alors, tout d'abord mes excuses pour le ton limite violent.
me suis vénère ce matin suite au post initial complètement HS & plein de mauvaise fois sur les méchants indus véreux maqués avec les grands pontes, la débilité d'un système dans lequel j'ai mis bcp de neurones, etc,etc donc désolé, me suis vengé bétement. Là ça va mieux après un bon acharnement sur mon rameur :o)
vais essayer d'être assez clair sans trop m'épancher non plus et après fini.
donc :
* oui, les fichiers de type container (zip, office, etc) nécessitant une analyse dites récursives ont un seuil autorisé de récursion. Ce seuil a besoin d'être assez élevé en partie justement à cause des documents office (.doc -> ole -> excel -> ole -> ....) d'où la nécessité d'introduire également une limite sur le temps d'analyse et sur l'espace mémoire occupé par la version décompressé (afin d'éviter le zip de 1ko décompressé en 4 Go). si tu es tombé sur un serveur de l'armée qui s'est vautré avec ce genre de pb, shame on them...
* les odt, xml, etc sont pour l'instant bêtement bloqués car il existe une possibilité (non théorique) de détourner ce format dans un but offensif via, je crois, l'utilisation de xslt, etc. Ce que l'on ne peut se permettre dans un contexte sensible qui est celui de la plate forme de messagerie si méchante envers les gentils geeks. Le but de la passerelle n'est pas que transférer des mails et faire râler les linuxiens mais il est également d'assurer le niveau maximal de sécurité sans passer par un sas de transfert manuel (un antivirus humain en quelque sorte ... ;o) )
* le problème des macros n'en est plus trop un dans le cas de office via certains éditeurs d'av mais l'est, et de façon encore plus dangeureuse que ms office (pas de sandox) dans le cas de openoffice. Même cause, même conséquence -> on peut pas se le permettre.
* le problème est que développer un plugin de suppression de macros pour ce format coute très cher et nécessite des grosses compétences dans des domaines particuliers. dans la mesure du possible on évite les scripts perl one shot qui marchent que sur 3 fichiers de test et basta. Derrière y'a 20k users qui risquent de pas être content et de taner la chaîne de support.
J'ose même pas imaginer le coût d'un plugin d'analyse du format xml...
* De plus, l'organisme protégé par cette fameuse passerelle a homologué un format bureautique et ce format, c'est office 97 ! ben ouais, c'est con à dire mais l'état c'est pas crésus et l'argent investi dans les licenses et la formation ne peut être ignoré. Bien sur, au gré des projets, cd piratés refilés par le beau frère, etc y'a du 2k et du 2k3 qui se promènent et on fait pas les batards non plus quand un problème remonte concernant un fichier office 2003. Mais bon, c'est pas mère thérésa land non plus. Donc si le client veut le support xml & macro openoffice de façon + intelligente que le blocage actuel, ben il paye ou le fait lui même.
* concernant le débat que j'ai relancé bien malgré moi, cf ci dessus. Les utilisateurs sont sensés avoir office et leurs correspondants aussi. Ce format est reconnu comme format d'échange donc on a fait le max pour permettre ça sans diminuer le niveau de sécurité. Lorsque le format opendocument sera soit très répandu soit déclaré comme norme de communication standard, le boulot sera fait.
Il faut comprendre que les formats bloqués sont les formats "dangeureux" et uniquement lorsque l'on ne peut pas les nettoyer avec confiance.
dans 99% des cas, les documents office + pdf + image, etc ça suffit à ces utilisateurs. C'est une messagerie pro après tout. Alors bien sur la dernière blague au format exec qui affiche une nana avec les seins qui bougent sur le bureau ou le super activex à la mode qui fait des wizz dans IE passent pas mais bon, perso ça me pose pas de cas de conscience :p
en espérant avoir éclairci les interrogations et répondu aux questions.
bon,
je n'ai pas envie d'ergoter pendant des heures donc je vais faire en sorte de mettre à fin à la discussion.
je ne cherche pas à bloquer des fichiers pour le plaisir de bloquer des fichiers,
je cherche à protéger les utilisateurs.
les 2 1ers points que tu cites nécessitent de la part du destinataire une action supplémentaire d'extraction du fichier, outils qui ne sont pas installés normalement sur les postes des utilisateurs et qui n'ont pas les droits pour le faire. Si le destinataire a installé l'outil pour extraire ces formats, il est déjà en violation de la politique SSI donc à lui d'assumer.
avant que tu ne rétorques "ouais mais si ça extrait le fichier infecté via l'exploitation d'une faille en utilisant un shellcode dans le mime type ou si un script est livré avec, tu te fais avoir, t'es vraiment trop nul, haha", je précise que tout ce qui s'apparente à du binaire (et assimilé via encodage en unicode ou autre) et tout ce ressemble de près ou de loin à un script est systématiquement bloqué.
le dernier point est un faux problème depuis un paquet d'années pour les applications d'analyse de contenus un tant soit peu sérieuse... excuse moi de dire cela assez brutalement mais le fait que tu cites cet exemple comme un problème potentiel donne, imho, une idée sur ton niveau de compètence concernant le sujet de la discussion.
avec ma dernière phrase, j'ai l'attaque personnelle, il me reste à rajouter que oui, c'est une politique de sécurité de nazi. Comme ça, j'ai aussi le godwin, ce qui va permettre de mettre fin à la discussion.
quand à la raison valable, comme tu as l'air d'être du genre super l33t en sécurité, je te laisse la deviner.
Les produits utilisés savent détecter un zip renommé et l'ouvrir, analyser le contenu, etc etc mais le problème n'est pas là. Le problème vient de l'utilisation du format XML et des macros openoffice *POUR L'INSTANT*.
Donc ne pas savoir ouvrir un zip ou bloquer du texte n'a rien à voir là dedans. En plus, je vais te faire une révélation : une page html envoyée par mail et contenant un script offensif encodé en unicode est ... du texte !!! damned !
De plus, supprimer (surement pas à l'arrache) tout ce qui n'est pas du texte, c'est antiproductif. Le but est d'avoir le meilleure compromis entre les fonctionnalités et la sécurité, pas de forcer les gens à utiliser mutt & vi pour leurs correspondances.
utilisation de plusieurs niveau de compression <- pris en charge
changement du nom en nom d'image <- on se base pas sur l'extension pour reconnaitre un format ....
utilisation de messagerie personnel sur webmail <- pas mon problème, c'est celui d'un autre indus
utilisation de transfert ftp <- pas mon problème, c'est celui d'un autre indus
faut comprendre un truc : cette messagerie (celle qui bloque les xml et provoque les ralements du monsieur au dessus) est placée en interconnexion d'un réseau *sensible* utilisé par beaucoup de non geeks donc ok, on peut raler sur le blocage de xml mais c'était une mauvaise idée de le faire sur *ce cas précis*. donc il n'y a pas de contournement à 2 francs comme on peut le faire sur un av personnel de base ni de pseudo mesure de sécurité et OpenDocument est bloqué pour une raison valable *DANS CE CAS* (j'espère avoir été assez clair).
merci de ne pas généraliser le cas général avec un cas particulier bien précis, ça évitera les réflexions à 2cts. sur les méchants industriels maqués avec MS, les vendeurs d'AV verreux, etc.
je me permets de réagir à ton message. Si l'on parle bien de la même passerelle de messagerie, et j'en connais pas 25 dans les différents ministères qui bloquent le XML et analysent les fichiers office pour en retirer le code offensif, je tiens à préciser quelques points en tant que responsable technique de cette passerelle de messagerie.
* Ce n'est pas la méchante société privée qui a pris le parti de bloquer les documents XML. Nous ne faisons qu'appliquer les consignes que nous donnent ce fameux organisme de sécurité de l'état. Oui, c'est débile de bloquer XML pour le commun des mortels mais non ça ne l'est pas dans le contexte sensible de cette passerelle, chose que tu n'as pas précisé.
* Pour ton info, les pressions pour supporter les formats opendocument ont déjà commencé en vu de l'extension du périmètre de cette politique et, tiens toi bien, le méchant industriel fait parti de ceux qui poussent à l'ouverture de ce format ! la pression est actuellement sur ce fameux organisme de sécurité pour que ce dernier :
- justifie pleinement les blocages demandés mais ça c'est pas dur, cf conf de filiol au sstic cette année
- se débrouille pour imaginer une solution de détection
- en dernier recours, après analyse du risque, accepte de laisser passer ces formats
* effectivement les produits utilisés pour nettoyer les documents bureautiques marchent uniquement avec les documents MS office pour l'instant. Désolé mais c'est dans la logique du marché pour l'instant. si le ROI pour le support de format devient intéressant, la situation changera, en attendant on bloque.
* Oui, les gendarmes ralent et ce n'est pas les seuls. mes collègues qui travaillent pour eux le font avec openoffice et ralent aussi. Mais c'est comme ça.
en espèrant avoir dissipé quelques malentendus.
bonne journée
> Quelqu'un pour éclairer ma lanterne de non-lecteur de joystick ?
En fait, faut comprendre "ancien lecteur de joystick".
Grosso modo, y'a un paquet d'années, joystick, c'était plus qu'un magazine de jeu vidéo qui raisonnait chiffre d'affaire & rentabilité, c'était un esprit qui traversait l'ensemble des parutions. C'était l'époque de tilt et gén4. L'amiga était encore "DA beast" pour jouer mais le PC commençait à s'imposer avec ces epic, etc. Et en ce temps là, joystick était une comète dans le paysage éditorial français des jeux vidéos. Et Seb était un des piliers de ce phénomène. Voila, pas grand chose à dire de plus. C'est difficile à expliquer comme ça avec des mots tout bête mais la phrase du thread ci dessus statuant que c'est une partie de l'adolescence qui s'en va est tellement vraie...
lo,
dans le hall of fame geekien, faudrait p-e changer le format des adresses mails ?
Vu que l'accès est anonyme et public, ça pourrait faire une méchante récolte pour des spammeurs.
> Il y a une bonne partie du code, dont une partie du kernel.
oui, tout à fait. Mais pas tout. Si j'ai un bout de code B qui utilise les fonctions d'une API A. Si je n'ai pas le code de A, c'est difficile de faire une étude exhaustive de B puisque par exemple, un problème de boundaries dans A peut avoir des conséquences dans B, etc. Donc pour pallier à ca, ben j'ai pas beaucoup d'autres choix que de tenter un désasm de la dll qui fournit A ou éventuellement faire un peu de fuzzing en prenant des cas potentiellement fournissable à A par B. Désolé, c'est pas clair. Mais enfin tout ça pour dire que ça aide pas d'avoir que des bouts. Mais je t'accorde que la très probable analyse de tout ces bouts par des tas de gens n'a pas donné grand chose.
> Va expliquer ca a Mozilla, ils font la meme chose.
One point. Remarque, les changelogs et diffs sont publiques :p (j'ai pas dit lisible)
> Compte le nombre de failles, pas l'impact. Regardes le nombre de failles jugees critiques sur WS03, le nombre est tres faible.
OK. Mais une faille critique ça reste une faille critique. Un système sous contrainte forte, il suffit d'une faille pour qu'il soit par terre. :/ Puis, je trouve que s'intéresser au nombre de faille, ça fait un peu comme les admins qui utilisent le top 10 du SANS institute pour dire qu'ils sont protégés. "Je suis immunisé contre les 10 failles les plus courantes". Too bad quand la 11ème lui tombe sur le coin de la tronche ;) En fait peu importe le nombre de failles, ou leur criticité. Il suffit parfois juste d'une faille ou d'une sucsession de petite faille pour compromettre un système particulier. L'impact des derniers vers découlent effectivement dans ce cas plus d'un grand nombre de machines sous win (et d'admin formé chez kinder) et pas du grand nombre de failles. Donc ok, le nombre de faille a effectivement diminué mais il existe toujours une menace majeure du à l'énorme majorité de win et au fait qu'il suffit donc d'une faille.
> Il y a une protection anti-stack overflow dans win2k3 ? Ah bon, je suis pas au courant. Dans visual studio, et ils disent qu'elle est pas parfaite, mais pas dans Win2k3
LE flag /GS introduit dans le dernier visual studio a été utilisé pour compiler certaines parties de win2k3. Comme IIS 6 et pas mal de dll.
IIS dont certains bouts ont été exportés en kernel land alors que dans la même période khttp était marqué deprecated dans le noyau 2.6 :ppp
> Ca fait des mois que le code de Windows est dans la nature, a part le bug d'IE qui avait d'ailleurs deja ete corrige, personne n'a rien trouve
Le code source n'est pas complet. Il ne touche pas de composants critiques de l'OS. C'est MS lui même qui le disait à l'époque.
La faille corrigée sans rien dire à personne, c'est peut être pas la meilleure référence à sortir dans le cadre d'une discussion sur closed vs open. Du secure computing en patchant à la va vite, sans rien dire à personne, histoire de pas trop se faire charrier...
Vais en rajouter un peu tiens :
Pour un code source qui est sensé avoir été revu, par des dév ayant eu des formations sécu et tout, comme le disait les annonces bien marketing de l'époque. Le résultat est pas terrible quand on regarde les derniers mois. Blaster, sasser, etc.
Les OS sécurisés à grand renfort d'annonce alors que la protection anti stack overflow de win2k3 se contourne en 30 sec, ça fait quand même bien rire :) un brave pop,pop,ret et hop, fini la protection. Et ho, ironie suprème, cette séquence d'opcodes qui va bien, on la trouve, entre autre, dans l'exception handler associé à la détection d'une modification du "canari" .
Donc bon, pas de quoi se moquer de cisco ou tenter de faire une quelconque morale :p
Pour utilisation avec UML. Tu obtiens un truc qui relégue chroot et jail aux oubliettes. Certains vont même jusqu'à louer des linux virtuels. Ca a toujours plus d'attrait qu'un vhost sur un apache ou qu'un shell avec 2 pauvres process autorisés :)
tip : l'utilisation du mode COW (copy on write) permet d'utiliser plusieurs instances d'uml avec une base commune constituée par un fs virtuel. Chaque modification est enregistrée dans un fichier séparé propre à chaque instance et sans avoir à utiliser d'api particulière ou quoi que se soit : c'est fait au niveau du noyau.
Un point parmi d'autres (cité dans le document devfs vs udev) est qu'il est gavé de race conditions insolubles et de deadlocks.
De plus, l'API de devfs est non adaptée. Certaines fonctions sont inutilisées, les structures sont lourdingues, etc.
Puis bon, faut avouer que devfs a pas particulièrement réussi sa percée donc il n'a peut être jamais reçu le soin nécessaire à sa réalisation. Lors du développement 2.3, il était nécessaire d'avoir une allocation dynamique des entrées dans /dev, quelqu'un a proposé devfs, il a été pris. Donc rien de très réfléchi, etc.
udev, au contraire, a essayé dès le début d'être clean, léger et orienté userland (/sbin/hotplug est utilisé par udev).
Udev réussira t'il là où devfs a échoué ? wait & see.
Un point parmi d'autres (cité dans le document devfs vs udev) est qu'il est gavé de race conditions insolubles et de deadlocks.
De plus, l'API de devfs est non adaptée. Certaines fonctions sont inutilisées, les structures sont lourdingues, etc.
Puis bon, faut avouer que devfs a pas particulièrement réussi sa percée donc il n'a peut être jamais reçu le soin nécessaire à sa réalisation. Lors du développement 2.3, il était nécessaire d'avoir une allocation dynamique des entrées dans /dev, quelqu'un a proposé devfs, il a été pris. Donc rien de très réfléchi, etc.
udev, au contraire, a essayé dès le début d'être clean, léger et orienté userland (/sbin/hotplug est utilisé par udev).
Udev réussira t'il là où devfs a échoué ? wait & see.
le LG GSA-4040B marche sans pb sous linux (testé en 2.4 avec ide-scsi et en 2.6 sans ide-scsi). Il supporte sans pb le 4x (environ 3,96x en moyenne d'après k3b), fonctionne avec les -R/+R, -RW/+RW et dvd-ram. Il n'est pas très cher en version OEM. Et si ça t'intéresse, un firmware RPC1 est dispo (cf google).
Cette formule "e^(i*pi)+1=0" a été élue plus belle formule mathématique par un grand magazine US il y a quelques années. C'est vrai qu'elle est belle et qu'elle contient un ensemble impressionant de valeurs fondamentales de la mathématique.
Je sais pas vous, mais je trouve que y'a des formules comme ça qui expriment un sens artistique assez poussé. Un peu comme "sum(n=1, +infinite, 1/n²)= pi²/6". Celle là aussi est belle, et elle se comprend dans toutes les langues, toutes les religions, etc. Bref, c'est beau, c'est universel. Profitons de la beauté de tout cela avant qu'une société quelconque ne se disent que se serait une bonne idée de breveter tout ça.
Si je te file le worm sous une forme exécutable, l'exécutable qu'il downloade, et ce qu'il faut, tu veux bien le lancer sur le réseau interne de ta société, histoire qu'on rigole un peu :p
Bon plus sérieusement, à propos de ce vers, les personnes qui subissent ses effets ne peuvent s'en prendre qu'à eux mêmes. Le patch et l'advisory existe depuis un moment. Le DCOM, faut en avoir besoin. Donc il a pas besoin d'être activé. Mauvais point pour MS qui comme d'hab a refourgué un truc avec 12000 services par défaut pour des questions de facilités. Donc ceux qui découvrent l'existence de la faille seulement maintenant, z'ont plus qu'à apprendre à se servir de cette icone bizarre qui pointe sur windows update. Et ils ont intérêt à se dépécher, parce que à partir du 16 août, le vers libère sa charge offensive et DDos www.windowsupdate.com pour au moins jusqu'à la fin de l'année :)
[^] # Re: L'ADAE préconise déjà d'utiliser des LLs mais...
Posté par AlphA . En réponse à la dépêche Important appel d'offres du ministère de l'intérieur. Évalué à 3.
me suis vénère ce matin suite au post initial complètement HS & plein de mauvaise fois sur les méchants indus véreux maqués avec les grands pontes, la débilité d'un système dans lequel j'ai mis bcp de neurones, etc,etc donc désolé, me suis vengé bétement. Là ça va mieux après un bon acharnement sur mon rameur :o)
vais essayer d'être assez clair sans trop m'épancher non plus et après fini.
donc :
* oui, les fichiers de type container (zip, office, etc) nécessitant une analyse dites récursives ont un seuil autorisé de récursion. Ce seuil a besoin d'être assez élevé en partie justement à cause des documents office (.doc -> ole -> excel -> ole -> ....) d'où la nécessité d'introduire également une limite sur le temps d'analyse et sur l'espace mémoire occupé par la version décompressé (afin d'éviter le zip de 1ko décompressé en 4 Go). si tu es tombé sur un serveur de l'armée qui s'est vautré avec ce genre de pb, shame on them...
* les odt, xml, etc sont pour l'instant bêtement bloqués car il existe une possibilité (non théorique) de détourner ce format dans un but offensif via, je crois, l'utilisation de xslt, etc. Ce que l'on ne peut se permettre dans un contexte sensible qui est celui de la plate forme de messagerie si méchante envers les gentils geeks. Le but de la passerelle n'est pas que transférer des mails et faire râler les linuxiens mais il est également d'assurer le niveau maximal de sécurité sans passer par un sas de transfert manuel (un antivirus humain en quelque sorte ... ;o) )
* le problème des macros n'en est plus trop un dans le cas de office via certains éditeurs d'av mais l'est, et de façon encore plus dangeureuse que ms office (pas de sandox) dans le cas de openoffice. Même cause, même conséquence -> on peut pas se le permettre.
* le problème est que développer un plugin de suppression de macros pour ce format coute très cher et nécessite des grosses compétences dans des domaines particuliers. dans la mesure du possible on évite les scripts perl one shot qui marchent que sur 3 fichiers de test et basta. Derrière y'a 20k users qui risquent de pas être content et de taner la chaîne de support.
J'ose même pas imaginer le coût d'un plugin d'analyse du format xml...
* De plus, l'organisme protégé par cette fameuse passerelle a homologué un format bureautique et ce format, c'est office 97 ! ben ouais, c'est con à dire mais l'état c'est pas crésus et l'argent investi dans les licenses et la formation ne peut être ignoré. Bien sur, au gré des projets, cd piratés refilés par le beau frère, etc y'a du 2k et du 2k3 qui se promènent et on fait pas les batards non plus quand un problème remonte concernant un fichier office 2003. Mais bon, c'est pas mère thérésa land non plus. Donc si le client veut le support xml & macro openoffice de façon + intelligente que le blocage actuel, ben il paye ou le fait lui même.
* concernant le débat que j'ai relancé bien malgré moi, cf ci dessus. Les utilisateurs sont sensés avoir office et leurs correspondants aussi. Ce format est reconnu comme format d'échange donc on a fait le max pour permettre ça sans diminuer le niveau de sécurité. Lorsque le format opendocument sera soit très répandu soit déclaré comme norme de communication standard, le boulot sera fait.
Il faut comprendre que les formats bloqués sont les formats "dangeureux" et uniquement lorsque l'on ne peut pas les nettoyer avec confiance.
dans 99% des cas, les documents office + pdf + image, etc ça suffit à ces utilisateurs. C'est une messagerie pro après tout. Alors bien sur la dernière blague au format exec qui affiche une nana avec les seins qui bougent sur le bureau ou le super activex à la mode qui fait des wizz dans IE passent pas mais bon, perso ça me pose pas de cas de conscience :p
en espérant avoir éclairci les interrogations et répondu aux questions.
[^] # Re: L'ADAE préconise déjà d'utiliser des LLs mais...
Posté par AlphA . En réponse à la dépêche Important appel d'offres du ministère de l'intérieur. Évalué à 5.
je n'ai pas envie d'ergoter pendant des heures donc je vais faire en sorte de mettre à fin à la discussion.
je ne cherche pas à bloquer des fichiers pour le plaisir de bloquer des fichiers,
je cherche à protéger les utilisateurs.
les 2 1ers points que tu cites nécessitent de la part du destinataire une action supplémentaire d'extraction du fichier, outils qui ne sont pas installés normalement sur les postes des utilisateurs et qui n'ont pas les droits pour le faire. Si le destinataire a installé l'outil pour extraire ces formats, il est déjà en violation de la politique SSI donc à lui d'assumer.
avant que tu ne rétorques "ouais mais si ça extrait le fichier infecté via l'exploitation d'une faille en utilisant un shellcode dans le mime type ou si un script est livré avec, tu te fais avoir, t'es vraiment trop nul, haha", je précise que tout ce qui s'apparente à du binaire (et assimilé via encodage en unicode ou autre) et tout ce ressemble de près ou de loin à un script est systématiquement bloqué.
le dernier point est un faux problème depuis un paquet d'années pour les applications d'analyse de contenus un tant soit peu sérieuse... excuse moi de dire cela assez brutalement mais le fait que tu cites cet exemple comme un problème potentiel donne, imho, une idée sur ton niveau de compètence concernant le sujet de la discussion.
avec ma dernière phrase, j'ai l'attaque personnelle, il me reste à rajouter que oui, c'est une politique de sécurité de nazi. Comme ça, j'ai aussi le godwin, ce qui va permettre de mettre fin à la discussion.
quand à la raison valable, comme tu as l'air d'être du genre super l33t en sécurité, je te laisse la deviner.
[^] # Re: L'ADAE préconise déjà d'utiliser des LLs mais...
Posté par AlphA . En réponse à la dépêche Important appel d'offres du ministère de l'intérieur. Évalué à 1.
pas tout à fait. Word exécute les macros dans une sandbox.
La différence est fondamentale.
[^] # Re: L'ADAE préconise déjà d'utiliser des LLs mais...
Posté par AlphA . En réponse à la dépêche Important appel d'offres du ministère de l'intérieur. Évalué à 2.
Les produits utilisés savent détecter un zip renommé et l'ouvrir, analyser le contenu, etc etc mais le problème n'est pas là. Le problème vient de l'utilisation du format XML et des macros openoffice *POUR L'INSTANT*.
Donc ne pas savoir ouvrir un zip ou bloquer du texte n'a rien à voir là dedans. En plus, je vais te faire une révélation : une page html envoyée par mail et contenant un script offensif encodé en unicode est ... du texte !!! damned !
De plus, supprimer (surement pas à l'arrache) tout ce qui n'est pas du texte, c'est antiproductif. Le but est d'avoir le meilleure compromis entre les fonctionnalités et la sécurité, pas de forcer les gens à utiliser mutt & vi pour leurs correspondances.
[^] # Re: L'ADAE préconise déjà d'utiliser des LLs mais...
Posté par AlphA . En réponse à la dépêche Important appel d'offres du ministère de l'intérieur. Évalué à 4.
utilisation de bzip <- pris en charge
utilisation de plusieurs niveau de compression <- pris en charge
changement du nom en nom d'image <- on se base pas sur l'extension pour reconnaitre un format ....
utilisation de messagerie personnel sur webmail <- pas mon problème, c'est celui d'un autre indus
utilisation de transfert ftp <- pas mon problème, c'est celui d'un autre indus
faut comprendre un truc : cette messagerie (celle qui bloque les xml et provoque les ralements du monsieur au dessus) est placée en interconnexion d'un réseau *sensible* utilisé par beaucoup de non geeks donc ok, on peut raler sur le blocage de xml mais c'était une mauvaise idée de le faire sur *ce cas précis*. donc il n'y a pas de contournement à 2 francs comme on peut le faire sur un av personnel de base ni de pseudo mesure de sécurité et OpenDocument est bloqué pour une raison valable *DANS CE CAS* (j'espère avoir été assez clair).
merci de ne pas généraliser le cas général avec un cas particulier bien précis, ça évitera les réflexions à 2cts. sur les méchants industriels maqués avec MS, les vendeurs d'AV verreux, etc.
[^] # Re: L'ADAE préconise déjà d'utiliser des LLs mais...
Posté par AlphA . En réponse à la dépêche Important appel d'offres du ministère de l'intérieur. Évalué à 10.
je me permets de réagir à ton message. Si l'on parle bien de la même passerelle de messagerie, et j'en connais pas 25 dans les différents ministères qui bloquent le XML et analysent les fichiers office pour en retirer le code offensif, je tiens à préciser quelques points en tant que responsable technique de cette passerelle de messagerie.
* Ce n'est pas la méchante société privée qui a pris le parti de bloquer les documents XML. Nous ne faisons qu'appliquer les consignes que nous donnent ce fameux organisme de sécurité de l'état. Oui, c'est débile de bloquer XML pour le commun des mortels mais non ça ne l'est pas dans le contexte sensible de cette passerelle, chose que tu n'as pas précisé.
* Pour ton info, les pressions pour supporter les formats opendocument ont déjà commencé en vu de l'extension du périmètre de cette politique et, tiens toi bien, le méchant industriel fait parti de ceux qui poussent à l'ouverture de ce format ! la pression est actuellement sur ce fameux organisme de sécurité pour que ce dernier :
- justifie pleinement les blocages demandés mais ça c'est pas dur, cf conf de filiol au sstic cette année
- se débrouille pour imaginer une solution de détection
- en dernier recours, après analyse du risque, accepte de laisser passer ces formats
* effectivement les produits utilisés pour nettoyer les documents bureautiques marchent uniquement avec les documents MS office pour l'instant. Désolé mais c'est dans la logique du marché pour l'instant. si le ROI pour le support de format devient intéressant, la situation changera, en attendant on bloque.
* Oui, les gendarmes ralent et ce n'est pas les seuls. mes collègues qui travaillent pour eux le font avec openoffice et ralent aussi. Mais c'est comme ça.
en espèrant avoir dissipé quelques malentendus.
bonne journée
# rhaaaaaaa
Posté par AlphA . En réponse au message encodage des caractères spéciaux avec utf8. Évalué à 1.
il faut lire: "avec les encodages habituels (\&\eacute; & co) "
[^] # Re: Pour les ignorants ?
Posté par AlphA . En réponse au journal Mort de Seb (ex du magazine Joystick). Évalué à 7.
En fait, faut comprendre "ancien lecteur de joystick".
Grosso modo, y'a un paquet d'années, joystick, c'était plus qu'un magazine de jeu vidéo qui raisonnait chiffre d'affaire & rentabilité, c'était un esprit qui traversait l'ensemble des parutions. C'était l'époque de tilt et gén4. L'amiga était encore "DA beast" pour jouer mais le PC commençait à s'imposer avec ces epic, etc. Et en ce temps là, joystick était une comète dans le paysage éditorial français des jeux vidéos. Et Seb était un des piliers de ce phénomène. Voila, pas grand chose à dire de plus. C'est difficile à expliquer comme ça avec des mots tout bête mais la phrase du thread ci dessus statuant que c'est une partie de l'adolescence qui s'en va est tellement vraie...
Maximum respect..
[^] # Re: :'(
Posté par AlphA . En réponse au journal Mort de Seb (ex du magazine Joystick). Évalué à 6.
Tellement vrai...
putain, comme ils disaient à l'époque, c'est "éhonté à donf".
Quelle connerie.
Pour les nostalgiques, les lord casque noir & moulinex :
http://magazines.abandonware-france.org/(...)
M'en vais bruler les restes de l'éclectique super valable.
--
AlphA
# format des adresses mails
Posté par AlphA . En réponse au journal geek test en français et l'original. Évalué à 1.
dans le hall of fame geekien, faudrait p-e changer le format des adresses mails ?
Vu que l'accès est anonyme et public, ça pourrait faire une méchante récolte pour des spammeurs.
my 0,02
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par AlphA . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à 4.
oui, tout à fait. Mais pas tout. Si j'ai un bout de code B qui utilise les fonctions d'une API A. Si je n'ai pas le code de A, c'est difficile de faire une étude exhaustive de B puisque par exemple, un problème de boundaries dans A peut avoir des conséquences dans B, etc. Donc pour pallier à ca, ben j'ai pas beaucoup d'autres choix que de tenter un désasm de la dll qui fournit A ou éventuellement faire un peu de fuzzing en prenant des cas potentiellement fournissable à A par B. Désolé, c'est pas clair. Mais enfin tout ça pour dire que ça aide pas d'avoir que des bouts. Mais je t'accorde que la très probable analyse de tout ces bouts par des tas de gens n'a pas donné grand chose.
> Va expliquer ca a Mozilla, ils font la meme chose.
One point. Remarque, les changelogs et diffs sont publiques :p (j'ai pas dit lisible)
> Compte le nombre de failles, pas l'impact. Regardes le nombre de failles jugees critiques sur WS03, le nombre est tres faible.
OK. Mais une faille critique ça reste une faille critique. Un système sous contrainte forte, il suffit d'une faille pour qu'il soit par terre. :/ Puis, je trouve que s'intéresser au nombre de faille, ça fait un peu comme les admins qui utilisent le top 10 du SANS institute pour dire qu'ils sont protégés. "Je suis immunisé contre les 10 failles les plus courantes". Too bad quand la 11ème lui tombe sur le coin de la tronche ;) En fait peu importe le nombre de failles, ou leur criticité. Il suffit parfois juste d'une faille ou d'une sucsession de petite faille pour compromettre un système particulier. L'impact des derniers vers découlent effectivement dans ce cas plus d'un grand nombre de machines sous win (et d'admin formé chez kinder) et pas du grand nombre de failles. Donc ok, le nombre de faille a effectivement diminué mais il existe toujours une menace majeure du à l'énorme majorité de win et au fait qu'il suffit donc d'une faille.
> Il y a une protection anti-stack overflow dans win2k3 ? Ah bon, je suis pas au courant. Dans visual studio, et ils disent qu'elle est pas parfaite, mais pas dans Win2k3
http://www.nextgenss.com/papers/defeating-w2k3-stack-protection.pdf(...)
LE flag /GS introduit dans le dernier visual studio a été utilisé pour compiler certaines parties de win2k3. Comme IIS 6 et pas mal de dll.
IIS dont certains bouts ont été exportés en kernel land alors que dans la même période khttp était marqué deprecated dans le noyau 2.6 :ppp
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par AlphA . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à 6.
Le code source n'est pas complet. Il ne touche pas de composants critiques de l'OS. C'est MS lui même qui le disait à l'époque.
La faille corrigée sans rien dire à personne, c'est peut être pas la meilleure référence à sortir dans le cadre d'une discussion sur closed vs open. Du secure computing en patchant à la va vite, sans rien dire à personne, histoire de pas trop se faire charrier...
Vais en rajouter un peu tiens :
Pour un code source qui est sensé avoir été revu, par des dév ayant eu des formations sécu et tout, comme le disait les annonces bien marketing de l'époque. Le résultat est pas terrible quand on regarde les derniers mois. Blaster, sasser, etc.
Les OS sécurisés à grand renfort d'annonce alors que la protection anti stack overflow de win2k3 se contourne en 30 sec, ça fait quand même bien rire :) un brave pop,pop,ret et hop, fini la protection. Et ho, ironie suprème, cette séquence d'opcodes qui va bien, on la trouve, entre autre, dans l'exception handler associé à la détection d'une modification du "canari" .
Donc bon, pas de quoi se moquer de cisco ou tenter de faire une quelconque morale :p
# Re: Subversion et projets importants
Posté par AlphA . En réponse au journal Subversion et projets importants. Évalué à 3.
par ex :
svn://kernel.bkbits.net/linux-2.4
Le repo principal, c'est du bitkeeper. La version svn est alimentée par un soft qui fait la conversion bk -> svn.
[^] # Re: Loop devices - Les périphériques virtuels
Posté par AlphA . En réponse au journal Loop devices - Les périphériques virtuels. Évalué à 1.
Pour les geeks, UML, c'est user mode linux.
[^] # Re: Loop devices - Les périphériques virtuels
Posté par AlphA . En réponse au journal Loop devices - Les périphériques virtuels. Évalué à 2.
tip : l'utilisation du mode COW (copy on write) permet d'utiliser plusieurs instances d'uml avec une base commune constituée par un fs virtuel. Chaque modification est enregistrée dans un fichier séparé propre à chaque instance et sans avoir à utiliser d'api particulière ou quoi que se soit : c'est fait au niveau du noyau.
UML, ça rox.
# Re: J'aime les passerelles qui font passerelle
Posté par AlphA . En réponse au journal J'aime les passerelles qui font passerelle. Évalué à 1.
ifconfig eth0 down
ifconfig eth0 192.168.0.2 up
route add default gw 192.168.0.1
ça donne quoi ?
je t'avoue que le netmask 255.255.255.255 me fait une impression bizarre sur ta mdk
--
AlphA
[^] # Re: Udev atteint la maturité
Posté par AlphA . En réponse à la dépêche Udev atteint la maturité. Évalué à -1.
Un point parmi d'autres (cité dans le document devfs vs udev) est qu'il est gavé de race conditions insolubles et de deadlocks.
De plus, l'API de devfs est non adaptée. Certaines fonctions sont inutilisées, les structures sont lourdingues, etc.
Puis bon, faut avouer que devfs a pas particulièrement réussi sa percée donc il n'a peut être jamais reçu le soin nécessaire à sa réalisation. Lors du développement 2.3, il était nécessaire d'avoir une allocation dynamique des entrées dans /dev, quelqu'un a proposé devfs, il a été pris. Donc rien de très réfléchi, etc.
udev, au contraire, a essayé dès le début d'être clean, léger et orienté userland (/sbin/hotplug est utilisé par udev).
Udev réussira t'il là où devfs a échoué ? wait & see.
[^] # Re: Udev atteint la maturité
Posté par AlphA . En réponse à la dépêche Udev atteint la maturité. Évalué à 9.
Un point parmi d'autres (cité dans le document devfs vs udev) est qu'il est gavé de race conditions insolubles et de deadlocks.
De plus, l'API de devfs est non adaptée. Certaines fonctions sont inutilisées, les structures sont lourdingues, etc.
Puis bon, faut avouer que devfs a pas particulièrement réussi sa percée donc il n'a peut être jamais reçu le soin nécessaire à sa réalisation. Lors du développement 2.3, il était nécessaire d'avoir une allocation dynamique des entrées dans /dev, quelqu'un a proposé devfs, il a été pris. Donc rien de très réfléchi, etc.
udev, au contraire, a essayé dès le début d'être clean, léger et orienté userland (/sbin/hotplug est utilisé par udev).
Udev réussira t'il là où devfs a échoué ? wait & see.
[^] # Re: Fvwm2 et moi
Posté par AlphA . En réponse au journal Fvwm2 et moi. Évalué à 1.
[^] # Re: Quel graveur DVD pour linux ?
Posté par AlphA . En réponse au journal Quel graveur DVD pour linux ?. Évalué à 1.
# Re: Quel graveur DVD pour linux ?
Posté par AlphA . En réponse au journal Quel graveur DVD pour linux ?. Évalué à 1.
le LG GSA-4040B marche sans pb sous linux (testé en 2.4 avec ide-scsi et en 2.6 sans ide-scsi). Il supporte sans pb le 4x (environ 3,96x en moyenne d'après k3b), fonctionne avec les -R/+R, -RW/+RW et dvd-ram. Il n'est pas très cher en version OEM. Et si ça t'intéresse, un firmware RPC1 est dispo (cf google).
--
AlphA
[^] # Re: du en perl
Posté par AlphA . En réponse au journal du en perl. Évalué à 2.
du
[^] # Re: La calculatrice Google
Posté par AlphA . En réponse à la dépêche La calculatrice Google. Évalué à 7.
Je sais pas vous, mais je trouve que y'a des formules comme ça qui expriment un sens artistique assez poussé. Un peu comme "sum(n=1, +infinite, 1/n²)= pi²/6". Celle là aussi est belle, et elle se comprend dans toutes les langues, toutes les religions, etc. Bref, c'est beau, c'est universel. Profitons de la beauté de tout cela avant qu'une société quelconque ne se disent que se serait une bonne idée de breveter tout ça.
--
AlphA <math r0x0r>
[^] # Re: Encore une belel faille de sécurité MS....
Posté par AlphA . En réponse au journal Encore une belel faille de sécurité MS..... Évalué à 3.
htttp://www.eeye.com/html/Research/Tools/RPCDCOM.html
htttp://www.croulder.com/haxorcitos/kaht2.zip
# Hé pBpG !!
Posté par AlphA . En réponse au journal Encore une belel faille de sécurité MS..... Évalué à 2.
Bon plus sérieusement, à propos de ce vers, les personnes qui subissent ses effets ne peuvent s'en prendre qu'à eux mêmes. Le patch et l'advisory existe depuis un moment. Le DCOM, faut en avoir besoin. Donc il a pas besoin d'être activé. Mauvais point pour MS qui comme d'hab a refourgué un truc avec 12000 services par défaut pour des questions de facilités. Donc ceux qui découvrent l'existence de la faille seulement maintenant, z'ont plus qu'à apprendre à se servir de cette icone bizarre qui pointe sur windows update. Et ils ont intérêt à se dépécher, parce que à partir du 16 août, le vers libère sa charge offensive et DDos www.windowsupdate.com pour au moins jusqu'à la fin de l'année :)
--
AlphA <dcom lover>