C'est sûr qu'avec les 42 redémarrage à chaque mise à jour ça n'aide pas....
On devrait faire un site Get The Facts... enfin non même pas besoin, ils se décrédibilisent eux-mêmes :)
Il n'y a qu'un redemarrage.
En parlant de get the facts, tu devrais penser a regarder dans le miroir.
Quand au probleme de Skype, le probleme etait chez eux, rien a voir avec les patchs de MS qui sortent depuis longtemps et qui n'ont jamais provoque de probleme jusque la.
C'est pour voir ce qu'il fait avec sa machine, vu qu'il a ete condamne pour piratage ils veulent s'assurer qu'ils ne s'y remet pas durant sa periode probatoire.
Le gars a un bracelet electronique, donc ils savent parfaitement ou il se trouve.
L'exemple parlait du shell win32 qui a affecté à la fois IE et Firefox. On retrouve une tonne d'exemples liés uniquement aux librairies de windows tels que les curseurs .ani, les fichiers .wmf, le problème de shell win32, les macros office, qui dénotent un problème de design
Et tu fais quoi des exemples qui sont Unix only ? Tu les oublies ?
On devrait donc s'attendre à voir 5% du nombre de virus de la plateforme la plus populaire ?
Justement non, car personne ne va faire l'effort pour 5% quand il peut faire le meme effort et atteindre 90% du marche
On parlait de gcc et des distributions Linux là. Windows utilise un compilateur et des technologies de protections analogues, mais bien différentes.
Ah ben tu vas pouvoir m'expliquer la difference alors...
Tu as quoi à lui reprocher exactement ? Tu voulais un exemple, le voilà.
Il rend l'utilisation d'un desktop assez lourde car il doit etre configure pour chaque soft et creer la bonne config pour chaque soft sans qu'il soit trop limitatif c'est hyper lourd.
Pas vraiment, car Linux n'a pas les mêmes impératifs de compatibilité que windows (16 bit, etc). Les apis changent et les appels systèmes aussi. C'est bien ce que l'exemple de la librairie wmf a montré.
Ben dis moi donc quand est-ce que zlib a ete completement recodee pour la derniere fois ? Parce qu'il y en a eu plusieurs des failles dans cette lib.
Ah oui, jamais.
libpng ? Idem
Non vraiment, tu ne sais pas de quoi tu parles, tu prends de rares exemples et tu en fais des generalites.
En grande partie oui, lorsque l'on voit à quel point OpenOffice.org s'est inspiré du design de ms-office (macros, etc). OpenOffice.org est aussi un des logiciels qui exporte sa propre librairie plutôt que d'utiliser les standards sous Linux (gtk, Qt, motif), il suffit de voir la taille du fichier d'installation pour Windows et pour Linux (~ 70 vs 100Mb)
Ben oui c'est connu, suffit d'ecrire un soft SOUS windows pour qu'il soit automatiquement mauvais, c'est inne a la plateforme.
Serieusement, t'as deja entendu parler des failles qu'il y avait dans bind, wu_ftpd et sendmail ? Parce que c'etait des softs Unix uniquement la, et ils etaient troues comme pas possible.
Faudrait penser a t'informer sur le sujet mon cher, visiblement tu extrapoles beaucoup, et dans la mauvaise direction.
ie et firefox ont tous deux utilisé une api du système permettant d'executer n'importe quoi. Les deux programmes ont du être patchés ainsi que le système d'exploitation. C'est pourtant clair, non ?
IE et Firefox ont du etre patche, pas l'OS, c'est pas par hasard que je te dis que tu ne comprend rien au probleme.
On peut t'envoyer un powerpoint spécialement écrit pour l'occasion par exemple ? Si le FBI peut le faire avec Carnivore et autres, c'est bien qu'il y a des facilités dans ce système.
Fais seulement, montre moi donc ce powerpoint qui permettrait de prendre le controle de ma machine ans que je fasse quoi que ce soit de stupide (genre permettre les macros de s'executer dans un fichier venant d'un inconnu)
Le bug est présent dans IE qui fait parti des librairies du système, et le correctif de Mozilla fut justement d'éviter la librairie du système.
IE c'est un browser web modulaire, j'ai du mal a voir en quoi il fait partie de l'OS lui-meme, d'autre part Mozilla n'utilise aucune des libs d'IE, visiblement tu n'as aucune idee de ce qu'est le probleme, tu fabules.
De plus, le fait que Microsoft ait corrigé le bug dans un service pack montre bien qu'il s'agit d'un problème avec le système d'exploitation.
Le probleme est corrige dans le service pack d'IE, pas de Windows. C'est pourtant ecrit sur la page que tu as donnee !
J'oubliais de préciser que j'ai l'installation par défaut - c'est le cas pour toi aussi je suppose ? c'est quoi ton email ? :-)
Niveau securite oui c'est l'install par defaut.
Mais tu devrais faire encore mieux, pourquoi est-ce que tu ne donnes pas ici les etapes a suivre pour prendre le controle d'un systeme Windows, disons Vista pour prendre le dernier, ou XP SP2 a jour en tirant parti d'une faille du systeme ?
J'ai hate de lire ta methode, mais qqe chose me dit que je vais attendre tres longtemps.
Alors comment expliques-tu que Slapper[1] (W32/SQLSlam-A)ait fait autant de dégâts en 2003 ?
J'imagines que tu parles de Slammer, Slapper c'est le ver pour OpenSSL.
Il n'y avait pas d'auto-update pour SQL Server a l'epoque, auto-update fut un des enseignements : les gens ne s'interessent pas a la securite et ne se renseignent pas, il faut leur amener l'information et rendre l'installation la plus simple possible, c'est maintenant fait.
Une première explication peut sans doute venir du fait qu'il faille installer tout un Service Pack, le SP3 pour corriger la faille.
Et bien non, justement, le bogue de Mozilla montre justemement qu'un programme écrit de façon portable présente plus de problèmes de sécurité (shell windows) sous Windows que sur les autres systèmes.
"This vulnerability can only be exploited on Unix / Linux based environments."
Ah ben faut croire qu'il y a un probleme de design dans Unix mon cher... Et pourtant non, mais plutot qu'analyser le probleme tu preferes ne rien en savoir et faire des jugements a l'emporte piece.
Tu peux quantifier peut-être ?
Certainement moins de 5% du marche desktop
Genre AppArmor ? Ensuite le fait d'avoir à peu près le même compilateur ne garantit pas d'avoir le même code machine et d'obtenir des exploits portables.
Windows 2000, XP, 2003 et Vista n'utilisent pas la meme version de compilo et il y a qqe differences dans les options, mais le code genere est tellement proche de toute facon que ca n'interfere que peu. C'est vraiment pas un probleme.
Quand a AppArmor, j'attends toujours de le voir sur un systeme desktop sans hurlements de la part des utilisateurs.
Pour en revenir aux exemples que j'ai donné, le problème de sécurité de Mozilla démontre de façon claire qu'un programme ayant pour but la portabilité présentera des problèmes plus importants sur Windows que sur Linux (et autres systèmes de type Unix).
Non tu n'as rien montre du tout, tu as pris un exemple, sans comprendre le probleme, affirme que le probleme etait du a Windows et tu essaies de faire croire que tu as demontre qqe chose.
Je t'ai donne plus haut un exemple qui montre _exactement l'inverse_, un bug dans Mozilla qui ne se produit que sur des Unix et qui met ta soi-disant demonstration au placard.
L'exploit des wmf provient de fonctionnalités antiques de windows permettant entre autre d'installer des programmes. En pratique, les programmes sont fait pour éviter l'exécution de code arbitraire, et le vieux code sous Linux disparaît très rapidement, par exemple les librairies Qt3-compat ont pratiquement disparu de la version beta de Kde4.
Ca aussi c'est des conneries, du code antique dans Linux il y en a a la pelle comme dans les autres OS, personne ne s'amuse a reecrire le code just pour s'amuser. Prendre un exemple et extrapoler au systeme entier c'est pas une demonstration.
Enfin, le cas d'OpenOffice.org est un petit peu spécial, car il s'agit d'un programme proprio conçu pour windows qui a été porté puis libéré, et qui évolue relativement lentement - une exception vis à vis des programmes et librairies du monde open-source.
Bah oui hein, le fait qu'il ait existe sous Windows explique tout n'est ce pas ? C'est si difficile que ca de te rendre a l'evidence ?
OO c'est un des softs phares du LL, qui evolue bien plus vite que le reste car il y a bcp plus de ressources injectees que la plupart des autres softs du monde libre(tout comme Firefox), dire le contraire c'est se voiler la face.
Je trouve assez amusant que le type d'erreur en question n'existe que sur ladite plateforme. Note: l'exploit a d'abord été découvert pour IE, puis on s'est aperçu que Firefox avait copié - il s'agit bien d'un problème de fonctionnalités.
Vu que la fonctionnalite n'existe que sur cette plateforme c'est tout a fait normal, il y a de nombreux bugs qui ne se retrouvent que sur des Unix, ca ne signifie en rien que le probleme est du a l'OS. Le correctif est dans le browser, preuve que le probleme est dans le browser.
Preuve que non, dès lors que la librairie en question fait parti du système d'exploitation et qu'il s'agit d'une fonctionalité du système:
Vois pas le rapport, un bug dans la libc ca veut dire qu'il y a un probleme dans le design du systeme ? Bien sur que non.
Plutôt que de lancer des grandes phrases, tu peux m'infecter avec un virus stp ? Mon poste est sous Linux avec Suse 10.2, et j'utilise Kmail :-)
Super, et le mien sous Windows, tu peux essayer, personne n'y est encore arrive.
Ah mais... si j'ai une image VMWare avec disons Suse dedans, en theorie je peux lancer la meme image 200 fois voire plus en meme temps, je peux voter 200 fois ? :)
Contradiction, pour qu'un virus se propage, il faut bien que cela se fasse de façon facile et automatique.
Une fois qu'un codeur l'a fait, c'est automatique et facile. L'ecrire la premiere fois prend de l'effort, le lancer et le voir se propager ca prend rien du tout.
Exact, sous windows on n'a pas vraiment besoin d'exploits, il suffit de profiter des erreurs de programmation liées à la complexité du système (exemples de l'exécution de programmes par la librairie wmf, des problèmes de mozilla avec le shell win32, et d'outlook express qui execute du code automatiquement).
Je te l'ai montre plus haut, Linux souffre des memes maux, quand a mettre la faute du probleme de Mozilla sur l'OS, je trouves ca assez rigolo, c'est si dur que ca d'accepter qu'un soft libre a fait une erreur ? Tes histoires de complexite du systeme sont du vent, plutot que lancer des grandes phrases, pourquoi est-ce que tu ne donnes pas des exemples precis ou le systeme est trop complexe ? (a differencier d'une erreur de codage, ce qui arrive chez tout le monde, comme dans le cas du WMF ou ils ont oublie de faire une verification et dans le cas de Mozilla ou ils lancent n'importe quel handler sans verifier ce qu'il est)
Les exploits c'est pour les vers, pas les virus, l'argument est donc de toute façon un peu hors sujet à la base.
Pas vraiment, ou est la limite entre un ver et un virus ? Si un virus passe par une faille de ton systeme et s'incruste dans tes fichiers, tu appelles ca comment ? ver ou virus ?
Encore une affirmation gratuite (sans fondement technique), qui rappelle le message sur l'absence de diversité des distributions Linux.
Non c'est une realite, plus il y a de portes, plus il y a de possiblites d'entrer, ca coule sous le sens.
Par exemple, le programme openssh est divisé en deux parties, dont une qui surveille l'autre. En cas d'exploit, la partie sensible est immédiatement stoppée. Autre exemple, la compilation des programmes C avec protection de pile (noexec) , ou les pages non exécutables.
Super, noexec et les pages non executables ca s'evite mon cher, pas facile mais faisable. (en notant que ces 2 elements sont presents sous Windows, ca n'arrete pas les exploits).
Le code source des logiciels libres étant public, n'importe qui peut l'auditer. De nombreux bugs mineurs et inexploitables sont corrigés de cette manière. Au contraire, quand Microsoft publie un bulletin de sécurité, seuls les failles critiques et exploitables sont notifiées. J'ai bien l'impression que de très nombreux bugs (failles inexploitables) sont marqués comme « faille de sécurité ». Je le sais car je suis à l'auteur de quelques bulletins de sécurité.
Tu regardes le graphe des vuln. et tu verras que simplement en gardant les vulnerabilites severes, Linux en a plus.
Quand a marquer des bugs simples comme failles, autant je peux imaginer que certains auteurs de softs le fassent, autant j'ai enormement de mal a imaginer Redhat faire ca, notamment car ils ne vont certainement pas forcer leurs utilisateurs a upgrader leurs softs(et tous les tests que cela signifie) pour un simple bug.
Si Redhat/Suse/... sortent un patch de securite, c'est qu'il y a un reel risque, tout comme chez MS.
Si elles ne sont pas connues on ne les patche pas evidemment, mais fort est ce constater que des failles non connues il y en a ou peut y en avoir dans les 2 systemes, bref ca s'equilibre.
Ben si il avait lu la methodologie employee il aurait vu qu'il y a 2 graphes : un avec tous les elements de la distrib, et un autre avec uniquement les elements qui ont un equivalent dans Windows.
A) Idem sous Windows, c'est pas vraiment un probleme d'habitude
B) Parce que Linux c'est toujours une part infinitesimale du marche
C) Une fois la consolidation faite, ca sera le meme compilo, a peu pres les memes versions, ... et noexec il est sympa mais sur un systeme desktop grand public j'ai hate de voir
Ces problèmes de conception sont absents des programmes et des bibliothèques open-source, excepté pour le cas d'OpenOffice.org (macros). Il y a bien une protection intrinsèque à utiliser Linux et autres systèmes libres.
Quedalle, la 1ere est dans Mozilla, la derniere a des equivalents dans OpenOffice, reste celle de WMF qui est un format d'image, et dieu sait combien de failles ont ete trouvees dans libjpg, zlib, ... qui sont utilisees par les differents viewers sous Linux
Plus il y a de vulnirabilités qui ont été corrigé, plus la sécurité dudit système d'exploitation est considéré comme faible Oo.
Autant dire qu'il y a un sérieux, très sérieux problème de logique.
Non c'est tout a fait logique. Plus il y a de vulnerabilites, plus ton systeme a eu de failles.
En plus, ils oublient par magie que le système de corrections des distributions est universel a tout les logiciel, quand Microsoft ne corrige que Microsoft.
Gni ? Il compte les patchs que Redhat distribue pour Redhat, qu'Ubuntu distribue pour Ubuntu, il ne les additionne pas tous ensemble.
UPDATE 03/29/2007] Ubuntu 6.60 LTS. Stats for Ubuntu will include the default client installation software (not the server CD), excluding packages that do not have equivalents on Windows, such as bittorrent, evolution, gimp, openoffice and thunderbird.
[UPDATE 03/29/2007] Novell SLED10. Stats for SLED 10 will include the default set of packages, excluding packages that do not have equivalents on Windows, such as gimp, ImageMagick, mono and openoffice.
Red Hat Enterprise Linux 4 AS (rhel4as). Stats for rhel4ws will include only the minimum required installation group packages, plus the package groups necessary to build basic server configurations: file server, print server, network server, and basic web server. X-Graphics, Gnome, Firefox, OpenOffice, Sound-n-Video and other optional packages are explicitly excluded from analysis in order to grant Red Hat the benefit of the doubt for its modularity. MySQL is also excluded since Windows Server does not ship with SQL Server included.
Cette étude ne parle pas d'attaques, elle dit que IIS sert deux fois plus de malware qu'Apache. Pour qu'un serveur Web serve des malware, il faut qu'il (ou le serveur) ait été compromis ou que l'admin les ait mis sciemment sur son site...
Tout a fait
Et puis d'un côté tu dis que plus on a de parts de marchés, plus on est attaqué, de l'autre tu dis que l'étude montre qu'Apache est moins attaqué. Faudrait savoir...
Apache est probablement plus attaque qu'IIS, le truc c'est qu'IIS il tourne sous Windows. Comme montre plus haut, il n'y a pas vraiment de failles (connue du moins) utilisable dans IIS pour entrer, il est donc probable que l'intrusion soit faite d'une autre maniere.
Si c'est le serveur (pas Web) qui a été compromis, ça veut dire que MS Windows/IIS est plus vulnérable que {Linux/xBSD/MS Windows/etc.}/Apache. Le dénominateur commun c'est MS Windows, pas très glorieux non plus...
Si tu regardes le graphe de Google au bas de la page, tu verras que la part des IIS infectes dans les pays de l'ouest est plus petite que la part de marche d'IIS proportionellement. Par contre en Chine/Coree du Sud c'est l'inverse, quasiment tous les serveurs infectes sont sous IIS.
Google donne une partie de l'explication.
We suspect that the causes for IIS featuring more prominently in these countries could be due to a combination of factors: first, automatic updates have not been enabled due to software piracy (piracy statistics from NationMaster, and BSA), and second, some security patches are not available for pirated copies of Microsoft operating systems. For instance the patch for a commonly seen ADODB.Stream exploit is not available to pirated copies of Windows operating systems.
# Comme d'hab
Posté par pasBill pasGates . En réponse au journal Skype était HS, la faute à qui?. Évalué à 3.
On devrait faire un site Get The Facts... enfin non même pas besoin, ils se décrédibilisent eux-mêmes :)
Il n'y a qu'un redemarrage.
En parlant de get the facts, tu devrais penser a regarder dans le miroir.
Quand au probleme de Skype, le probleme etait chez eux, rien a voir avec les patchs de MS qui sortent depuis longtemps et qui n'ont jamais provoque de probleme jusque la.
[^] # Re: Idée de soft
Posté par pasBill pasGates . En réponse au journal Condamné à utiliser Windows. Évalué à 4.
Le gars a un bracelet electronique, donc ils savent parfaitement ou il se trouve.
[^] # Re: mouais
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à 1.
Et tu fais quoi des exemples qui sont Unix only ? Tu les oublies ?
On devrait donc s'attendre à voir 5% du nombre de virus de la plateforme la plus populaire ?
Justement non, car personne ne va faire l'effort pour 5% quand il peut faire le meme effort et atteindre 90% du marche
On parlait de gcc et des distributions Linux là. Windows utilise un compilateur et des technologies de protections analogues, mais bien différentes.
Ah ben tu vas pouvoir m'expliquer la difference alors...
Tu as quoi à lui reprocher exactement ? Tu voulais un exemple, le voilà.
Il rend l'utilisation d'un desktop assez lourde car il doit etre configure pour chaque soft et creer la bonne config pour chaque soft sans qu'il soit trop limitatif c'est hyper lourd.
Pas vraiment, car Linux n'a pas les mêmes impératifs de compatibilité que windows (16 bit, etc). Les apis changent et les appels systèmes aussi. C'est bien ce que l'exemple de la librairie wmf a montré.
Ben dis moi donc quand est-ce que zlib a ete completement recodee pour la derniere fois ? Parce qu'il y en a eu plusieurs des failles dans cette lib.
Ah oui, jamais.
libpng ? Idem
Non vraiment, tu ne sais pas de quoi tu parles, tu prends de rares exemples et tu en fais des generalites.
En grande partie oui, lorsque l'on voit à quel point OpenOffice.org s'est inspiré du design de ms-office (macros, etc). OpenOffice.org est aussi un des logiciels qui exporte sa propre librairie plutôt que d'utiliser les standards sous Linux (gtk, Qt, motif), il suffit de voir la taille du fichier d'installation pour Windows et pour Linux (~ 70 vs 100Mb)
Ben oui c'est connu, suffit d'ecrire un soft SOUS windows pour qu'il soit automatiquement mauvais, c'est inne a la plateforme.
Serieusement, t'as deja entendu parler des failles qu'il y avait dans bind, wu_ftpd et sendmail ? Parce que c'etait des softs Unix uniquement la, et ils etaient troues comme pas possible.
Faudrait penser a t'informer sur le sujet mon cher, visiblement tu extrapoles beaucoup, et dans la mauvaise direction.
[^] # Re: Idée reçue à combattre
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à 1.
IE et Firefox ont du etre patche, pas l'OS, c'est pas par hasard que je te dis que tu ne comprend rien au probleme.
On peut t'envoyer un powerpoint spécialement écrit pour l'occasion par exemple ? Si le FBI peut le faire avec Carnivore et autres, c'est bien qu'il y a des facilités dans ce système.
Fais seulement, montre moi donc ce powerpoint qui permettrait de prendre le controle de ma machine ans que je fasse quoi que ce soit de stupide (genre permettre les macros de s'executer dans un fichier venant d'un inconnu)
[^] # Re: Idée reçue à combattre
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à 1.
IE c'est un browser web modulaire, j'ai du mal a voir en quoi il fait partie de l'OS lui-meme, d'autre part Mozilla n'utilise aucune des libs d'IE, visiblement tu n'as aucune idee de ce qu'est le probleme, tu fabules.
De plus, le fait que Microsoft ait corrigé le bug dans un service pack montre bien qu'il s'agit d'un problème avec le système d'exploitation.
Le probleme est corrige dans le service pack d'IE, pas de Windows. C'est pourtant ecrit sur la page que tu as donnee !
J'oubliais de préciser que j'ai l'installation par défaut - c'est le cas pour toi aussi je suppose ? c'est quoi ton email ? :-)
Niveau securite oui c'est l'install par defaut.
Mais tu devrais faire encore mieux, pourquoi est-ce que tu ne donnes pas ici les etapes a suivre pour prendre le controle d'un systeme Windows, disons Vista pour prendre le dernier, ou XP SP2 a jour en tirant parti d'une faille du systeme ?
J'ai hate de lire ta methode, mais qqe chose me dit que je vais attendre tres longtemps.
[^] # Re: mouais
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à 3.
J'imagines que tu parles de Slammer, Slapper c'est le ver pour OpenSSL.
Il n'y avait pas d'auto-update pour SQL Server a l'epoque, auto-update fut un des enseignements : les gens ne s'interessent pas a la securite et ne se renseignent pas, il faut leur amener l'information et rendre l'installation la plus simple possible, c'est maintenant fait.
Une première explication peut sans doute venir du fait qu'il faille installer tout un Service Pack, le SP3 pour corriger la faille.
Meme pas, le patch etait la : http://www.microsoft.com/technet/security/bulletin/MS02-039.(...) , pas besoin de service pack.
[^] # Re: mouais
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à 1.
http://secunia.com/advisories/16846/
"This vulnerability can only be exploited on Unix / Linux based environments."
Ah ben faut croire qu'il y a un probleme de design dans Unix mon cher... Et pourtant non, mais plutot qu'analyser le probleme tu preferes ne rien en savoir et faire des jugements a l'emporte piece.
Tu peux quantifier peut-être ?
Certainement moins de 5% du marche desktop
Genre AppArmor ? Ensuite le fait d'avoir à peu près le même compilateur ne garantit pas d'avoir le même code machine et d'obtenir des exploits portables.
Windows 2000, XP, 2003 et Vista n'utilisent pas la meme version de compilo et il y a qqe differences dans les options, mais le code genere est tellement proche de toute facon que ca n'interfere que peu. C'est vraiment pas un probleme.
Quand a AppArmor, j'attends toujours de le voir sur un systeme desktop sans hurlements de la part des utilisateurs.
Pour en revenir aux exemples que j'ai donné, le problème de sécurité de Mozilla démontre de façon claire qu'un programme ayant pour but la portabilité présentera des problèmes plus importants sur Windows que sur Linux (et autres systèmes de type Unix).
Non tu n'as rien montre du tout, tu as pris un exemple, sans comprendre le probleme, affirme que le probleme etait du a Windows et tu essaies de faire croire que tu as demontre qqe chose.
Je t'ai donne plus haut un exemple qui montre _exactement l'inverse_, un bug dans Mozilla qui ne se produit que sur des Unix et qui met ta soi-disant demonstration au placard.
L'exploit des wmf provient de fonctionnalités antiques de windows permettant entre autre d'installer des programmes. En pratique, les programmes sont fait pour éviter l'exécution de code arbitraire, et le vieux code sous Linux disparaît très rapidement, par exemple les librairies Qt3-compat ont pratiquement disparu de la version beta de Kde4.
Ca aussi c'est des conneries, du code antique dans Linux il y en a a la pelle comme dans les autres OS, personne ne s'amuse a reecrire le code just pour s'amuser. Prendre un exemple et extrapoler au systeme entier c'est pas une demonstration.
Enfin, le cas d'OpenOffice.org est un petit peu spécial, car il s'agit d'un programme proprio conçu pour windows qui a été porté puis libéré, et qui évolue relativement lentement - une exception vis à vis des programmes et librairies du monde open-source.
Bah oui hein, le fait qu'il ait existe sous Windows explique tout n'est ce pas ? C'est si difficile que ca de te rendre a l'evidence ?
OO c'est un des softs phares du LL, qui evolue bien plus vite que le reste car il y a bcp plus de ressources injectees que la plupart des autres softs du monde libre(tout comme Firefox), dire le contraire c'est se voiler la face.
[^] # Re: Idée reçue à combattre
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à 2.
Vu que la fonctionnalite n'existe que sur cette plateforme c'est tout a fait normal, il y a de nombreux bugs qui ne se retrouvent que sur des Unix, ca ne signifie en rien que le probleme est du a l'OS. Le correctif est dans le browser, preuve que le probleme est dans le browser.
Preuve que non, dès lors que la librairie en question fait parti du système d'exploitation et qu'il s'agit d'une fonctionalité du système:
Vois pas le rapport, un bug dans la libc ca veut dire qu'il y a un probleme dans le design du systeme ? Bien sur que non.
Plutôt que de lancer des grandes phrases, tu peux m'infecter avec un virus stp ? Mon poste est sous Linux avec Suse 10.2, et j'utilise Kmail :-)
Super, et le mien sous Windows, tu peux essayer, personne n'y est encore arrive.
[^] # Re: Données importantes...
Posté par pasBill pasGates . En réponse au journal Résultat du sondage DesktopLinux sur l'utilisation de Linux à la maison. Évalué à 2.
[^] # Re: Idée reçue à combattre
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à 1.
Une fois qu'un codeur l'a fait, c'est automatique et facile. L'ecrire la premiere fois prend de l'effort, le lancer et le voir se propager ca prend rien du tout.
Exact, sous windows on n'a pas vraiment besoin d'exploits, il suffit de profiter des erreurs de programmation liées à la complexité du système (exemples de l'exécution de programmes par la librairie wmf, des problèmes de mozilla avec le shell win32, et d'outlook express qui execute du code automatiquement).
Je te l'ai montre plus haut, Linux souffre des memes maux, quand a mettre la faute du probleme de Mozilla sur l'OS, je trouves ca assez rigolo, c'est si dur que ca d'accepter qu'un soft libre a fait une erreur ? Tes histoires de complexite du systeme sont du vent, plutot que lancer des grandes phrases, pourquoi est-ce que tu ne donnes pas des exemples precis ou le systeme est trop complexe ? (a differencier d'une erreur de codage, ce qui arrive chez tout le monde, comme dans le cas du WMF ou ils ont oublie de faire une verification et dans le cas de Mozilla ou ils lancent n'importe quel handler sans verifier ce qu'il est)
Les exploits c'est pour les vers, pas les virus, l'argument est donc de toute façon un peu hors sujet à la base.
Pas vraiment, ou est la limite entre un ver et un virus ? Si un virus passe par une faille de ton systeme et s'incruste dans tes fichiers, tu appelles ca comment ? ver ou virus ?
[^] # Re: Idée reçue à combattre
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à 1.
Non c'est une realite, plus il y a de portes, plus il y a de possiblites d'entrer, ca coule sous le sens.
Par exemple, le programme openssh est divisé en deux parties, dont une qui surveille l'autre. En cas d'exploit, la partie sensible est immédiatement stoppée. Autre exemple, la compilation des programmes C avec protection de pile (noexec) , ou les pages non exécutables.
Super, noexec et les pages non executables ca s'evite mon cher, pas facile mais faisable. (en notant que ces 2 elements sont presents sous Windows, ca n'arrete pas les exploits).
cf. http://www.auto.tuwien.ac.at/~chris/teaching/papers/buffer_n(...) par exemple
[^] # Re: mouais
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à 2.
- d'habitude patchees et a jour
- rarement des problemes d'interface chaise clavier
- pas de softs inutiles venant d'on ne sait ou installes
[^] # Re: Infos sur heise security
Posté par pasBill pasGates . En réponse au journal Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007. Évalué à 1.
[^] # Re: raisonnement bancal de stallman
Posté par pasBill pasGates . En réponse au journal Richard Stallman et la croyance en Dieu. Évalué à 10.
[^] # Re: Explication
Posté par pasBill pasGates . En réponse au journal Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007. Évalué à 1.
Tu regardes le graphe des vuln. et tu verras que simplement en gardant les vulnerabilites severes, Linux en a plus.
Quand a marquer des bugs simples comme failles, autant je peux imaginer que certains auteurs de softs le fassent, autant j'ai enormement de mal a imaginer Redhat faire ca, notamment car ils ne vont certainement pas forcer leurs utilisateurs a upgrader leurs softs(et tous les tests que cela signifie) pour un simple bug.
Si Redhat/Suse/... sortent un patch de securite, c'est qu'il y a un reel risque, tout comme chez MS.
[^] # Re: Explication
Posté par pasBill pasGates . En réponse au journal Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007. Évalué à -1.
[^] # Re: Explication
Posté par pasBill pasGates . En réponse au journal Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007. Évalué à 1.
[^] # Re: Explication
Posté par pasBill pasGates . En réponse au journal Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007. Évalué à 1.
[^] # Re: Explication
Posté par pasBill pasGates . En réponse au journal Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007. Évalué à 1.
Alors oui on peut chipoter et dire qu'en absolu c'est pas la meme chose, mais dans le cas present, oui c'est la meme chose.
[^] # Re: mouais
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à 3.
B) Parce que Linux c'est toujours une part infinitesimale du marche
C) Une fois la consolidation faite, ca sera le meme compilo, a peu pres les memes versions, ... et noexec il est sympa mais sur un systeme desktop grand public j'ai hate de voir
http://www.mozilla.org/security/shell.html
Ca c'est un bug dans Mozilla mon cher, ce sont eux qui ont corrige leur code, le probleme n'est pas dans Windows.
http://en.wikipedia.org/wiki/Windows_Metafile_vulnerability
http://www.f-secure.com/weblog/archives/archive-012006.html#(...)
C'est un bug comme un autre dans du code, j'ai du mal a voir en quoi ca remet en cause le design du systeme
http://www.windowsitpro.com/Articles/ArticleID/40090/40090.h(...)
Super, et OpenOffice a la meme chose : http://www.securityfocus.com/bid/18738
Ces problèmes de conception sont absents des programmes et des bibliothèques open-source, excepté pour le cas d'OpenOffice.org (macros). Il y a bien une protection intrinsèque à utiliser Linux et autres systèmes libres.
Quedalle, la 1ere est dans Mozilla, la derniere a des equivalents dans OpenOffice, reste celle de WMF qui est un format d'image, et dieu sait combien de failles ont ete trouvees dans libjpg, zlib, ... qui sont utilisees par les differents viewers sous Linux
[^] # Re: Explication
Posté par pasBill pasGates . En réponse au journal Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007. Évalué à 0.
[^] # Re: Infos sur heise security
Posté par pasBill pasGates . En réponse au journal Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007. Évalué à 4.
Le rejeter totalement sans le lire c'est un peu trop facile par contre.
[^] # Re: Explication
Posté par pasBill pasGates . En réponse au journal Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007. Évalué à -1.
Autant dire qu'il y a un sérieux, très sérieux problème de logique.
Non c'est tout a fait logique. Plus il y a de vulnerabilites, plus ton systeme a eu de failles.
En plus, ils oublient par magie que le système de corrections des distributions est universel a tout les logiciel, quand Microsoft ne corrige que Microsoft.
Gni ? Il compte les patchs que Redhat distribue pour Redhat, qu'Ubuntu distribue pour Ubuntu, il ne les additionne pas tous ensemble.
[^] # Re: Explication
Posté par pasBill pasGates . En réponse au journal Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007. Évalué à 1.
UPDATE 03/29/2007] Ubuntu 6.60 LTS. Stats for Ubuntu will include the default client installation software (not the server CD), excluding packages that do not have equivalents on Windows, such as bittorrent, evolution, gimp, openoffice and thunderbird.
[UPDATE 03/29/2007] Novell SLED10. Stats for SLED 10 will include the default set of packages, excluding packages that do not have equivalents on Windows, such as gimp, ImageMagick, mono and openoffice.
Red Hat Enterprise Linux 4 AS (rhel4as). Stats for rhel4ws will include only the minimum required installation group packages, plus the package groups necessary to build basic server configurations: file server, print server, network server, and basic web server. X-Graphics, Gnome, Firefox, OpenOffice, Sound-n-Video and other optional packages are explicitly excluded from analysis in order to grant Red Hat the benefit of the doubt for its modularity. MySQL is also excluded since Windows Server does not ship with SQL Server included.
[^] # Re: Idée reçue à combattre
Posté par pasBill pasGates . En réponse à la dépêche Les virus sous Linux. Évalué à 3.
Tout a fait
Et puis d'un côté tu dis que plus on a de parts de marchés, plus on est attaqué, de l'autre tu dis que l'étude montre qu'Apache est moins attaqué. Faudrait savoir...
Apache est probablement plus attaque qu'IIS, le truc c'est qu'IIS il tourne sous Windows. Comme montre plus haut, il n'y a pas vraiment de failles (connue du moins) utilisable dans IIS pour entrer, il est donc probable que l'intrusion soit faite d'une autre maniere.
Si c'est le serveur (pas Web) qui a été compromis, ça veut dire que MS Windows/IIS est plus vulnérable que {Linux/xBSD/MS Windows/etc.}/Apache. Le dénominateur commun c'est MS Windows, pas très glorieux non plus...
Si tu regardes le graphe de Google au bas de la page, tu verras que la part des IIS infectes dans les pays de l'ouest est plus petite que la part de marche d'IIS proportionellement. Par contre en Chine/Coree du Sud c'est l'inverse, quasiment tous les serveurs infectes sont sous IIS.
Google donne une partie de l'explication.
We suspect that the causes for IIS featuring more prominently in these countries could be due to a combination of factors: first, automatic updates have not been enabled due to software piracy (piracy statistics from NationMaster, and BSA), and second, some security patches are not available for pirated copies of Microsoft operating systems. For instance the patch for a commonly seen ADODB.Stream exploit is not available to pirated copies of Windows operating systems.
Ce qui explique la part disproportionnee d'IIS.