C'est encore plus fréquent de mettre un 0x26 au lieu de 0x00 dans un champs d'entête SMB2 ...
Ben tu vas me montrer une implementation SMB2 qui le faisait il y a 3 mois alors ?
Non mais n'importe quoi ... OpenAFS est un projet qui se développe depuis presque dix ans avec une jolie quantité d'utilisateurs[1]. Ça fait environ 5 ans que la version Windows existe. Donc depuis 5 ans des gens perdent des données ? Et personne ne c'est rendu compte ?
Ou alors "extrêmement fréquent" c'est un terme qui veut "presque jamais".
Jolie quantite d'utilisateurs ? Moi quand je vois leur liste je vois que c'est minuscule, c'est genre 10'000 utilisateurs. MS a lui tout seul en interne a 10x ca.
Quand au fait que personne ne s'en rendait compte, c'est justement ce que je te dis, ca fait peur, car OUI ecrire au milieu d'un fichier est une operation extremement courante, tu prends Office par exemple, il fait ca constamment, les softs qui jouent avec la video et autres mp3 aussi(c'est des frames ecrites les unes apres les autres le plus souvent, suffit de les rajouter/couper), etc...
Il est assez clair que ce FS est :
a) pas teste pour servir de FS generaliste
b) utilise en pratique dans des scenarios tres limites(tu vois les noms des utilisateurs, c'est tres oriente recherche)
PS: Généralement les programmes lisent le fichier en entier en mémoire et ré-écrivent le fichier complet (oui sauf les bases de données, mais ça c'est explicitement statuer qu'AFS ne convient pas pour les bases de données, et sauf peut-être les applications multimédia, mais la taille des fichiers ne convient pas à un système de fichier réseau).
Non certainement pas, je t'ai donne une liste plus haut, il y en a plein d'autres, et c'est encore plus justifiable en reseau, parce que reecrire tout le fichier est plus lent qu'en reecrire une partie. Sinon, les fichiers multimedia c'est certainement pas un probleme pour un systeme de fichiers reseau, on n'est plus a l'epoque des reseaux 10mb/s hein, on a ca en interne depuis des annees ici et ca marche tres bien.
Non, c'est une possibilité pour trouver le problème, mais ce n'est pas la seule méthode ...
Une étude du code peut aussi permettre de trouver le bug.
Oui tout a fait, le truc etant que par experience, le fuzzing a bcp plus de chances de trouver ce genre de problemes que les revues de code.
Au passage, il est beaucoup plus facile de détecter un crash de tout le système qu'une corruption de fichier, donc je ne m'avancerai ni d'un côté ni de l'autre pour dire qu'un problème est plus excusable que l'autre.
Detecter le crash certainement, le probleme, c'est le creer quand tu ne sais pas ce apres quoi tu cours.
Oui alors non ... Là quand même tu vas un peu fort, une procédure de test qui loupe un problème sur _une_ implémentation (sur un système d'exploitation particulier qui plus est) d'un système de fichier relativement complexe est sûrement plus au point qu'une procédure de test qui loupe une erreur comme celle de SMB2 ... Faut pas comparer la tour Eiffel à la cabane sur l'arbre que j'ai construit quand j'avais dix ans !
On compare le probleme :
a) OpenAFS sur Windows :
Un soft qui ouvre un fichier et qui ecrit dedans a un offset autre que multiple de 4Ko corrompt le fichier
--> Scenario extremement frequent que nombre de softs font (edition d'attributs, remplacement d'elements, etc...)
Si ils n'ont pas trouve ce bug, c'est donc qu'ils n'ont jamais teste que la version Windows pouvait correctement modifier le contenu d'un fichier
b) SMB2 :
Un paquet structure de maniere invalide, mais dont le format est tres specifique, n'est pas gere correctement et crashe le systeme
--> Trouver ce probleme implique de tester (et donc generer) une variete enorme de traffic non-valide sur un protocole complexe, et esperer que le cas precis est parmis eux
ah mais, à te lire, nous sommes donc d'accord, SMB2 est du même acabit, avec 2 modes de gestion de la perte de données, l'un respectueux des utilisateurs et transparent, l'autre moins.
Tu me montres comment SMB2 perd tes donnees en usage normal ? Ca m'interesse.
ou sinon un bête rsync (qui demande un peu plus de mise en oeuvre), en plus de samba permettant d'avoir une solution interopérable, même avec des postes-clients sous un OS défaillant.
Personne t'oblige a utiliser Linux hein. (les phrases stupides ca peut aller dans les 2 sens tu sais)
tu remarqueras que les petits gars de OpenAFS préconisent la dernière version qui corrige le tout (bon ce serait bien qu'ils backportent un correctif tout de même sur la version de maintenance, mais c'est mon avis), avec une analyse sensée et factuelle
Je l'ai bien remarque oui, et je me demandes comment un truc aussi gros a mis aussi longtemps a etre demasque, ce qui me fait dire que leurs procedures de test ne sont pas au point et qu'il est peu utilise. Parce que pour le demasquer il n'y avait rien de specifiquement exotique a faire hein, des softs qui ecrivent ailleurs qu'a un offset de 4K c'est hyper frequent(suffit qu'un soft update un fichier a un offset particulier plutot qu'en creer un).
- je relevais que ce point n'a pas été traité avec le sérieux approprié (àmha) par ta société qui propose d'acheter ou de migrer vers la dernière version ou de se passer de la fonctionnalité pour ne plus être exposé (ce qui n'est pas ce qui est attendu par des clients qui paient et attendent une réponse appropriée pour _leur_ cas, dans des délais raisonnables)
Ah bon j'etais pas au courant ? Le patch sur lequel on bosse doit etre uniquement dans mon imagination alors.
Sur http://www.openafs.org/pipermail/openafs-announce/2009/00030(...) tu vois que le souci 1 est corrigé par la nouvelle version (et touchait tout le monde de toute façon, ça a marché jusqu'à maintenant - par chance peut-être - pourquoi ça ne marcherait plus ?) et que le problème 2 ne touche que les versions expérimentales (hypothèse que j'avais prise, une version stable ou de maintenance étant moins risquée pour utilisation en prod' àmha, ce en quoi j'avais raison).
J'ai bien compris qu'ils l'ont corrige merci, le probleme c'est que ce probleme ait tout simplement existe. C'est un FS hein, l'ecriture des donnees c'est genre sa fonction principale avec la lecture. C'est un bug enorme, le fait qu'ils s'en soient rendu compte que maintenant ne donne certainement pas confiance vis a vis du logiciel, le recommander comme solution pour assurer la sauvegarde de donnees c'est pas franchement une bonne idee si tu veux mon avis.
Oups, Microsoft a offert le nombre faramineux de *0* brevets au libre ... Ils n'ont même pas pris la peine de clarifier leur position vis à vis de Mono, à croire qu'ils prennent à malin plaisir à maintenir des propos ambigüs à ce sujet.
Vraiment ? C'est drole, parce que MS a un nombre de brevets faramineux, notamment sur les web services, sur OpenXML, etc... et ces brevets sont utilisables par les projets libres sur ces technos.
Pour rigoler, on devrait comparer le nombre de développeurs qu'IBM et Microsoft paient pour faire du logiciel libre, le fric dépensé sur des projets libres, la stratégie adoptée vis à vis du libre, de la publicité générée autour du libre (ou plutôt du FUD dans le cas de Microsoft, Get the facts ou les éructations de Monkey boy Ballmer) etc ... Après on s'étonne encore de la différence de traitement.
Mais on s'en fout un peu de ca, c'est pas le sujet. Pourquoi donc est-ce que le bras droit d'IBM pourrait cacher ce que fait le bras gauche d'IBM ?
Oh c'est sur que je la ramenes, entre un bug quand tu envoies qqe chose de malforme et un FS qui n'ecrit pas correctement des donnees il y a un monde de difference.
Pour OpenAFS, tu parles d'une version de développement si tu avais quoté les bonnes parties :
1.5.65 is also the most recent in the series of releases intended to provide new experimental features
Il y a une version 1.4.11 http://www.openafs.org/release/latest.html qui correspond à la version stable (moins risquée).
C'est quelle partie de Due to data loss issues present in all versions of OpenAFS prior to 1.5.62 que tu as ratee ?
(*) http://linuxfr.org//~Dabowl_92/28752.html ya pas à dire SMB2 : vous l'éteignez pour ne pas être vulnérable, c'est pratique pour un serveur de fichiers (à fuir... pas mal d'entreprises n'étant pas en seven encore...). Pratique pour ceux ayant migré prématurément en vista...
Et quand Apache(ou autre soft) il est vulnerable, tu fais quoi pour pas etre vulnerable a par l'eteindre ? Surtout que cela n'empeche absolument pas l'echange de fichiers vu que SMB1 est encore la.
Mais bon, j'oubliais qu'il est absolument impensable d'oser critiquer un projet libre sans se prendre qqe chose en retour, j'ai blesse l'amour propre de certains visiblement en signalant un probleme dans un projet libre !
Si tu veux faire ce que tu envisages, tu peux regarder du coté de openafs ( http://www.openafs.org/ ), le coté partage de fichier sera plus ou moins résolu mais il faut penser à upgrader les lignes internet car 512kb/s car c'est un peu court.
Euh ouais...
Due to data loss issues present in all versions of OpenAFS prior to 1.5.62 and believed to be in IBM AFS, all Windows users are urged to upgrade.
Va sur uspto.gov, fais une recherche sur les brevets appartenant a IBM, tu enleves les ~500-1000 qu'IBM a "offert" au libre, et tu regardes les milliers qui reste.
Tu ne répond quand même pas au principal, avec le compte admin sous Windows, tu tournes tous les programmes sous root, même si tu fait du word, même lorsque tu manipules des fichiers avec ton explorateur, même si tu ne fais pas du web...
Avec sudo, tu n'est sous root que lorsque tu le demandes. Un bogue dans oowriter n'est pas aussi dangereux car tu ne le lances pas en root... Bref, le risque de faire des conneries sur le système est bien moindre.
a) Mais pourquoi compares tu un compte admin sous Windows a un compte non-admin sous Linux ? UAC est l'equivalent de sudo dans les comptes non-admin Windows, ca ne manque pas
b) Je t'ai montre par A+B que si le compte peut utiliser sudo, alors au final ca revient au meme. On s'en fout que oowriter ne tourne pas en root, si il permet d'inserer le malware sur le compte utilisateur les carottes sont cuites, au prochain sudo le malware passera root.
Que tu t'en fiches, je le comprends bien mais moi pas. Techniquement c'est faisable mais cela n'a pas encore été fait et surtout, cela ne toucherait en général qu'une personne et il s'agit de modifier des fichiers de scripts lisibles par l'homme.
Ca n'a pas encore ete fait ? Mais tu reves mon cher, ca se fait depuis longtemps, je l'ai pas inventee cette technique !
Quand a toucher une personne, une fois que le malware a le mot de passe, il passe root et c'est toute la machine qui est verolee.
Le scénario que tu montres est possible mais je ne l'ai jamais vu depuis que je bosse sur Linux et cela fait plus de 10 ans...
Que tu l'aies vu ou pas, on s'en fiche un peu, techniquement c'est clair et net.
Il y a donc plus qu'une nuance entre un clic sur une page web et t'es mort et une attaque en plusieurs étapes qui nécessite d'aller changer le fichier bashrc...
Vraiment ? C'est quoi la difference entre editer le fichier .bashrc et s'ajouter dans les entrees de la base de registre ? Aucune, si tu regardes les malware sous Windows ils sont presque tous du type suivant : shellcode execute dans une appli vulnerable (Firefox, IE, ...) qui downloade depuis le web un soft et l'execute.
Serieusement, c'est quoi la complexite d'ecrire un soft qui edite .bashrc, change $PATH, ... ? Aucune, un newbie peut le faire. Tout le boulot est dans le shellcode.
Cela dis, mes utilisateurs ne sont pas sudo, ni moi. Je fais un su pour passer sur un autre compte qui est lui sudo ! Mais ton attaque marche aussi avec su... Bref, ton attaque est générique et marche sur tout OS tant que l'OS ne fait pas un contrôle "NOM de l'exécutable / checksum" et n'interdit pas les doublons dans les noms des binaires.
Tout a fait, j'ai jamais dit que c'etait limite a Linux, mais elle montre bien a quel point sudo n'amene aucune securite.
Seule les commandes sudo sont root pas toute ! Dans ton navigateur ou ton lecteur de mail, tu n'est pas root... Bref, tu n'est presque jamais root. Il faudrait être fou pour lancer acroread en root par exemple.
Mais mon cher, c'est parce que tu n'as aucune experience en securite que tu crois que c'est different.
Un malware entre sur le compte utilisateur sous Linux.
Ce malware :
- change le $PATH et mets son sudo a lui qui prend ton mot de passe au debut de la liste
- se relance au login de l'user pour survivre reboots et shutdowns
- executes le sudo original pour ta commande lorsque tu lances un sudo histoire que tu ne remarques rien
Hop, il a le mot de passe, il peut lancer le sudo qu'il veut, et il y a largement assez de softs sudo-enabled pour prendre le controler du systeme.
Un compte utilisateur qui a des privileges sudo, au final c'est pas different d'un compte admin, tu finiras bien a un moment par faire ton sudo, et a ce moment tu l'auras profond.
Le seul effet de sudo par rapport a un compte admin c'est de retarder l'infection un peu.
Microsoft l'a bien compris d'ailleurs, ils sont pas (tous) fous : 1. leur windows mobile est opengl. 2. Leur Xbox est directx 9 (et pas 10, ni 11. C'est un dérivé de directx 8). Leurs développements actuels basé sur Surface et 'backportés' sur Seven sont OpenGL.
Je me demande si tu sais de quoi tu parles. La XBox 360 utilise DirectX 9, a l'epoque ou la XBox 360 est sortie, DirectX 10 et 11 n'existaient pas, je vois mal comment elle aurait pu les utiliser. D'ailleurs DirectX 11 ajoute plusieurs features qui sont assez directement en relation avec la XBox 360.
Les softs pour Surface quand a eux ont 2 plateformes de developpement : WPF et XNA, qui sont les 2 bases sur DirectX
Disons que si tu limites à un vote par IP par minutes, cela dilue le problème non ? Si il y a plus de vote tu bannies l'ip.
Ben pas vraiment, il y a des proxys pour ca...
Vu le nombre de personne qui pourrait être concerné (qq millions) est-ce que ce genre de triche pourrait être significatif dans les chiffres ?
Est-ce qu'il n'existe pas des méthodes issue de la lutte anti-spam par courrier et dans les commentaires qui peuvent être appliqué ici ?
J'imagines que si chaque personne a un certificat et qu'il doive signer ses stats ca pourrait rendre la chose plus dure, mais va obliger tout le monde a recevoir un certificat, et empecher la distribution de certifs. bidons... pas simple comme probleme...
Ce n'est pas parce que plus de failles ont été trouvées dans apache qu'il a automatiquement été attaqué plus souvent.
C'est peu gratifiant pour apache de souligner qu'il est possible de se retrouver troué plus souvent en étant testé moins souvent. Après tout dépend de la gravité des failles et du temps où l'on reste sans patch correctif.
Oui c'est possible, mais quand on regarde les softs de tout genre, on se rend compte que plus ils gagnent en popularite, plus on trouve de failles dedans(Firefox, Mac OS X, Linux, ...), ca touche trop de softs pour etre du au hasard.
The basic security model is the same, and therefore these two systems share their primary weaknesses. Any user who uses su or sudo must be considered to be a privileged user. If that user's account is compromised by an attacker, the attacker can also gain root privileges the next time the user does so. The user account is the weak link in this chain, and so must be protected with the same care as root.
Le compte admin sous Windows d'un point de vue securite est equivalent a un user avec sudo sous Linux.
Mais qui te dit que c'est MS qui a decide du protocole ? Ces mesures sont faites depuis des annees, bien avant que Linux ait commence a bouffer Unix et autres.
Sinon, desole mais c'est pas le meme marche du tout meme si techniquement ca a des ressemblances, les possibilites entre une appliance et un serveur ne sont pas du tout les memes, tu n'as que tres tres peu de controle sur l'appliance, pas de support de l'OS similaire, etc...
C'est pas par hasard que les routeurs ne sont pas dedans non plus, parce que bon, un routeur tu peux aussi faire ca avec un PC hein, tu peux meme diriger une machine a cafe avec un PC si tu veux.
Toutes les "box" chez les particuliers tournent sous linux à ma connaissance... Je pense qu'il en est de même de tous les petits disques NAS du marché à destination des particuliers et des PME (LaCie...). Ces machines ne sont à ma connaissance jamais comptabilisées.
Ben non, car ce n'est pas le meme marche, ca c'est pour les OS embarques (ou Linux ecrase WinCE de ce que j'en sais)
On new installations, by default, the first user account created is a local administrator account in Admin Approval Mode (UAC enabled). All subsequent accounts are then created as standard users.
Tu m'expliques ce qu'il y a de problematique dans la config par defaut ?
Tout comme sous Linux il faut un admin, le 1er compte cree, ensuite par defaut tous les autres sont des users standard, tout ce qu'il y a de plus normal.
Pourtant en termes d'équipements serveurs, mon entreprise doit représenter une part conséquente de l'équipement français : je travaille par exemple sur un projet qui implique un développement de plusieurs grappes hardware représentant un peu plus de 8 000 CPUs supplémentaires, tous sous Linux.
Tu penses ? T'as remarque que la plupart des applications metiers(compta, etc...) existent sous Windows et pas sous Linux ? C'est pas par hasard...
Sinon, 8000 CPUs c'est gros mais pas si enorme, quand je regardes notre boite, on a dans les 300'000 machines, et c'est sans compter les datacenters de Bing/Hotmail/...
Si ta miss est admin sous Vista, c'est purement de sa faute, car il a tout ce qu'il faut pour ne pas en avoir besoin.
Quand a UAC ne pas etre une feature de securite, cela me fait rire: c'est juste pour embeter les utilisateurs alors?
Non, c'est pour forcer les developpeurs a faire les choses correctement, a force que les utilisateurs se plaignent que leurs softs font des pop-ups regulierement, les editeurs vont devoir corriger leur bordel.
[^] # Re: Bon, plusieurs problèmes
Posté par pasBill pasGates . En réponse au journal Serveurs de fichiers. Évalué à 1.
Ben tu vas me montrer une implementation SMB2 qui le faisait il y a 3 mois alors ?
Non mais n'importe quoi ... OpenAFS est un projet qui se développe depuis presque dix ans avec une jolie quantité d'utilisateurs[1]. Ça fait environ 5 ans que la version Windows existe. Donc depuis 5 ans des gens perdent des données ? Et personne ne c'est rendu compte ?
Ou alors "extrêmement fréquent" c'est un terme qui veut "presque jamais".
Jolie quantite d'utilisateurs ? Moi quand je vois leur liste je vois que c'est minuscule, c'est genre 10'000 utilisateurs. MS a lui tout seul en interne a 10x ca.
Quand au fait que personne ne s'en rendait compte, c'est justement ce que je te dis, ca fait peur, car OUI ecrire au milieu d'un fichier est une operation extremement courante, tu prends Office par exemple, il fait ca constamment, les softs qui jouent avec la video et autres mp3 aussi(c'est des frames ecrites les unes apres les autres le plus souvent, suffit de les rajouter/couper), etc...
Il est assez clair que ce FS est :
a) pas teste pour servir de FS generaliste
b) utilise en pratique dans des scenarios tres limites(tu vois les noms des utilisateurs, c'est tres oriente recherche)
PS: Généralement les programmes lisent le fichier en entier en mémoire et ré-écrivent le fichier complet (oui sauf les bases de données, mais ça c'est explicitement statuer qu'AFS ne convient pas pour les bases de données, et sauf peut-être les applications multimédia, mais la taille des fichiers ne convient pas à un système de fichier réseau).
Non certainement pas, je t'ai donne une liste plus haut, il y en a plein d'autres, et c'est encore plus justifiable en reseau, parce que reecrire tout le fichier est plus lent qu'en reecrire une partie. Sinon, les fichiers multimedia c'est certainement pas un probleme pour un systeme de fichiers reseau, on n'est plus a l'epoque des reseaux 10mb/s hein, on a ca en interne depuis des annees ici et ca marche tres bien.
[^] # Re: Bon, plusieurs problèmes
Posté par pasBill pasGates . En réponse au journal Serveurs de fichiers. Évalué à 3.
Une étude du code peut aussi permettre de trouver le bug.
Oui tout a fait, le truc etant que par experience, le fuzzing a bcp plus de chances de trouver ce genre de problemes que les revues de code.
Au passage, il est beaucoup plus facile de détecter un crash de tout le système qu'une corruption de fichier, donc je ne m'avancerai ni d'un côté ni de l'autre pour dire qu'un problème est plus excusable que l'autre.
Detecter le crash certainement, le probleme, c'est le creer quand tu ne sais pas ce apres quoi tu cours.
[^] # Re: Bon, plusieurs problèmes
Posté par pasBill pasGates . En réponse au journal Serveurs de fichiers. Évalué à 0.
On compare le probleme :
a) OpenAFS sur Windows :
Un soft qui ouvre un fichier et qui ecrit dedans a un offset autre que multiple de 4Ko corrompt le fichier
--> Scenario extremement frequent que nombre de softs font (edition d'attributs, remplacement d'elements, etc...)
Si ils n'ont pas trouve ce bug, c'est donc qu'ils n'ont jamais teste que la version Windows pouvait correctement modifier le contenu d'un fichier
b) SMB2 :
Un paquet structure de maniere invalide, mais dont le format est tres specifique, n'est pas gere correctement et crashe le systeme
--> Trouver ce probleme implique de tester (et donc generer) une variete enorme de traffic non-valide sur un protocole complexe, et esperer que le cas precis est parmis eux
[^] # Re: Bon, plusieurs problèmes
Posté par pasBill pasGates . En réponse au journal Serveurs de fichiers. Évalué à 0.
Tu me montres comment SMB2 perd tes donnees en usage normal ? Ca m'interesse.
ou sinon un bête rsync (qui demande un peu plus de mise en oeuvre), en plus de samba permettant d'avoir une solution interopérable, même avec des postes-clients sous un OS défaillant.
Personne t'oblige a utiliser Linux hein. (les phrases stupides ca peut aller dans les 2 sens tu sais)
[^] # Re: Bon, plusieurs problèmes
Posté par pasBill pasGates . En réponse au journal Serveurs de fichiers. Évalué à 3.
Je l'ai bien remarque oui, et je me demandes comment un truc aussi gros a mis aussi longtemps a etre demasque, ce qui me fait dire que leurs procedures de test ne sont pas au point et qu'il est peu utilise. Parce que pour le demasquer il n'y avait rien de specifiquement exotique a faire hein, des softs qui ecrivent ailleurs qu'a un offset de 4K c'est hyper frequent(suffit qu'un soft update un fichier a un offset particulier plutot qu'en creer un).
- je relevais que ce point n'a pas été traité avec le sérieux approprié (àmha) par ta société qui propose d'acheter ou de migrer vers la dernière version ou de se passer de la fonctionnalité pour ne plus être exposé (ce qui n'est pas ce qui est attendu par des clients qui paient et attendent une réponse appropriée pour _leur_ cas, dans des délais raisonnables)
Ah bon j'etais pas au courant ? Le patch sur lequel on bosse doit etre uniquement dans mon imagination alors.
Sur http://www.openafs.org/pipermail/openafs-announce/2009/00030(...) tu vois que le souci 1 est corrigé par la nouvelle version (et touchait tout le monde de toute façon, ça a marché jusqu'à maintenant - par chance peut-être - pourquoi ça ne marcherait plus ?) et que le problème 2 ne touche que les versions expérimentales (hypothèse que j'avais prise, une version stable ou de maintenance étant moins risquée pour utilisation en prod' àmha, ce en quoi j'avais raison).
J'ai bien compris qu'ils l'ont corrige merci, le probleme c'est que ce probleme ait tout simplement existe. C'est un FS hein, l'ecriture des donnees c'est genre sa fonction principale avec la lecture. C'est un bug enorme, le fait qu'ils s'en soient rendu compte que maintenant ne donne certainement pas confiance vis a vis du logiciel, le recommander comme solution pour assurer la sauvegarde de donnees c'est pas franchement une bonne idee si tu veux mon avis.
[^] # Re: il est ou le blog de icaza ?
Posté par pasBill pasGates . En réponse au journal La réponse de Miguel de Icaza à Richard Stallman. Évalué à 0.
[^] # Re: il est ou le blog de icaza ?
Posté par pasBill pasGates . En réponse au journal La réponse de Miguel de Icaza à Richard Stallman. Évalué à -6.
Vraiment ? C'est drole, parce que MS a un nombre de brevets faramineux, notamment sur les web services, sur OpenXML, etc... et ces brevets sont utilisables par les projets libres sur ces technos.
Pour rigoler, on devrait comparer le nombre de développeurs qu'IBM et Microsoft paient pour faire du logiciel libre, le fric dépensé sur des projets libres, la stratégie adoptée vis à vis du libre, de la publicité générée autour du libre (ou plutôt du FUD dans le cas de Microsoft, Get the facts ou les éructations de Monkey boy Ballmer) etc ... Après on s'étonne encore de la différence de traitement.
Mais on s'en fout un peu de ca, c'est pas le sujet. Pourquoi donc est-ce que le bras droit d'IBM pourrait cacher ce que fait le bras gauche d'IBM ?
[^] # Re: Bon, plusieurs problèmes
Posté par pasBill pasGates . En réponse au journal Serveurs de fichiers. Évalué à 1.
Oh c'est sur que je la ramenes, entre un bug quand tu envoies qqe chose de malforme et un FS qui n'ecrit pas correctement des donnees il y a un monde de difference.
Pour OpenAFS, tu parles d'une version de développement si tu avais quoté les bonnes parties :
1.5.65 is also the most recent in the series of releases intended to provide new experimental features
Il y a une version 1.4.11 http://www.openafs.org/release/latest.html qui correspond à la version stable (moins risquée).
C'est quelle partie de Due to data loss issues present in all versions of OpenAFS prior to 1.5.62 que tu as ratee ?
(*) http://linuxfr.org//~Dabowl_92/28752.html ya pas à dire SMB2 : vous l'éteignez pour ne pas être vulnérable, c'est pratique pour un serveur de fichiers (à fuir... pas mal d'entreprises n'étant pas en seven encore...). Pratique pour ceux ayant migré prématurément en vista...
Et quand Apache(ou autre soft) il est vulnerable, tu fais quoi pour pas etre vulnerable a par l'eteindre ? Surtout que cela n'empeche absolument pas l'echange de fichiers vu que SMB1 est encore la.
Mais bon, j'oubliais qu'il est absolument impensable d'oser critiquer un projet libre sans se prendre qqe chose en retour, j'ai blesse l'amour propre de certains visiblement en signalant un probleme dans un projet libre !
[^] # Re: Bon, plusieurs problèmes
Posté par pasBill pasGates . En réponse au journal Serveurs de fichiers. Évalué à -2.
Euh ouais...
Due to data loss issues present in all versions of OpenAFS prior to 1.5.62 and believed to be in IBM AFS, all Windows users are urged to upgrade.
On va dire que ca donne pas super confiance...
[^] # Re: il est ou le blog de icaza ?
Posté par pasBill pasGates . En réponse au journal La réponse de Miguel de Icaza à Richard Stallman. Évalué à -4.
[^] # Re: il est ou le blog de icaza ?
Posté par pasBill pasGates . En réponse au journal La réponse de Miguel de Icaza à Richard Stallman. Évalué à -2.
[^] # Re: Sécurité
Posté par pasBill pasGates . En réponse à la dépêche Revue de presse de l'April pour la semaine 39. Évalué à 1.
Avec sudo, tu n'est sous root que lorsque tu le demandes. Un bogue dans oowriter n'est pas aussi dangereux car tu ne le lances pas en root... Bref, le risque de faire des conneries sur le système est bien moindre.
a) Mais pourquoi compares tu un compte admin sous Windows a un compte non-admin sous Linux ? UAC est l'equivalent de sudo dans les comptes non-admin Windows, ca ne manque pas
b) Je t'ai montre par A+B que si le compte peut utiliser sudo, alors au final ca revient au meme. On s'en fout que oowriter ne tourne pas en root, si il permet d'inserer le malware sur le compte utilisateur les carottes sont cuites, au prochain sudo le malware passera root.
Que tu t'en fiches, je le comprends bien mais moi pas. Techniquement c'est faisable mais cela n'a pas encore été fait et surtout, cela ne toucherait en général qu'une personne et il s'agit de modifier des fichiers de scripts lisibles par l'homme.
Ca n'a pas encore ete fait ? Mais tu reves mon cher, ca se fait depuis longtemps, je l'ai pas inventee cette technique !
Quand a toucher une personne, une fois que le malware a le mot de passe, il passe root et c'est toute la machine qui est verolee.
[^] # Re: Sécurité
Posté par pasBill pasGates . En réponse à la dépêche Revue de presse de l'April pour la semaine 39. Évalué à 1.
Que tu l'aies vu ou pas, on s'en fiche un peu, techniquement c'est clair et net.
Il y a donc plus qu'une nuance entre un clic sur une page web et t'es mort et une attaque en plusieurs étapes qui nécessite d'aller changer le fichier bashrc...
Vraiment ? C'est quoi la difference entre editer le fichier .bashrc et s'ajouter dans les entrees de la base de registre ? Aucune, si tu regardes les malware sous Windows ils sont presque tous du type suivant : shellcode execute dans une appli vulnerable (Firefox, IE, ...) qui downloade depuis le web un soft et l'execute.
Serieusement, c'est quoi la complexite d'ecrire un soft qui edite .bashrc, change $PATH, ... ? Aucune, un newbie peut le faire. Tout le boulot est dans le shellcode.
Cela dis, mes utilisateurs ne sont pas sudo, ni moi. Je fais un su pour passer sur un autre compte qui est lui sudo ! Mais ton attaque marche aussi avec su... Bref, ton attaque est générique et marche sur tout OS tant que l'OS ne fait pas un contrôle "NOM de l'exécutable / checksum" et n'interdit pas les doublons dans les noms des binaires.
Tout a fait, j'ai jamais dit que c'etait limite a Linux, mais elle montre bien a quel point sudo n'amene aucune securite.
[^] # Re: Sécurité
Posté par pasBill pasGates . En réponse à la dépêche Revue de presse de l'April pour la semaine 39. Évalué à 1.
Mais mon cher, c'est parce que tu n'as aucune experience en securite que tu crois que c'est different.
Un malware entre sur le compte utilisateur sous Linux.
Ce malware :
- change le $PATH et mets son sudo a lui qui prend ton mot de passe au debut de la liste
- se relance au login de l'user pour survivre reboots et shutdowns
- executes le sudo original pour ta commande lorsque tu lances un sudo histoire que tu ne remarques rien
Hop, il a le mot de passe, il peut lancer le sudo qu'il veut, et il y a largement assez de softs sudo-enabled pour prendre le controler du systeme.
Un compte utilisateur qui a des privileges sudo, au final c'est pas different d'un compte admin, tu finiras bien a un moment par faire ton sudo, et a ce moment tu l'auras profond.
Le seul effet de sudo par rapport a un compte admin c'est de retarder l'infection un peu.
[^] # Re: Autre Question Bête
Posté par pasBill pasGates . En réponse au journal OpenGL 3.0 encombré de brevets. Évalué à 2.
Je me demande si tu sais de quoi tu parles. La XBox 360 utilise DirectX 9, a l'epoque ou la XBox 360 est sortie, DirectX 10 et 11 n'existaient pas, je vois mal comment elle aurait pu les utiliser. D'ailleurs DirectX 11 ajoute plusieurs features qui sont assez directement en relation avec la XBox 360.
Les softs pour Surface quand a eux ont 2 plateformes de developpement : WPF et XNA, qui sont les 2 bases sur DirectX
[^] # Re: Les pays avec brevets logiciels...
Posté par pasBill pasGates . En réponse au journal OpenGL 3.0 encombré de brevets. Évalué à 2.
[^] # Re: La SARD?
Posté par pasBill pasGates . En réponse au journal Répartition d'une licence global. Évalué à 2.
Ben pas vraiment, il y a des proxys pour ca...
Vu le nombre de personne qui pourrait être concerné (qq millions) est-ce que ce genre de triche pourrait être significatif dans les chiffres ?
Est-ce qu'il n'existe pas des méthodes issue de la lutte anti-spam par courrier et dans les commentaires qui peuvent être appliqué ici ?
J'imagines que si chaque personne a un certificat et qu'il doive signer ses stats ca pourrait rendre la chose plus dure, mais va obliger tout le monde a recevoir un certificat, et empecher la distribution de certifs. bidons... pas simple comme probleme...
[^] # Re: Sécurité
Posté par pasBill pasGates . En réponse à la dépêche Revue de presse de l'April pour la semaine 39. Évalué à 2.
C'est peu gratifiant pour apache de souligner qu'il est possible de se retrouver troué plus souvent en étant testé moins souvent. Après tout dépend de la gravité des failles et du temps où l'on reste sans patch correctif.
Oui c'est possible, mais quand on regarde les softs de tout genre, on se rend compte que plus ils gagnent en popularite, plus on trouve de failles dedans(Firefox, Mac OS X, Linux, ...), ca touche trop de softs pour etre du au hasard.
[^] # Re: Sécurité
Posté par pasBill pasGates . En réponse à la dépêche Revue de presse de l'April pour la semaine 39. Évalué à 1.
https://help.ubuntu.com/community/RootSudo
Isn't sudo less secure than su?
The basic security model is the same, and therefore these two systems share their primary weaknesses. Any user who uses su or sudo must be considered to be a privileged user. If that user's account is compromised by an attacker, the attacker can also gain root privileges the next time the user does so. The user account is the weak link in this chain, and so must be protected with the same care as root.
Le compte admin sous Windows d'un point de vue securite est equivalent a un user avec sudo sous Linux.
[^] # Re: Sécurité
Posté par pasBill pasGates . En réponse à la dépêche Revue de presse de l'April pour la semaine 39. Évalué à 1.
Sinon, desole mais c'est pas le meme marche du tout meme si techniquement ca a des ressemblances, les possibilites entre une appliance et un serveur ne sont pas du tout les memes, tu n'as que tres tres peu de controle sur l'appliance, pas de support de l'OS similaire, etc...
C'est pas par hasard que les routeurs ne sont pas dedans non plus, parce que bon, un routeur tu peux aussi faire ca avec un PC hein, tu peux meme diriger une machine a cafe avec un PC si tu veux.
[^] # Re: Sécurité
Posté par pasBill pasGates . En réponse à la dépêche Revue de presse de l'April pour la semaine 39. Évalué à 2.
Ben non, car ce n'est pas le meme marche, ca c'est pour les OS embarques (ou Linux ecrase WinCE de ce que j'en sais)
[^] # Re: Sécurité
Posté par pasBill pasGates . En réponse à la dépêche Revue de presse de l'April pour la semaine 39. Évalué à 1.
[^] # Re: Sécurité
Posté par pasBill pasGates . En réponse à la dépêche Revue de presse de l'April pour la semaine 39. Évalué à 2.
On new installations, by default, the first user account created is a local administrator account in Admin Approval Mode (UAC enabled). All subsequent accounts are then created as standard users.
Tu m'expliques ce qu'il y a de problematique dans la config par defaut ?
Tout comme sous Linux il faut un admin, le 1er compte cree, ensuite par defaut tous les autres sont des users standard, tout ce qu'il y a de plus normal.
[^] # Re: Sécurité
Posté par pasBill pasGates . En réponse à la dépêche Revue de presse de l'April pour la semaine 39. Évalué à 1.
Tu penses ? T'as remarque que la plupart des applications metiers(compta, etc...) existent sous Windows et pas sous Linux ? C'est pas par hasard...
Sinon, 8000 CPUs c'est gros mais pas si enorme, quand je regardes notre boite, on a dans les 300'000 machines, et c'est sans compter les datacenters de Bing/Hotmail/...
[^] # Re: Sécurité
Posté par pasBill pasGates . En réponse à la dépêche Revue de presse de l'April pour la semaine 39. Évalué à 1.
Quand a UAC ne pas etre une feature de securite, cela me fait rire: c'est juste pour embeter les utilisateurs alors?
Non, c'est pour forcer les developpeurs a faire les choses correctement, a force que les utilisateurs se plaignent que leurs softs font des pop-ups regulierement, les editeurs vont devoir corriger leur bordel.