand même pas un accès root à ton cerveau (si ?).
                :-p
                [/Mode "je me rattrape aux branches"]
          • [^] # Re: Mes yeux !!!!

            Posté par (page perso) . Évalué à 5.

            moi je vote pour "ou quoi" !
  • # Toujours le meme amas de conneries

    Posté par . Évalué à -8.

    C'est rigolo ca doit etre le fait de la popularite de IIS par rapport a Apache qui fait que ce genre de probleme n'arrive qu'avec les logiciel de cette boite!

    http://www.zone-h.org/content/view/14928/30/

    Webserver defaced
    Year 2005 Year 2006 Year 2007
    Apache 308.281 486.294 319.439
    IIS/6.0 72.338 180.926 113.935
    IIS/5.0 99.616 66.304 23.664


    319000 contre 136000

    Un ratio bien plus eleve que le ratio Apache / IIS

    Tu es un veritable champion mon cher Albert
    • [^] # Re: Toujours le meme amas de conneries

      Posté par . Évalué à -7.

      en dessous du commentaire précédent, ne pas lire

      Ce commentaire est-il pertinent ou inutile ?

      mais

      Cet utilisateur est-il pertinent ou inutile ?

      ~~>[]
    • [^] # Re: Toujours le meme amas de conneries

      Posté par (page perso) . Évalué à 10.

      Hum... En parlant de conneries....

      On parle de sécurité des serveurs. Et toi tu nous parle de sites défacé....
      Sache que la quasi-totalité des défacages sont dûs à des failles dans le codes des sites et pas aux serveurs !!! Donc c'est pas comparable.
      Je me suis fait défacé mon site y'a pas longtemps... Et AUCUN rapport avec la sécurité du serveur. Juste une petite faille dans mon code php.
    • [^] # Re: Toujours le meme amas de conneries

      Posté par . Évalué à 2.

      J'ai peut être loupé un épisode, mais j'aimerais bien savoir quoi penser de son lien:

      "Therefore the attacks migrated as well, as Linux is now the most attacked operating system with 1.485.280 defacements against 815.119 in Windows systems (numbers calculated from 2000)."

      C'est dû à la faille critique du noyau d'il y a quelques mois que des admins un peu feignasses n'auraient pas patchés ou le problème est plus grave ?
      • [^] # Re: Toujours le meme amas de conneries

        Posté par . Évalué à 2.

        L'évaluation est super complexe.
        Les sites GNU/Linux sont souvent des petits sites pas toujours très bien maintenu. Il y a évidemment des sites plus "professionnels", mais la proportion de ses derniers pour Linux doit être plus faible que pour Windows.
      • [^] # Re: Toujours le meme amas de conneries

        Posté par . Évalué à 2.

        Je pense pas que cela ait a voir avec l'OS lui-meme, le nombre de defacages dus a une faille de l'OS sont probablement tres faibles compare au reste, si les gens avaient fait tourner Apache sur Windows et IIS sur Linux, tu te serais probablement retrouve avec les chiffres inverses.
      • [^] # Re: Toujours le meme amas de conneries

        Posté par . Évalué à 5.

        ce qu'il y a de beaucoup plus rigolo a regarder comme stats ce sont celles de secunia.

        Pour une distrib linux classique (desole j'ai pris ubuntu 6.10 donc pas une LTS mais vous pouvez en prendre une autre):

        http://secunia.com/product/12470/?task=statistics

        et Vista:

        http://secunia.com/product/13223/?task=statistics

        Je trouve assez rigolo de voir que des failles sont non corriges (et je me moque du degre de vulnerabilite, une faille c'est une faille) pour cet OS qui coute excessivement cher et qui a un support en proportion inverse a son prix. De l'autre cote on voit que toutes les failles de ubuntu sont corrige. Au passage cela ne sert a rien de dire que ubuntu a eu 200 failles et Vista seulement 30 vu que dans les failles ubuntu il y a des trucs tel que gnumeric, poppler, unzip etc de compris. Je ne regardais pas le type de faille mais juste la facon donc c'etait traite pas chaque vendeur ou fournisseur.

        Et donc comme deja dit je trouve tres instructif de voir que le prix est inversement proportionnel a la qualite du support!
        • [^] # Re: Toujours le meme amas de conneries

          Posté par . Évalué à -7.

          e trouve assez rigolo de voir que des failles sont non corriges (et je me moque du degre de vulnerabilite, une faille c'est une faille) pour cet OS qui coute excessivement cher et qui a un support en proportion inverse a son prix.

          Genial, en fait tout ce qui t'interesse c'est de compter, sans regarder la substance. Que la faille n'en soit pas vraiment une n'est qu'un detail.

          Bref, tes posts sont toujours aussi interessants et constructifs.

          En passant, Ubuntu inclut Firefox ? Parce que http://secunia.com/product/12434/

          marrant, ils ont des failles non patchees aussi, et c'est tout a fait normal.

          Et donc comme deja dit je trouve tres instructif de voir que le prix est inversement proportionnel a la qualite du support!

          Vraiment, tes piques pourraves on s'en fout, tu ne fais que renforcer ton image de guignol avec ton comportement de gamin ecervele.
          • [^] # Re: Toujours le meme amas de conneries

            Posté par . Évalué à 6.

            Mmmm, je serais toi (ce qui n'est pas le cas Saint RMS benis soit tu..) j'eviterais de faire une remarque de ce genre sachant que c'est EXACTEMENT ton profil que du viens de decrire...
          • [^] # Re: Toujours le meme amas de conneries

            Posté par . Évalué à 4.

            > marrant, ils ont des failles non patchees aussi, et c'est tout a fait normal.

            Non, ce n'est pas normal.
            Mais c'est mieux que IE 7 :-)
            Pour Firefox : 17 %
            IE 7 : 33 %
            • [^] # Re: Toujours le meme amas de conneries

              Posté par . Évalué à -1.

              Si c'est tout a fait normal, mais tu es libre d'aller expliquer a Mozilla, Apache, MS, ... que tu es meilleur juge qu'eux quand a la severite de ces problemes, mon petit doigt me dit qu'ils te riront tous au nez, et c'est normal, car on(Apache, Mozilla, nous, ...) fait ce boulot depuis des annees et on sait comment juger une vuln. et decide si et quand elle doit etre corrigee.
              • [^] # Re: Toujours le meme amas de conneries

                Posté par . Évalué à 2.

                > Si c'est tout a fait normal

                Non, ce n'est pas normal, c'est explicable.
                Peut-être que chez MS avoir des trous de sécurité est normal, mais chez les autres on ne trouve pas ça normal.

                Si tu arrives en retard à un rendez-vous, tu vas trouver ça normal car personne arrive à l'heure à tous ses rendez-vous ?
                Désolé, mais pas moi.

                > juger une vuln. et decide si et quand elle doit etre corrigee.

                Juger une vulnérabilité, la corriger (et de suite s'il y a pas de vulnérabilité plus grave), et decide si et quand elle doitpeut être diffusée.
                Elle doit être corrigée.

                Le problème est pour les projets qui ont fréquement des failles de sécurité. Ce qui est le cas de Firefox par exemple (plus de 100 failles par an). Dans ce cas il n'y a pas une mise à jours par faille, mais une mise à jours pour un ensemble de faille. Sinon on aurait une mise à jours tous les 3 jours. Les failles sont groupées par exemple pour la dernière quinzaine. Si une faille est importante, on ne cherche pas à les grouper mais à sortir au plus vite la mise à jour avec le correctif afin d'avoir le nombre de jour de risque le plus faible possible.

                On peut trouver ce processus "normal". Mais le fais qu'on corrige des failles prouve bien qu'avoir une faille de sécurité n'est pas normal.
                • [^] # Re: Toujours le meme amas de conneries

                  Posté par . Évalué à 2.

                  Non, ce n'est pas normal, c'est explicable.
                  Peut-être que chez MS avoir des trous de sécurité est normal, mais chez les autres on ne trouve pas ça normal.


                  T'as toujours pas compris que ces vuln. ne sont pas vraiment des trous de securite, c'est pour ca qu'on ne les corrige pas. Et quand je dis on, c'est MS, c'est Mozilla, c'est Apache, ...

                  Le problème est pour les projets qui ont fréquement des failles de sécurité. Ce qui est le cas de Firefox par exemple (plus de 100 failles par an). Dans ce cas il n'y a pas une mise à jours par faille, mais une mise à jours pour un ensemble de faille. Sinon on aurait une mise à jours tous les 3 jours. Les failles sont groupées par exemple pour la dernière quinzaine. Si une faille est importante, on ne cherche pas à les grouper mais à sortir au plus vite la mise à jour avec le correctif afin d'avoir le nombre de jour de risque le plus faible possible.

                  Rien a voir _du tout_

                  Tu jettes un oeil a FireFox 2.0 : http://secunia.com/product/12434/?task=advisories

                  Tu remarqueras que certaines failles non corrigees datent de 2006. Ils ont pas attendu le prochain patch pour les corriger, ils ont deja decide qu'elles ne seraient pas corrigees car pas importantes du tout.

                  Tu vas jeter un oeil a Apache 2.0x : http://secunia.com/product/73/

                  et tu verras exactement la meme chose, il y a des vuln. de 2004, 2005 et 2006 qui n'ont pas ete corrigees, tout simplement car elles ont ete evaluees, et ne representent pas de reel danger.

                  Serieusement, c'est mon boulot, c'est leur boulot, ont fait tous cela pour une bonne raison.

                  On peut trouver ce processus "normal". Mais le fais qu'on corrige des failles prouve bien qu'avoir une faille de sécurité n'est pas normal.

                  Ca oui, mais faut faire la difference entre un rapport sur secunia.com et une vrai faille, c'est pas toujours la meme chose...
                  • [^] # Re: Toujours le meme amas de conneries

                    Posté par . Évalué à 4.

                    > Ils ont pas attendu le prochain patch pour les corriger, ils ont deja decide qu'elles ne seraient pas corrigees car pas importantes du tout.

                    Bullshit.
                    Où tu as vu cette décision ?

                    > http://secunia.com/product/12434/?task=advisories

                    (4 out of 23) are marked as Unpatched

                    Donc il n'y en a que 4...
                    Si c'était aussi "normal" que tu le dis, sachant que Mozilla a, au pif, 50 failles par ans, il n'y en aurait pas que 4. D'autant plus que FF 2 est sorti ... il y a bien longtemps, j'ai oublié.
                    Dans les 4 qui restent :
                    * http://secunia.com/advisories/27907/
                    Fin 2007, pas de bugzilla chez Mozilla (ou ce n'est pas renseigné).

                    * http://secunia.com/advisories/25481/
                    Deux rapports de bug chez mozilla (dont un corrigé), donc mozilla y travaille. Donc Mozilla n'a pas décidé de ne pas les corriger.

                    * http://secunia.com/advisories/24153/
                    Pas de bugzilla chez Mozilla (ou ce n'est pas renseigné).

                    * http://secunia.com/advisories/23046/
                    Un rapport de bug chez mozilla, le bug est corrigé. On peut voir qu'il y a eu une grosse activité pour corrigé cette faille, il n'a pas été décidé de l'ignorer.


                    Bref, il y a deux failles dont on ne sait pas s'il y a une activité ou non, ou s'ils sont ignorés ou non.
                    Je n'ai pas vu Mozilla dire "faille normale, on laisse filer".
                    Mais merci de nous apprendre que MS se torche le cul de certains faille de sécurité.

                    > http://secunia.com/product/73/

                    Je n'ai pas envi de me faire chier à examiner les détails, mais ça doit être dans le même registre que Firefox. C-à-d qu'aucune faille n'est ignorée ou considérée "normale".
                    • [^] # Re: Toujours le meme amas de conneries

                      Posté par . Évalué à 0.

                      Bullshit.
                      Où tu as vu cette décision ?


                      Oh je sais pas, dans le fait que des soi-disant vuln. on ete reporte il y a maintenant plus de 2 ans et rien n'a ete fait au hasard ?

                      Donc il n'y en a que 4...
                      Si c'était aussi "normal" que tu le dis, sachant que Mozilla a, au pif, 50 failles par ans, il n'y en aurait pas que 4. D'autant plus que FF 2 est sorti ... il y a bien longtemps, j'ai oublié.


                      Quand il y a 4 rapports qui ne sont pas des vraies failles exploitables, il est normal que ces 4 et pas plus ne soit pas corrigees. Tu as vu ou que j'ai dit que des vraies failles n'etaient pas corrigees ?
                      Au vu du contenu, un des 4 semble etre un vrai bug qui demande bcp de temps pour etre corrige, ok ca en laisse 3...

                      Je n'ai pas envi de me faire chier à examiner les détails, mais ça doit être dans le même registre que Firefox. C-à-d qu'aucune faille n'est ignorée ou considérée "normale".

                      Soit plus precis : tu n'as pas envie de te faire chier a regarder la realite en face car elle ne te plait pas.
                      • [^] # Re: Toujours le meme amas de conneries

                        Posté par . Évalué à 2.

                        > Oh je sais pas, dans le fait que des soi-disant vuln. on ete reporte il y a maintenant plus de 2 ans et rien n'a ete fait au hasard ?

                        T'arrêtes de mentir ?
                        Toutes les failles ont été traitées sauf 4
                        - une est corrigée ou du moins il y a une solution en cours de développement pour la corriger. Donc Mozilla y travaille.
                        - une autre on aussi la preuve que Mozilla y travaille.
                        - deux, on ne sait pas.

                        Donc pour toutes celle où on a des infos, Mozilla y travaille.
                        Est-ce que pour les deux où on n'a pas d'info, tu as des infos ?
                        Ben non.
                        Tu nous fais des conclusions sur des trucs où tu n'as pas d'informations...
                        C'est fort de café !

                        > il est normal que ces 4 et pas plus ne soit pas corrigees.

                        Non, il n'est pas normal. 2 de ces 4 failles ont est sûr que mozilla y travaille. les 2 autres, on ne sait rien. Mais as-tu des infos pour ces dernières ?
                        Sur un total de probablement plus de 100 failles (voire plus), Mozilla les a corrigé (ou c'est en vendor patch) ou mozilla y travaille, et il n'y a que 2 failles dont on n'a pas d'info.

                        > Soit plus precis : tu n'as pas envie de te faire chier a regarder la realite en face car elle ne te plait pas.

                        N'importe quoi, j'ai vérifié pour Firefox.
                        Et la vérité c'est que t'as 0 argument pour affirmer que Mozilla ignore des failles ou les considère "normale".

                        Ton truc c'est de pousser des conneries en espérant que les gens n'auront pas la volonté de vérifier. Manque de chance pour toi, je suis allé vérifier.

                        Arrêtes avec tes conneries, tes "je vais t'apprendre la vérité mon coco".
                        Je ne suis pas le type de cooo qui se laisse embobiner surtout s'il y a 0 arguments.
                        • [^] # Re: Toujours le meme amas de conneries

                          Posté par . Évalué à 2.

                          T'arrêtes de mentir ?
                          Toutes les failles ont été traitées sauf 4
                          - une est corrigée ou du moins il y a une solution en cours de développement pour la corriger. Donc Mozilla y travaille.
                          - une autre on aussi la preuve que Mozilla y travaille.
                          - deux, on ne sait pas.


                          Une est corrigee / en developpement oui.

                          2 on ne sait pas comme tu dis, apres plus de 2 ans, on peut deviner cependant

                          L'autre, c'est simple : https://bugzilla.mozilla.org/show_bug.cgi?id=380994

                          Comment #12 Mike Schroepfer 2008-03-31 16:19:50 PDT
                          Given this is sg:low/dos taking off the blocker list - we'd certainly take a
                          patch..


                          Bref, 6 mois apres avoir eu le rapport ils decident que c'est pas un blocker, ils s'en foutent un peu quoi...

                          Tu nous fais des conclusions sur des trucs où tu n'as pas d'informations...
                          C'est fort de café !


                          Ben je sais pas, t'interprete comment le fait de ne pas corriger une soi-disant faille apres genre 2 ans ? Moi j'interprete ca comme : on s'en fiche, c'est pas grave.

                          N'importe quoi, j'ai vérifié pour Firefox.
                          Et la vérité c'est que t'as 0 argument pour affirmer que Mozilla ignore des failles ou les considère "normale".


                          Mon cher, t'as toujours pas compris que ces "failles" n'en sont pas vraiment, c'est pour ca qu'ils s'en foutent un peu, et c'est normal. Si c'etait des vraies failles, avec un veritable risque pour l'utilisateur ca serait un scandale, mais c'est pas le cas.

                          Arrêtes avec tes conneries, tes "je vais t'apprendre la vérité mon coco".
                          Je ne suis pas le type de cooo qui se laisse embobiner surtout s'il y a 0 arguments.


                          Non, t'es plutot le genre de personne qui refuserait de croire que la terre est ronde car ta bible ne le dit pas.
                          • [^] # Re: Toujours le meme amas de conneries

                            Posté par . Évalué à 2.

                            Correction, c'est pas "plus de 2 ans", mais "plus d'un an", "plus de 2 ans" c'est pour Apache.
                          • [^] # Re: Toujours le meme amas de conneries

                            Posté par . Évalué à -3.

                            > Bref, 6 mois apres avoir eu le rapport ils decident que c'est pas un blocker, ils s'en foutent un peu quoi...

                            T'es un connard.
                            Un truc bloquant, c'est un truc qui empêche une release. Ne pas le mettre en bloquant ne veut pas dire qu'on s'en fout.

                            > t'interprete comment le fait de ne pas corriger

                            Tu (et moi aussi) n'en sait foutrement rien si mozilla travaille dessus ou non.
                            Alors fais un rapport de bug sur mozilla, et revient nous dire si la réponse de Mozilla est "on s'en torche".

                            T'es un connard, j'en ai plein le cul de ton fud.

                            PS: oui c'est mal d'insulter les gens.
                  • [^] # Re: Toujours le meme amas de conneries

                    Posté par (page perso) . Évalué à 2.


                    T'as toujours pas compris que ces vuln. ne sont pas vraiment des trous de securite, c'est pour ca qu'on ne les corrige pas. Et quand je dis on, c'est MS, c'est Mozilla, c'est Apache, ...


                    Tu pourrais nous en dire plus sur ces fausses vulnérabilités?
              • [^] # Re: Toujours le meme amas de conneries

                Posté par . Évalué à 8.

                "tu es libre d'aller expliquer a Mozilla, Apache, MS, ... que tu es meilleur juge qu'eux quand a la sévérité de ces problèmes, mon petit doigt me dit qu'ils te riront tous au nez, et c'est normal, car on(Apache, Mozilla, nous, ...) fait ce boulot depuis des années et on sait comment juger une vuln."

                Je crois que c'est le fond du problème : des "experts" jugent, c'est plus ou moins le bordel (d'ailleurs, il semble que la marque de fabrique de l'humanité soit le plan foireux), et finalement, "on" se retrouve à noyer le poisson et à user jusqu'à la corde de l'argument d'autorité pour fermer le clapet des béotiens qui osent contester quand ils ont des problèmes. Pourtant, c'est encore eux qui vivent le résultat, grandeur nature, in vivo. La preuve de la fatuité de l'argument d'autorité ? Le "on" défini comme Apache, Mozilla, nous (Microsoft), ... comme experts en la matière, ce "on" n'est pas d'accord entre eux.

                Alors ? Alors ce "on", ce n'est que le "nous" de la définition : un employé de Microsoft est exaspéré de voir ses efforts ainsi dénigrés, ça l'irrite, il regimbe et finalement tente de se retrancher derrière l'argument d'autorité "C'est notre boulot, c'est nous qui le faisons et qui savons le faire. Ne faîtes pas chier, faîtes nous confiance". Je crains que tu n'aies toujours pas plus de reconnaissance pour autant. Surtout ici à LinuxFr...

                Pour te remonter le moral, une petite citation d'un type de Microsoft que j'apprécie (et oui ! Ça existe !) qui est Jim Allchin :
                "I would buy a Mac today if I was not working at Microsoft." J'achèterais un Mac aujourd'hui si je ne bossais pas à Microsoft.
                Je suis complètement d'accord avec ce monument de clairvoyance et d'impartialité :).
                http://blog.seattlepi.nwsource.com/microsoft/archives/110354(...)

                PS : pour le débat sur la notation de commentaire, bien que j'ai beaucoup aimé ce commentaire parce que je le trouve très révélateur et concis, je l'ai moinsé parce que je pense que pBpG tient des propos incohérents. C'est difficile de délimiter les critères aboutissant à un pertinent ou à un inutile, et encore plus de savoir vers où penche la balance...
          • [^] # Re: Toujours le meme amas de conneries

            Posté par . Évalué à 3.

            L'important n'est pas le nombre de failles, mas le temps qu'il faut avant qu'elles soient corrigées.
          • [^] # Re: Toujours le meme amas de conneries

            Posté par . Évalué à 3.

            http://linuxfr.org/comments/925847,1.html
            tu as fait la même chose la

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.