Toutes les applications n'ont pas besoin d'être root sous un système Unix. Je dirais même que c'est assez rare.
Et qui plus est, ce genre d'applis seraient vite mises hors-la-loi sur un système Unix car il existe une certaine culture de la sécurité chez les utilisateurs de ce genre de système.
Quand au bug de Windows, il n'est absolument pas nécéssaire que le root intervienne, va relire l'article.
Je crois que c'est toi qui a mal compris ce problème !
On ne programme pas un système d'exploitation comme un éditeur de texte. Il existe certaines regles à suivre et cette "feature" de Windows montre exactement que la sécurité n'est certainement pas le but de ce système.
Le problème des gens de Microsoft et ce que tu n'as visiblement pas compris non plus, c'est que n'importe quel utilisateur est un programmeur potentiel. À partir de là, si le système ne peut se défendre contre des programmeurs, ce n'est certainement pas un bon OS.
Attention, je ne parle pas de programmeur+root. Je parles d'utilisateur+droits restreints.
Le vrai problème est là.
Toute la sécurité de Microsoft repose sur le fait qu'ils assument qu'a partir du moment ou tu as des connaissances en programmation, ben le système ne te résistera pas... Évidemment, ceci est totalement FAUX sous Linux. Linux a été conçu dans l'optique de résister à ses utilisateurs, qu'ils aient des connaissance en programmation ou pas !
Et cela accroit considérablement la sécurité de l'OS.
Oui, le dernier article décrit un bug de "conception" de Windows. Il permet notamment à n'importe quel utilisateur de faire ce qu'il veut sur le système (avoir les droits root, quoi). Le meilleurs, c'est que comme la fonctionalité sur laquelle est basée le bug est utilisée par la plupart des applications de Windows, il est hors de question de la modifier.
Oh, un dernier point, les OS touchés sont Win2k et WinXP. Pas de jlaoux. :-)
J'ai moi aussi ce problème. J'ai soumis un bug-report à bugzilla, mais on m'a dit que c'était à cause de ma distribution (debian testing/unstable). Depuis, je n'ai pas vraiment creusé la question... Pourtant, cela m'oblige à avoir Opera qui, lui, gère correctement les accents en copier/coller (mais qui n'est pas libre!!!!).
Au fait, ce message, et les accents qui vont avec, a été écrit avec un clavier américain. Il faut que tu configures ta multi-key, après tu peux faire plein de caractères bizarre comme å, ou encore ø, ou même ñ. ;-)
Je n'ai jamais achete aucun CD contenant des logiciels du temps ou j'etais sous windows, car a 500 balles le logiciel, non merci.
Depuis que je suis passe sous Linux, j'achete paisiblement mes logiciels (libres), vu que les CDs sont a un prix beaucoup plus correct.
Tient, en fait je n'avais jamais remarqué ça, mais maintenant que tu le dis, j'ai effectivement fait pareil.
Lorsque j'était sous Windows, j'avais Windows piraté, Office piraté, quelques jeux piratés, bref je n'ai rien acheté ou presque.
Depuis que je suis sous Linux, j'ai acheté plusieurs distributions RedHat ou Mandrake, je lis des magazines, aide les autres à utiliser Linux, etc...
C'est marrant je ne m'en était pas rendu compte avant que tu n'en parles, mais j'ai très probablement dépensé plus d'argent pour Linux que pour Windows.
Ok, la fait que la Corée autorise le spam explique beaucoup de choses. :-)
Interdire tout mail venant de Corée me semble effectivement excessif. Et dans ton cas, si tu travailles avec des coréens, il est normal que tu ai besoin rafiner ce filtre. Mais pour ce qui est du cas de monsieur tout le monde, comme je ne parle ni coréen, ni chinois, ni russe, j'ai systèmatiquement suprimés les mails qui contiennent ce genre de caractères (avec une regle sur le champs 'contents type').
Je ne sais pas trop si c'est cela peut avoir des effets pervers, mais en tout cas, je remarque que cela filtre déjà pas mal de spam.
Tous les mails sont traçables. Même si tu n'es pas sûr que l'origine est réelement l'origine, il est impossible (de part le protocole) que le serveur SMTP qui a envoyé ledit mail ne soit pas dans l'entête.
Il est donc évident que si un organisme centralise les informations sur les spams et collecte les spams en question (les headers suffisent), on pourra enfin trouver par croisements et poursuivre PÉNALEMENT les fautifs.
La solution que tu décris n'est même pas une demi-solution pour moi.
D'abord, ton filtrage serait largement amélioré par un organisme qui centralise les spams (abuse en est un, mais la CNIL propose aussi ce genre de service). Et ensuite, ne pas pouvoir exercer des pressions pénales contre les spammeurs obligerait de vivre avec les filtres et toute l'infra-structure que cela demande. Ce qui est le comble de la stupidité.
Tant qu'il n'y a pas de moyen légal contre ce genre de pratique, on est à la merci de ces gens.
Tu me diras qu'il existera toujours des pays qui ne pénaliserons pas ce genre de chose...
Et alors ? L'idée est de rendre ce genre de pratique plus difficile à mettre en oeuvre qu'elle ne l'est actuellement. Pas de faire régner une dictature où tout le mail serait filtré pour éviter le moindre spam.
Finalement, j'aimerai te signaler que ton attitude vis-à-vis des lois est très préoccupante. Si je suis bien ton raisonnement, aucune loi n'a jamais empêché quiconque de faire quoique ce soit.
C'est vrai, mais l'absence de loi en ce qui concerne le spam laisse la victime sans possibilité de se défendre. Laisser perdurer cet état de fait revient à accepter le spam comme un état de fait et laisser des sociétés commerciales bouffer des ressources matérielles (bande-passantes, machines destinées au filtrage, ...) et humaines (le personnel qui gère tout ça), juste parceque tu considères que ces 'pauvres' sociétés commerciales ont le droit de récupérer l'adresse des gens et de leur envoyer des mails concernant leurs produits.
Si tu es pret à payer tout ce gachis et à l'avaliser en te disant que cela ne sert rien, et bien paye ma part aussi. Parceque moi je ne veux pas payer pour des gens comme toi.
À l'heure actuelle le spam est un réel fléau, je reçois quasiment autant de spam que de courier m'étant légitimement addressé.
Certe, mettre en place une legislation ne permettra pas d'éradiquer complétement cette pratique, mais tout au moins permettra-t-elle de la réguler, de poursuivre les fautifs et peut-être en disuadera-t-elle certains. Et, on peut imaginer que les autorités pourraient mettre en place certaines structures spécialisées pour contrer ces mails indésirables.
Ton attitude ne fait que jouer le jeu des spammeurs, et je trouve cela révoltant !
Si tu ne veux rien faire et te laisser inonder de spam, très bien, cela te regarde. Quant à moi, je préfère soutenir les autorités et participer à un effort collectif pour réguler ces abus plutôt que de m'assoir par terre en geignant et en disant que toute cette agitation ne sert à rien.
C'ést étonnant, car moi aussi je reçois vraiment beaucoup de spam en coréen. A tel point que j'ai configuré mon filtre de façon à ce qu'il rejette les mails qui contiennent le champs "content-type" mis à: ks_c, euc_kr ou euc-kr. Et cela filtre presque les trois-quart de mes spams !!!
Je me demandais aussi quelles sont les diplômes dont se targent les Webmestres français pour entrer dans le monde des 'professionnels du Web' ? Et que contient les formations qu'ils suivent ?
Je me demandais aussi comment une formation de Webmestre pourrait-elle ne pas mentionner les standards du W3C et ne pas rappeller que plus on colle à ces standards, plus nombreux seront les gens qui pourront accéder à votre site dans des conditions idéales (j'ai en tête l'exemple de ma banque chez qui j'ai souscrit à une possibilité de gérer mon compte via Internet et qui plantait completement parcequ'ils utilisaient des fonctions spécifiques à IE. J'ai résilié mon abonnement Internet, mais je desespère de voir que leur 'sécurité' repose sur des logiciels comme IE...).
Posté par Alan_T .
En réponse à la dépêche MicroBSD.
Évalué à 0.
Il y aurait bien une technique qui permettrai d'éviter les buffer overflow (du moins en partie, pas tous) même lorsque le langage a des pionteurs. C'est par l'analyse statique et l'interpretation abstraite (on combine les deux méthodes).
Mais, ça il ne faut pas compter trouver des gens ici qui aient une quelconque connaissance dans ce domaine (n'est-il pas ?). :-)
New technologies, such as the I/O Kit and Network Kernel Extensions (NKEs), have been designed and engineered by Apple to take advantage of advanced capabilities, such as those provided by an object-oriented programming model. Mac OS X combines these new technologies with time-tested industry standards to create an operating system that is stable, reliable, flexible, and extensible.
C'est sur, ils ne vont pas crier sur les toits qu'ils ont refait l'interface réseau de BSD. Mais si tu regardes encore plus en détails, c'est vraiment moche qu'ils aient refait cette partie.
Mais bon, c'est Apple, à quoi on pouvait s'attendre ?
Ca doit pas étre super efficasse vue qu'il suffit que la machine connecté, qui justemant doit étre le firewall/gateaway modifie le TTL pour relayer les paquets sur le reseau NATé, a moin que je n'ais pas bien compris la demarche.
Non, tu as tout à fait compris, mais ce genre "d'astuce" permettais de limiter déjà pas mal de monde (cela excluais visiblement tous les réseaux personnels trop gros). Et puis, il faut aussi penser à repositionner le TTL en sortie du réseau, sinon l'ISP se doute de quelque chose.
> "Cacher le réseau" peut se faire sans NAT. Suffit d'interdire les connexion entrantes avec un firewall et on a le meme résultat.
Pas tout à fait, car dans le cas de protocole à double connections TCP tu es coincé (comme le FTP par exemple, il me semble que la connection de donnée est faite du serveur vers le client).
Ou alors, on configure un stateful firewall, mais là on risque le DOS sur le firewall si on le configure mal (comme pour l'implémentation actuelle de Netfilter).
Sinon, je suis tout à fait d'accord avec toi sur les ISP, mais il semble que certains ISP américains ont ce genre de politique. :-(
[^] # Re: A propos... [Troll]
Posté par Alan_T . En réponse à la dépêche Plus de sécurité informatique avec Linux ?. Évalué à -8.
Excuse-moi, je n'avais pas vu le gros Troll qui se cachait derrière toi.
Bye.
-1 -> parceque bon.
[^] # Re: A propos...
Posté par Alan_T . En réponse à la dépêche Plus de sécurité informatique avec Linux ?. Évalué à -8.
Toutes les applications n'ont pas besoin d'être root sous un système Unix. Je dirais même que c'est assez rare.
Et qui plus est, ce genre d'applis seraient vite mises hors-la-loi sur un système Unix car il existe une certaine culture de la sécurité chez les utilisateurs de ce genre de système.
Quand au bug de Windows, il n'est absolument pas nécéssaire que le root intervienne, va relire l'article.
[^] # Re: A propos...
Posté par Alan_T . En réponse à la dépêche Plus de sécurité informatique avec Linux ?. Évalué à 10.
On ne programme pas un système d'exploitation comme un éditeur de texte. Il existe certaines regles à suivre et cette "feature" de Windows montre exactement que la sécurité n'est certainement pas le but de ce système.
Le problème des gens de Microsoft et ce que tu n'as visiblement pas compris non plus, c'est que n'importe quel utilisateur est un programmeur potentiel. À partir de là, si le système ne peut se défendre contre des programmeurs, ce n'est certainement pas un bon OS.
Attention, je ne parle pas de programmeur+root. Je parles d'utilisateur+droits restreints.
Le vrai problème est là.
Toute la sécurité de Microsoft repose sur le fait qu'ils assument qu'a partir du moment ou tu as des connaissances en programmation, ben le système ne te résistera pas... Évidemment, ceci est totalement FAUX sous Linux. Linux a été conçu dans l'optique de résister à ses utilisateurs, qu'ils aient des connaissance en programmation ou pas !
Et cela accroit considérablement la sécurité de l'OS.
Si, si.
[^] # Re: A propos...
Posté par Alan_T . En réponse à la dépêche Plus de sécurité informatique avec Linux ?. Évalué à 10.
You have to understand what the primary objective of an OS is:
To create a virtual environment that is simple and sane to program
against....
Have you learned nothing at all from DOS and Windows?
-- Linus Torvalds
# A propos...
Posté par Alan_T . En réponse à la dépêche Plus de sécurité informatique avec Linux ?. Évalué à 10.
MS Exec: 'Our products just aren't engineered for security' :
http://slashdot.org/article.pl?sid=02/09/06/1252211&mode=thread(...)
Et le plus beau pour la fin:
http://www.computerworld.com/securitytopics/security/holes/story/0,(...)
Ainsi que:
http://slashdot.org/article.pl?sid=02/08/06/1828256&mode=thread(...)
Oui, le dernier article décrit un bug de "conception" de Windows. Il permet notamment à n'importe quel utilisateur de faire ce qu'il veut sur le système (avoir les droits root, quoi). Le meilleurs, c'est que comme la fonctionalité sur laquelle est basée le bug est utilisée par la plupart des applications de Windows, il est hors de question de la modifier.
Oh, un dernier point, les OS touchés sont Win2k et WinXP. Pas de jlaoux. :-)
[^] # Re: Et les accents ?
Posté par Alan_T . En réponse à la dépêche Deux nouveaux Mozilla. Évalué à 3.
Au fait, ce message, et les accents qui vont avec, a été écrit avec un clavier américain. Il faut que tu configures ta multi-key, après tu peux faire plein de caractères bizarre comme å, ou encore ø, ou même ñ. ;-)
[^] # Re: Baisse de 7% des ventes
Posté par Alan_T . En réponse à la dépêche La RIAA contre-attaque. Évalué à 7.
Depuis que je suis passe sous Linux, j'achete paisiblement mes logiciels (libres), vu que les CDs sont a un prix beaucoup plus correct.
Tient, en fait je n'avais jamais remarqué ça, mais maintenant que tu le dis, j'ai effectivement fait pareil.
Lorsque j'était sous Windows, j'avais Windows piraté, Office piraté, quelques jeux piratés, bref je n'ai rien acheté ou presque.
Depuis que je suis sous Linux, j'ai acheté plusieurs distributions RedHat ou Mandrake, je lis des magazines, aide les autres à utiliser Linux, etc...
C'est marrant je ne m'en était pas rendu compte avant que tu n'en parles, mais j'ai très probablement dépensé plus d'argent pour Linux que pour Windows.
:-)
[^] # Re: CNIL
Posté par Alan_T . En réponse à la dépêche La RIAA contre-attaque. Évalué à -2.
[^] # Re: Utiliser OGG/VORBIS
Posté par Alan_T . En réponse à la dépêche La RIAA contre-attaque. Évalué à 3.
[^] # Re: Utiliser OGG/VORBIS
Posté par Alan_T . En réponse à la dépêche La RIAA contre-attaque. Évalué à 10.
Introduire ces 'mouchards' est-il tout à fait légal du point de vue de la CNIL ?
[^] # Re: Spam en coréen..
Posté par Alan_T . En réponse à la dépêche Le Spam hors la loi en Europe. Évalué à 3.
Interdire tout mail venant de Corée me semble effectivement excessif. Et dans ton cas, si tu travailles avec des coréens, il est normal que tu ai besoin rafiner ce filtre. Mais pour ce qui est du cas de monsieur tout le monde, comme je ne parle ni coréen, ni chinois, ni russe, j'ai systèmatiquement suprimés les mails qui contiennent ce genre de caractères (avec une regle sur le champs 'contents type').
Je ne sais pas trop si c'est cela peut avoir des effets pervers, mais en tout cas, je remarque que cela filtre déjà pas mal de spam.
[^] # Re: Mouarff.
Posté par Alan_T . En réponse à la dépêche Le Spam hors la loi en Europe. Évalué à 7.
Il est donc évident que si un organisme centralise les informations sur les spams et collecte les spams en question (les headers suffisent), on pourra enfin trouver par croisements et poursuivre PÉNALEMENT les fautifs.
La solution que tu décris n'est même pas une demi-solution pour moi.
D'abord, ton filtrage serait largement amélioré par un organisme qui centralise les spams (abuse en est un, mais la CNIL propose aussi ce genre de service). Et ensuite, ne pas pouvoir exercer des pressions pénales contre les spammeurs obligerait de vivre avec les filtres et toute l'infra-structure que cela demande. Ce qui est le comble de la stupidité.
Tant qu'il n'y a pas de moyen légal contre ce genre de pratique, on est à la merci de ces gens.
Tu me diras qu'il existera toujours des pays qui ne pénaliserons pas ce genre de chose...
Et alors ? L'idée est de rendre ce genre de pratique plus difficile à mettre en oeuvre qu'elle ne l'est actuellement. Pas de faire régner une dictature où tout le mail serait filtré pour éviter le moindre spam.
Finalement, j'aimerai te signaler que ton attitude vis-à-vis des lois est très préoccupante. Si je suis bien ton raisonnement, aucune loi n'a jamais empêché quiconque de faire quoique ce soit.
C'est vrai, mais l'absence de loi en ce qui concerne le spam laisse la victime sans possibilité de se défendre. Laisser perdurer cet état de fait revient à accepter le spam comme un état de fait et laisser des sociétés commerciales bouffer des ressources matérielles (bande-passantes, machines destinées au filtrage, ...) et humaines (le personnel qui gère tout ça), juste parceque tu considères que ces 'pauvres' sociétés commerciales ont le droit de récupérer l'adresse des gens et de leur envoyer des mails concernant leurs produits.
Si tu es pret à payer tout ce gachis et à l'avaliser en te disant que cela ne sert rien, et bien paye ma part aussi. Parceque moi je ne veux pas payer pour des gens comme toi.
[^] # Re: Mouarff.
Posté par Alan_T . En réponse à la dépêche Le Spam hors la loi en Europe. Évalué à 7.
Certe, mettre en place une legislation ne permettra pas d'éradiquer complétement cette pratique, mais tout au moins permettra-t-elle de la réguler, de poursuivre les fautifs et peut-être en disuadera-t-elle certains. Et, on peut imaginer que les autorités pourraient mettre en place certaines structures spécialisées pour contrer ces mails indésirables.
Ton attitude ne fait que jouer le jeu des spammeurs, et je trouve cela révoltant !
Si tu ne veux rien faire et te laisser inonder de spam, très bien, cela te regarde. Quant à moi, je préfère soutenir les autorités et participer à un effort collectif pour réguler ces abus plutôt que de m'assoir par terre en geignant et en disant que toute cette agitation ne sert à rien.
[^] # Re: rendre millionaires, de faire gonfle les seins...
Posté par Alan_T . En réponse à la dépêche Le Spam hors la loi en Europe. Évalué à -1.
À la place, j'ai mis faire gonfler les seins, c'est à peu près l'équivalent. ;-)
Hop -> -1
[^] # Re: Spam en coréen..
Posté par Alan_T . En réponse à la dépêche Le Spam hors la loi en Europe. Évalué à 10.
[^] # Re: Buffer overflows ...
Posté par Alan_T . En réponse à la dépêche MicroBSD. Évalué à -3.
[^] # Re: Payés...
Posté par Alan_T . En réponse à la dépêche Rendez vos pages Web W3C-compliant.. Évalué à 10.
Je me demandais aussi quelles sont les diplômes dont se targent les Webmestres français pour entrer dans le monde des 'professionnels du Web' ? Et que contient les formations qu'ils suivent ?
Je me demandais aussi comment une formation de Webmestre pourrait-elle ne pas mentionner les standards du W3C et ne pas rappeller que plus on colle à ces standards, plus nombreux seront les gens qui pourront accéder à votre site dans des conditions idéales (j'ai en tête l'exemple de ma banque chez qui j'ai souscrit à une possibilité de gérer mon compte via Internet et qui plantait completement parcequ'ils utilisaient des fonctions spécifiques à IE. J'ai résilié mon abonnement Internet, mais je desespère de voir que leur 'sécurité' repose sur des logiciels comme IE...).
[^] # Re: PKI ???
Posté par Alan_T . En réponse à la dépêche Solution PKI complète Française. Évalué à 8.
Est-ce que quelqu'un peut l'expliquer avec des mots simples ? :-)
Merci
[^] # Re: Buffer overflows ...
Posté par Alan_T . En réponse à la dépêche MicroBSD. Évalué à 0.
Mais, ça il ne faut pas compter trouver des gens ici qui aient une quelconque connaissance dans ce domaine (n'est-il pas ?). :-)
--
Alan_T - Cousot Ru13z aussi
# On a battu Slashdot!
Posté par Alan_T . En réponse à la dépêche MicroBSD. Évalué à -1.
;-)
-1 parceque, bon.
[^] # Re: il est ou mon Imac ?
Posté par Alan_T . En réponse à la dépêche Comment mettre Linux sur le desktop. Évalué à 0.
Alors comment tu expliques ça:
New technologies, such as the I/O Kit and Network Kernel Extensions (NKEs), have been designed and engineered by Apple to take advantage of advanced capabilities, such as those provided by an object-oriented programming model. Mac OS X combines these new technologies with time-tested industry standards to create an operating system that is stable, reliable, flexible, and extensible.
Vu sur:
http://developer.apple.com/techpubs/macosx/Darwin/General/KernelPro(...)
C'est sur, ils ne vont pas crier sur les toits qu'ils ont refait l'interface réseau de BSD. Mais si tu regardes encore plus en détails, c'est vraiment moche qu'ils aient refait cette partie.
Mais bon, c'est Apple, à quoi on pouvait s'attendre ?
[^] # Re: il est ou mon Imac ?
Posté par Alan_T . En réponse à la dépêche Comment mettre Linux sur le desktop. Évalué à 0.
[^] # Re: Grsecurity
Posté par Alan_T . En réponse à la dépêche MicroBSD. Évalué à -3.
Voir sur: http://www.grsecurity.org/papers.php(...)
-1 parceque, c'est vraiment pas un critère.
[^] # Re: Domotique et IP-Fixes
Posté par Alan_T . En réponse à la dépêche Performances IPv4 vs IPv6 pour le 2.4.17. Évalué à 4.
Non, tu as tout à fait compris, mais ce genre "d'astuce" permettais de limiter déjà pas mal de monde (cela excluais visiblement tous les réseaux personnels trop gros). Et puis, il faut aussi penser à repositionner le TTL en sortie du réseau, sinon l'ISP se doute de quelque chose.
[^] # Re: Domotique et IP-Fixes
Posté par Alan_T . En réponse à la dépêche Performances IPv4 vs IPv6 pour le 2.4.17. Évalué à 8.
Pas tout à fait, car dans le cas de protocole à double connections TCP tu es coincé (comme le FTP par exemple, il me semble que la connection de donnée est faite du serveur vers le client).
Ou alors, on configure un stateful firewall, mais là on risque le DOS sur le firewall si on le configure mal (comme pour l'implémentation actuelle de Netfilter).
Sinon, je suis tout à fait d'accord avec toi sur les ISP, mais il semble que certains ISP américains ont ce genre de politique. :-(
En tout cas merci pour les précisions.