est-ce possible via un programme de piloter une appli X ?
oui. par défaut (ie si l'utilisateur n'active pas le mode untrusted de la "security extension" ou xsupervisor) une application qui a le droit de se connecter au serveur X (via xauth, donc par défaut seules les applications appartenant à l'utilisateur du X) peut observer les événements que recoit une appli X (sauf pour les application ayant demandé le monopole du clavier/souris), lire et écrire dans le presse-papier, copier l'affichage des autres fenetres et envoyer des événements (grace à Xtest extension ou Xtrap extension)
avec pour chaque fenetre les containeurs, les widgets de chaque containeur etc
là il faudrait passer par qt/gtk car X ne manipule que des bitmaps et des fontes en fait
de manière a detecter une certaine fenetre et réagir lorsqu'elle apparait en cliquant sur un bouton par exemple
c'est donc possible uniquement si les réglages de sécurité du X le permettent
quelques softs: xmacro, xtrap, xmx (pour travailler en même temps à plusieurs et à distance avec la même application)
un des problèmes, c'est que les "experts" se penchent rarement sur la sécurité des systèmes de GUI (X et la partie graphique de Windows). pourtant de nombreux problèmes de sécurité leur sont liés.
"X security extension" et maintenant xsupervisor répondent plutot bien à ces problèmes, d'autant + que les GUI ne sont jamais obligatoires sous linux
c'est exactement similaire a un shell root sous Unix qui a un socket ouvert au monde
non. ca ressemble de loin à une application root sous X qui accepterait des commandes sans qu'elles viennent d'un clavier monopolisé (les xterms ont une option de monopole du clavier, sans meme avoir besoin d'utiliser xsupervisor ou Xsecurity)
la différence (énorme), c'est que sous X on peut pas forcer une application root à faire quelque chose, et encore moins à lancer des commandes arbitraires si cette application n'est pas un shell
enfin l'usage qui veut que les GUI ne soient jamais imposées pour toutes les taches effectuables sous Linux, permet d'exécuter tous les programmes qu'on estime importants (pas seulement ceux de root) en mode console exclusivement
oui tu peux utiliser systrace pour controler les sockets mais fireflier (qui est interactif aussi)est spécialisé dans iptables et fait exactement ce qu'il y a dans ton exemple
y'a des digests + fiables que md5 (comme sha1 et ses successeurs)
si la session de l'utilisateur est controlée par systrace, alors tous les programmes qu'il lancera exprès (ou sans le faire exprès) seront controlés aussis
Violations de la GPL
Déjà ça parrait pas valable paske $CO n'était (officiellement) pas au courant de la présence de ce code.
Euh paske qui était (à supposer que ce soit vrai) officiellement au courant de la présence du code sco (non dévoilé) dans Linux ?
faut être logique: c'est quand meme + facile de vérifier l'existence d'un code sous GPL public dans du code sous NDA qu'on possède, que de trouver du code sous NDA qu'on possède pas dans un code GPL public !
en fait je ne vois que 3 raisons qui fait que le code est toujours non dévoilé:
1. il n'est pas au final l'exclusivité de sco (il était deja sous GPL, ou BSD ou vient vraiment d'IBM)
2. empecher les gens de légalement supprimer (ca concernerait que certains SMP 64 bits) ou de remplacer les quelques lignes incriminées: car toutes les autres lignes (99,99%) du noyau seront toujours distribuables légalement car leurs droits n'appartiennent pas à sco de toutes facons.
3. générer le maximum de FUD
je connais peu les autres distibs mais:
LSM, SElinux, systrace, fireflier, userModeLinux et plex86 sont tous dans Debian: je te conseille de taper man apt-get ou de consulter ma page APT sécurisé "pour les nuls" http://free2.org/d/(...)
un des avantages des softs libres, c'est qu'on peut les étudier avec Valgrind avant de leur faire confiance (apt-get valgrind aussi)
d'ailleurs quand win se met à planter, il a parfois le temps de dire que c'est de la faute de l'application qu'on utilise.
et moi je crois tout ce que le système me dit :)
bon dans la pratique on sait qu'il y aura toujours des failles de sécurité dans les applications qui ne sont pas de petite taille, c'est donc au système de proposer d'exécuter facilement et efficacement ces applis dans une sandbox protégeant des overflows et controlant TOUS les appels sytèmes.
on peut régler le niveau de sécurité de linux (jusqu'à un niveau que je qualifierais de paranoiaque) avec de nombreux softs dont voici quelques un vraiment sympas:
systrace ou LSM (linux security module) pour controler l'accès à tous les appels systèmes (!) et vous demander votre autorisation en cas de changement de comportement d'une application (peut-être le meilleur IDS imaginable), xsupervisor pour la sécurité de X, fireflier pour iptables, exec-shield pour les overflows
sans compter les linux virtuels de UserModeLinux et plex86, voir bochs si on privilégie la paranoia (mon hardware est-il de confiance :) ) aux performances ! (de quoi attendre le système complet en mode user que nous promet GNU Hurd)
sans compter que la plupart des softs libres, quelle que soit leur origine, sont fréquemment mis à jour et signés cryptographiquement par les distribs (ce qui évite quelques troyens/virus)
je ne suis pas sûr que toutes ces fonctions soient dispos sous Win (et à quel prix, et quelle confiance accorder à des softs de sécurité opaques ?)
mais alors y sont où mes runlevels ?
paske quand je veux des temps de réponse courts, je suis bien contant d'avoir des runlevels qui m'arretent tout un tas de démons qui bouffe du cpu, puis de retourner à un runlevel qui relance ces démons
ah oui ! y sont dans des scripts ! l'ennui c'est que si le format des scripts est pas très réglementé (et donc chiant), ca va pas etre facile pour un paquet de les modifier sans tout foutre en l'air
cela installe des programmes qui exploitent les APIs posix realtime avec lesquelles linux est compatible depuis longtemps (sans garantie de temps de réponse, mais avec la garantie que les process realtime seront toujours prioritaires avant les autres, ce que même nice --20 ne garantit pas)
il est étonnant que les applications de gravage/musique/video n'utilisent pas (à ma connaissance) ces API
petit détail: jusqu'à la conclusion (et probablement après aussi vu le fric et les avocats d'IBM) du procès entre Sco et IBM on est en droit de dire que les "80 lignes" sont sous copyright IBM qui les a placé sous licence GPL.
ensuite ces "80 lignes" concerneraient uniquement certains utilisateurs de Linux (certains SMP je crois), les autres peuvent donc les virer
bref personne n'a de compte à rendre à SCO et vivement la fin du FUD !
on peut régler le niveau de sécurité de linux (jusqu'à un niveau que je qualifierais de paranoiaque) avec quelques softs:
systrace ou LSM (linux security module) pour controler l'accès aux appels systèmes, xsupervisor pour la sécurité de X, fireflier pour iptables, exec-shield pour les overflows
sans compter les linux virtuels de UserModeLinux et plex86, voir bochs si on privilégie la paranoia (mon hardware est-il de confiance :) ) aux performances !
sans compter que la plupart des softs libres sont fréquemment mis à jour et signés cryptographiquement par les distribs (ce qui évite quelques troyens/virus)
[^] # Re: Apple et le libre : l'APSL 2.0 est une licence libre selon la FSF
Posté par free2.org . En réponse à la dépêche Apple et le libre : l'APSL 2.0 est une licence libre selon la FSF. Évalué à 1.
[^] # Model XForms en passe de devenir une Recommandation du W3C
Posté par free2.org . En réponse à la dépêche XForms en passe de devenir une Recommandation du W3C. Évalué à 1.
c'est pas ça que tu cherches ?
[^] # pilotage appli X
Posté par free2.org . En réponse à la dépêche Linux et IBM reçoivent un satisfecit de Washington. Évalué à 3.
oui. par défaut (ie si l'utilisateur n'active pas le mode untrusted de la "security extension" ou xsupervisor) une application qui a le droit de se connecter au serveur X (via xauth, donc par défaut seules les applications appartenant à l'utilisateur du X) peut observer les événements que recoit une appli X (sauf pour les application ayant demandé le monopole du clavier/souris), lire et écrire dans le presse-papier, copier l'affichage des autres fenetres et envoyer des événements (grace à Xtest extension ou Xtrap extension)
avec pour chaque fenetre les containeurs, les widgets de chaque containeur etc
là il faudrait passer par qt/gtk car X ne manipule que des bitmaps et des fontes en fait
de manière a detecter une certaine fenetre et réagir lorsqu'elle apparait en cliquant sur un bouton par exemple
c'est donc possible uniquement si les réglages de sécurité du X le permettent
quelques softs: xmacro, xtrap, xmx (pour travailler en même temps à plusieurs et à distance avec la même application)
[^] # sécurité des GUI
Posté par free2.org . En réponse à la dépêche Linux et IBM reçoivent un satisfecit de Washington. Évalué à 3.
"X security extension" et maintenant xsupervisor répondent plutot bien à ces problèmes, d'autant + que les GUI ne sont jamais obligatoires sous linux
(voir la remarque de couriousous tout en haut)
[^] # monopole clavier xterm
Posté par free2.org . En réponse à la dépêche Linux et IBM reçoivent un satisfecit de Washington. Évalué à 1.
non. ca ressemble de loin à une application root sous X qui accepterait des commandes sans qu'elles viennent d'un clavier monopolisé (les xterms ont une option de monopole du clavier, sans meme avoir besoin d'utiliser xsupervisor ou Xsecurity)
la différence (énorme), c'est que sous X on peut pas forcer une application root à faire quelque chose, et encore moins à lancer des commandes arbitraires si cette application n'est pas un shell
enfin l'usage qui veut que les GUI ne soient jamais imposées pour toutes les taches effectuables sous Linux, permet d'exécuter tous les programmes qu'on estime importants (pas seulement ceux de root) en mode console exclusivement
[^] # Re: sécurité linux blindable
Posté par free2.org . En réponse à la dépêche Linux et IBM reçoivent un satisfecit de Washington. Évalué à 4.
y'a des digests + fiables que md5 (comme sha1 et ses successeurs)
si la session de l'utilisateur est controlée par systrace, alors tous les programmes qu'il lancera exprès (ou sans le faire exprès) seront controlés aussis
[^] # violations de la GPL + courantes que l'inverse
Posté par free2.org . En réponse à la dépêche Linux et IBM reçoivent un satisfecit de Washington. Évalué à 4.
Déjà ça parrait pas valable paske $CO n'était (officiellement) pas au courant de la présence de ce code.
Euh paske qui était (à supposer que ce soit vrai) officiellement au courant de la présence du code sco (non dévoilé) dans Linux ?
faut être logique: c'est quand meme + facile de vérifier l'existence d'un code sous GPL public dans du code sous NDA qu'on possède, que de trouver du code sous NDA qu'on possède pas dans un code GPL public !
en fait je ne vois que 3 raisons qui fait que le code est toujours non dévoilé:
1. il n'est pas au final l'exclusivité de sco (il était deja sous GPL, ou BSD ou vient vraiment d'IBM)
2. empecher les gens de légalement supprimer (ca concernerait que certains SMP 64 bits) ou de remplacer les quelques lignes incriminées: car toutes les autres lignes (99,99%) du noyau seront toujours distribuables légalement car leurs droits n'appartiennent pas à sco de toutes facons.
3. générer le maximum de FUD
[^] # Debian apt-get
Posté par free2.org . En réponse à la dépêche Linux et IBM reçoivent un satisfecit de Washington. Évalué à 3.
LSM, SElinux, systrace, fireflier, userModeLinux et plex86 sont tous dans Debian: je te conseille de taper man apt-get ou de consulter ma page APT sécurisé "pour les nuls" http://free2.org/d/(...)
un des avantages des softs libres, c'est qu'on peut les étudier avec Valgrind avant de leur faire confiance (apt-get valgrind aussi)
[^] # c'est la faute des applications !
Posté par free2.org . En réponse à la dépêche Linux et IBM reçoivent un satisfecit de Washington. Évalué à 4.
et moi je crois tout ce que le système me dit :)
bon dans la pratique on sait qu'il y aura toujours des failles de sécurité dans les applications qui ne sont pas de petite taille, c'est donc au système de proposer d'exécuter facilement et efficacement ces applis dans une sandbox protégeant des overflows et controlant TOUS les appels sytèmes.
Et Linux le fait, lui.
[^] # sécurité linux blindable
Posté par free2.org . En réponse à la dépêche Linux et IBM reçoivent un satisfecit de Washington. Évalué à 5.
systrace ou LSM (linux security module) pour controler l'accès à tous les appels systèmes (!) et vous demander votre autorisation en cas de changement de comportement d'une application (peut-être le meilleur IDS imaginable), xsupervisor pour la sécurité de X, fireflier pour iptables, exec-shield pour les overflows
sans compter les linux virtuels de UserModeLinux et plex86, voir bochs si on privilégie la paranoia (mon hardware est-il de confiance :) ) aux performances ! (de quoi attendre le système complet en mode user que nous promet GNU Hurd)
sans compter que la plupart des softs libres, quelle que soit leur origine, sont fréquemment mis à jour et signés cryptographiquement par les distribs (ce qui évite quelques troyens/virus)
je ne suis pas sûr que toutes ces fonctions soient dispos sous Win (et à quel prix, et quelle confiance accorder à des softs de sécurité opaques ?)
[^] # Re: schedutils
Posté par free2.org . En réponse à la dépêche Temps réel avec le noyau Linux. Évalué à 1.
# Re: Nouvelle carte Proxim (Chipset Hermes2)
Posté par free2.org . En réponse au journal Nouvelle carte Proxim (Chipset Hermes2). Évalué à 1.
https://linuxfr.org/~cyberrat/4501.html(...)
# SCOOP: le journal censuré du vrai Pierre Tramo
Posté par free2.org . En réponse au journal ki sai pierre tramo ?. Évalué à 1.
http://www.google.fr/search?q=cache:linuxfr.org/~ptramo/journal.rss(...)
tout est clair maintenant !
[^] # Re: tcc
Posté par free2.org . En réponse au journal Astuce pour compiler du C à la volée. Évalué à 2.
mais bon je concois que sur certaines machines paranoiaques on puisse pas (mais elles interdisent peut-etre de lancer gcc aussi non ?)
[^] # y sont où mes runlevels ?
Posté par free2.org . En réponse au sondage Mon troll préféré :. Évalué à 1.
paske quand je veux des temps de réponse courts, je suis bien contant d'avoir des runlevels qui m'arretent tout un tas de démons qui bouffe du cpu, puis de retourner à un runlevel qui relance ces démons
ah oui ! y sont dans des scripts ! l'ennui c'est que si le format des scripts est pas très réglementé (et donc chiant), ca va pas etre facile pour un paquet de les modifier sans tout foutre en l'air
# tcc
Posté par free2.org . En réponse au journal Astuce pour compiler du C à la volée. Évalué à 3.
y'a aussi de vrais interpréteurs C
[^] # init bsd ?
Posté par free2.org . En réponse au sondage Mon troll préféré :. Évalué à 1.
[^] # AFP: La maison autonome, un modèle écologique garanti sans facture
Posté par free2.org . En réponse au journal Energie, informatique même combat. Évalué à 1.
http://ecofestival.free.fr/fr/accueil.htm(...)
# speciale dedicace au FMI
Posté par free2.org . En réponse au journal récit d'un chirurgien MSF au Libéria. Évalué à 1.
http://www.cia.gov/cia/publications/factbook/geos/li.html#Econ(...)
# il manque zsh !
Posté par free2.org . En réponse au sondage Mon troll préféré :. Évalué à 3.
ah, j'allais oublier: apt-build/vim-gtk/icewm/Eiffel roulaizent !!!
# schedutils
Posté par free2.org . En réponse à la dépêche Temps réel avec le noyau Linux. Évalué à 1.
apt-get install schedutils
cela installe des programmes qui exploitent les APIs posix realtime avec lesquelles linux est compatible depuis longtemps (sans garantie de temps de réponse, mais avec la garantie que les process realtime seront toujours prioritaires avant les autres, ce que même nice --20 ne garantit pas)
il est étonnant que les applications de gravage/musique/video n'utilisent pas (à ma connaissance) ces API
# IBM possède les "80 lignes" et les a mis sous GPL
Posté par free2.org . En réponse au journal Sco commence vraiment à me degouter. Évalué à 2.
ensuite ces "80 lignes" concerneraient uniquement certains utilisateurs de Linux (certains SMP je crois), les autres peuvent donc les virer
bref personne n'a de compte à rendre à SCO et vivement la fin du FUD !
# sécurité linux réglable
Posté par free2.org . En réponse au journal SuSE et IBM consacre la premiere certification Linux au niveau sécurité. Évalué à 1.
systrace ou LSM (linux security module) pour controler l'accès aux appels systèmes, xsupervisor pour la sécurité de X, fireflier pour iptables, exec-shield pour les overflows
sans compter les linux virtuels de UserModeLinux et plex86, voir bochs si on privilégie la paranoia (mon hardware est-il de confiance :) ) aux performances !
sans compter que la plupart des softs libres sont fréquemment mis à jour et signés cryptographiquement par les distribs (ce qui évite quelques troyens/virus)
[^] # netcat + backup
Posté par free2.org . En réponse au journal scp -p ?. Évalué à 1.
[^] # Re: gnome/kde ?
Posté par free2.org . En réponse au journal Debian (sid), gnome, video et menu clic droit.... Évalué à 1.