Tiens, pourquoi on vire les distribs ? Ce que tu dis, c'est donc « Dans 100% des cas c'est MS qui est critiqué, sauf quand ce n'est pas MS ».
La difference etant que les distribs on critique leurs produits, pas les entreprises elles-memes a de rares exceptions.
Avec MS tout est bon pour cracher sur l'entreprise, meme quand ca n'a rien a voir de pres ou de loin avec MS.
Il n'y a pas de déséquilibre étant donné le sujet du site, je suppose que tu attends le jour où il n'y aura plus aucune critique de MS; Si tu ne vois que des critiques concernant MS c'est que tu ne lis que les news concernant MS.
A premiere vue je ne suis pas le seul a avoir cette impression(cf. posts de Guillaume et autres), donc peut-etre qu'on ne lit pas le meme site.
Les prisonniers c'est la meme chose, c'est pas "joli", ca ne me plait pas personnellement, mais de nouveau c'est dans la meme logique, c'est pas illegal, ca baisse les couts, ... donc il est normal que l'entreprise le fasse, c'est ce que les actionnaires attendent d'elle.
Le reponse "MS fait comme tout le monde", elle revient sans cesse de ma part car tout simplement ici des qu'il y a une boite sur laquelle on casse du sucre, c'est MS. 95% des articles ou une societe est critiquee(a part les trolls distrib) finissent d'une maniere ou d'une autre sur une critique de MS, a croire que c'est la seule societe sur la planete qui se conduit de la sorte quand on vous lit, et c'est hyper gonflant. Que ca parle de hack d'un serveur, politique US ou autre, ca retombe toujours sur MS qui semble-t il selon ce qu'on lit ici est derriere tous les coups bas se produisant sur notre chere planete.
Alors le jour ou je verrais une critique plus balancee sur linuxfr je cesserai de revenir a la charge a chaque fois, mais tant qu'il y aura un desequilibre aussi enorme, je continuerai a faire entendre le fait que MS est loin d'etre seul en cause.
Et ? Une fois qu'on a eu accès à la machine sur laquelle ils sont et que la personne en face a pas pu les virer, qu'est ce qui empêche de les lancer ? Vas-y, dis ?
Tu gagnerais quoi a les lancer ? Tu peux browser le web et lire des e-mails avec, super, tu peux pas gagner d'elevation de privileges avec.
Pour etre clair : Si tu accedes a un compte user sous Windows et que tu lances IE/Outlook pour faire xy avec un de leur trous de securite t'iras nulle part, ils tournent avec les droits de l'user.
C'est quand même bizarre que des gens prennent la peine de se faire les serveurs de Debian ou de Gentoo et que personne ne se fatigue à coder un Blaster-like.
En 2000 personne n'attaquait Debian et Gentoo car Linux etait inexistant, aujourd'hui ca arrive. Pourtant il y avait tout autant de trous dans Linux en 2000 qu'aujourd'hui, voire plus.
Mais si TECHNIQUEMENT c'est aussi facile, POURQUOI on en voit pas sous Linux des MSBlast ? POURQUOI ? Ça fait 12 ans que le système existe, il doit bien y en avoir des trucs du même genre ! Nan ?
Oui, il y a OpenSSL qui passe par un autre trou.
Le truc etant que Linux, meme apres 12 ans, c'est meme pas 2% des systemes dans le monde, alors que Windows c'est 95%.
Tu lances un truc du genre, tu touches tres tres peu de machines.
Techniquement il y a 0 differences, meme pas 1, meme pas 0.5, il y en a 0.
En effet, my mistake. Sur SuSE. A la rigueur, là, on peut reprendre l'argument que tu avais utilisé pour Debian : c'était quoi, en 2000, la proportion de SuSE par rapport aux autres ?
Perso en 2000, tous les gens autour de moi avaient soit RH, soit Suse soit Mandrake. Debian etait reserve a une tres petite elite.
Et Suse n'etait evidemment pas la seule distrib a l'avoir par defaut.
Et donc, si on en a toujours pas vu de nos jours, c'est parce que Linux est toujours inexistant, c'est ça ?
Le ver OpenSSL est la pour prouver que Linux commence a interesser les pirates, ca vient gentiment.
Entre les sales connards dans ton genre (tu es plus visible grâce à ton nombre de posts, mais j'imagine que tu es loin d'être le seul) et le troupeau de neuneux à la discussion aussi profonde qu'un trou pratiqué à la punaise dans une dalle de béton armé, on se dépêche de retourner faire des choses constructives.
C'est clair que presente comme ca, avec une ouverture pareille aux opinions qui ne sont pas les tiennes, ca donne tout de suite envie de vivre dans un monde que tu aurais aider a modeler.
Arf. Surtout quand celui qu'on peut pas virer est complètement troué et peut servir pour un exploit, hein ? Ah ben oui, sous Linux c'est critique le do_brk(), suffit qu'une personne utilise une autre faille pour accèder à un compte et ça y est, c'est foutu, on va subir le même sort que Debian ! Mais sous Windows non, voyons, pas de problème, on peut laisser traîner en toute confiance des applis qui ont sû démontrer au fil des années leur propension notoire à se faire h4X3r. Félicitations, en quelques posts tu as réussi à perdre toute crédibilité en te contredisant toi-même.
1) do_brk te cree une elevation de privilege car c'est un system call, donc t'as acces a tout immediatement, par n'importe quel buffer overflow en appelant ce system call
2) Outlook/IE ne te donnent pas d'elevation de privilege quand tu les hacke, ils te donnent acces a l'user meme, rien d'autre
Outlook/IE peuvent etre installes, tu n'arriverais jamais a leur faire executer quoi que ce soit si tu ne les lances pas.
Donc OUI, tu peux laisser trainer IE/Outlook, si tu ne les utilises pas tu ne coures aucun risque, de meme si tu ne demarres pas OpenSSH, tu ne cours aucun risque par lui.
C'est a se demander si tu reflechis avant d'ecrire.
Ah, parce que c'est compliqué de se bouffer MSBlast ? On allume sa machine et on l'attrape, c'est pas magnifique ça ? Je vais faire comme toi avec ta super faille rpc.statd, là : et si les auteurs avaient mis un rootkit à l'intérieur, au lieu de simplement faire rebooter la machine ?
Et ? Ca dit quoi sur la complexite de hacker un Windows ou un Linux ? RIEN ! Ca veut juste dire que qq'un a pris la peine d'ecrire Blaster, et que personne n'a pris la peine de l'ecrire pour Linux.
Vas-y, dis moi TECHNIQUEMENT en quoi un Windows est plus facile a hacker, vas y, explique moi les raisons techniques que je rigoles.
Tu parles beaucoup mais tu ne montres pas grand chose. J'attends encore que tu me trouves la chose qui se propage de la même façon que MSBlast sous Linux.
J'ai pas besoin, MSBlast ne fait qu'une chose : tirer parti d'un buffer overflow pour s'introduire sur une machine et ensuite executer d'autres instructions(scanner le reseau, recommencer), tu peux faire de meme sous Linux, lancer un process qui scanne un reseau c'est pas plus dur que lancer un shell
Si tu refuses d'accepter la realite technique, tant pis pour toi.
Et en 2000, l'utilisateur lambda n'avait pas plus besoin de NFS qu'il ne l'a maintenant. Lors de l'installation du système, comme par magie, pour un desktop, NFS n'était pas installé par défaut. Toi comprendre ?
C'est pas une justification, mais c'est une conclusion.
Bcp des conneries qui arrivent dans ce monde sont dues au fait que les gens sentent que si ils ne battent pas l'autre, alors l'autre les battra.
Les exemples que tu donnes sont exactement de ce type.
Si les chaussures sont fabriquees par des enfants au Pakistan, c'est pour etre au moins aussi, voire plus rentable que la societe concurrente, sinon on risque de perdre des parts de marche.
Si on fabrique des mines, c'est parce que si on ne le fait pas, le concurrent le fera.
etc...
Le systeme capitaliste est pourri a la base, et tant qu'on ne le changera pas, les memes problemes ressurgiront.
Je suis bien d'accord avec toi, mais il faut bien comprendre que dans un systeme capitaliste, une societe se doit de ramener le rendement maximum(avec qqe contraintes quand memes).
Resultat, la logique economique l'emporte. MS utilise les outils qui lui sont donnes par la loi pour amener un rendement maximum a ses actionnaires, et c'est ce que l'on demande a toute societe. IBM, HP, et autres font de meme avec leur portfolio de brevets pour la meme raison.
Si Apple ne fait pas de meme, c'est uniquement car il ne le peut pas, pas parce qu'il ne le veut pas.
Apple utilise de standards car il sait que si il sortait une solution proprietaire, elle aurait tres peu de chances d'etre acceptee face a n'importe quel standard que MS sortirait.
De nouveau, ici c'est le systeme et le but du systeme impose a tout le monde qui est en cause, pas l'utilisation du systeme.
Si la societe essaie d'etre "socialement correcte", elle n'aura pas une rentabilite maximale, ses concurrents vont pas se gener pour faire ce qu'elle ne se permet pas et lui prendre des parts de marche, les actionnaires ne seront pas contents car ils veulent un retour sur leur investissement, le CEO se fera virer, des employes aussi pour "reduire les couts", etc...
Oui, et je sais tres bien qu'aucun constructeur ne va accepter une solution qui ne fonctionne pas avec Win9x vu que c'est encore plus de 25% du marche.
J'ai pas vraiment de competences d'administrateur et perso j'utilises internet quand je cherche comment faire qqe chose, j'ai des bouquins de developpement, mais pas d'administration donc je peux pas vraiment te filer de conseil la-dessus.
Tu m'expliques comment désinstaller Internet Explorer et Windows Media Player facilement sous Windows ? Parce que bon, quitte à utiliser un autre soft, autant récupèrer l'espace disque encombré par les autres, hein ? Ah ben non, tu peux pas.
Et ? La n'est pas la question, la question est d'utiliser ou pas d'autres softs, avoir 2 softs du meme type installes n'est pas le probleme.
Ah ça, c'est clair qu'exploiter la faille du do_brk() c'est à la portée du premier venu. Non mais tu te relis des fois ?
Ah, et tu crois qu'exploiter un buffer overflow sous Windows est plus simple ? T'as deja essaye ?
Je parles de n'importe quel trou de securite remote, le trou par les RPC compris.
Un ver ce n'est rien d'autre qu'un exploit automatise, rien de miraculeux la-dedans, tu peux faire la meme chose sur n'importe quelle plateforme.
Et pourquoi pas ? C'est quoi tes sources ?
Ce trou etait en 2000, va donc jeter un oeil sur la facilite d'utilisation de Debian par rapport a RH et Mandrake a l'epoque, tu comprendras tout seul.
Eh non, perdu, c'est un service qui vient avec NFS même sur une RH ou une Mdk ou une SuSE, et NFS l'utilisateur lambda n'en a vraiment strictement rien à foutre.
Bon on va t'aider vu que t'as du mal a lire.
http://www.cert.org/advisories/CA-2000-17.html(...) The CERT/CC has begun receiving reports of an input validation vulnerability in the rpc.statd program being exploited. This program is included, and often installed by default, in several popular Linux distributions
Je te rappelles que c'etait en l'an 2000, pas en 2003
e note ton utilisation du conditionnel. Ah ben oui, ça change tout. P'tet ben que ça aurait marché pareil que Blaster si ça avait existé, et pis p'tet ben que non.
Il n'y a pas de peut-etre, la question est: aurait-il ete possible d'ecrire un ver par ce trou de securite, et la reponse est clairement : Oui.
C'est marrant comme il ne t'es jamais venu a l'idee que l'heure n'est pas la meme a Seattle et a Paris(ou autre ville de la savane) et qu'il m'arrive de dormir, pourtant c'est pas un concept complique a comprendre.
Je ne vois pas ce qu'il y a a justifier, MS utilise ses patentes pour se faire des brouzoufs, tout comme IBM, HP, etc... font depuis des annees.
J'imagines bien que ca enrage certains vu qu'ils deviennent rouge des qu'ils entendent le mot brevet ou MS, mais ca sera pas la premiere fois qu'ils enragent.
Parce qu'un soft indépendant de l'OS, quand il est troué et qu'on le sait troué depuis des années, on peut le virer sans difficulté pour le remplacer par un autre moins troué ?
Tu m'expliques alors comment font les les gens qui utilisent Eudora ou Mozilla sous Windows ?
Magie noire ?
Et la réponse est : d'un côté tu as un OS sur lequel il faut que le gars de l'autre côté sache très précisément ce qu'il fait pour avoir son rootkit, et de l'autre un OS qui non seulement se fait trouer de tous les côtés mais en plus propage le trou partout où il peut.
Et la reponse est fausse.
1) Il n'est pas plus complique de hacker un Linux ou un Windows troue
2) Des trous il n'y en pas pas forcement plus dans Windows que dans Linux
3) Propager un trou c'est le meme topo sur Linux et Windows, quand t'es dedans tu fais ce que tu veux, cf. le ver pour OpenSSL
Je dois être aveugle, je ne vois absolument pas en quoi son mode de propagation est similaire à celui de MSBlast. De plus, on parle depuis plusieurs posts de l'utilisateur lambda, celui qui n'a aucun logiciel serveur, un seul compte sur sa machine et n'a donc qu'un risque _très réduit_ de se faire pirater via l'exploit subi par Debian. Tu peux m'expliquer en quoi un utilisateur lambda a besoin de NFS ? De plus, cette histoire de "installé par défaut", je ne sais pas ce qu'il en est pour les SuSE et les Red Hat de l'époque, mais pour la Debian, c'est du flan. J'espère que tu as un exemple un peu plus pertinent que celui-ci, parce que pour le coup, c'est un peu maigre.
On parle de l'utilisateur lambda, cet utilisateur lambda, a l'epoque il utilisait Redhat ou Mandrake, certainement pas Debian.
C'etait sur un service demarre par defaut, donc tous les utilisateurs de RH, Mdk, Suse,... etaient concernes, pas besoin d'installer NFS, le service etait deja la, et demarre par defaut.
N'importe qui aurait pu ecrire un ver qui se propage par cette porte d'entree.
Bref, la seule difference avec Blaster, c'est que qq'un a ecrit Blaster, alors que personne n'a pris la peine d'ecrire un ver pour la faille sous Linux (vu que tres peu de gens utilisent Linux).
AMHA, oui, mais ça n'engage que moi. La différence ? Windows n'est livré qu'avec outlook express, la moindre distrib a au moins une quinzaine de client mail. Donc l'utilisateur a le choix du logiciel qu'il va utiliser pour lire ses messages. Après, s'il choisit des truc pas libre et pas sécurisé, ça reste son problème, et tant pis pour lui, mais au moins au départ il a le choix ! Sous Outlook, un petit mail avec un exe ou une page html volontairement mal codée, et bing au revoir...
C'est marrant, parce que sous Windows aussi t'as le choix, tiens moi par exemple, j'utilises pas Outlook a la maison.
Et puis, c'est vrai que le DSL est tellement répandu en France, que les mises à jours via windows update sont hyper-aisées, n'est ce pas ? Quel con l'utilisateur de ne pas savoir que la première chose à faire quand on connecte son windows au net est d'aller sur update. Et c'est tellement marrant de redémarrer 15 fois sa bécane en une heure, et pour le néophite de faire les bons choix parmi toutes ces mises à jours. Car Windows s'adresse aussi au néophite, n'est ce pas ?
Ah c'est con, parce que Windows Update t'as pas besoin de savoir qu'il faut y aller, Windows y va tout seul et t'avertit quand il y a des updates. D'autre part, pas besoin de 15 reboots non plus.
T'es sur que tu connais Windows ?
Tes produits, je les connais par coeur, je les ai vendu pendant 5 ans, chez un gros assembleur du sud. Puisque mes innocentes victimes me pardonner...
Je les ai aussi réinstallé pendant 5 ans, sur les bécanes des clients parce que ça arrétait pas de planter! Et bravo pour le support en ligne sur les produits comme NT4 server ou 2000 server
Si toi tu connais nos produits par coeur, tu le montres tres tres mal.
Au fait, la faille béante RPC, vous en êtes où de sa correction ? Parce que ça fait quand même un bail que vous la trainez celle là....
Laquelle ?
Ben reste quand même une différence: y'en a un qui m'aura couté 5000 balles supplémentaires pour commencer à utiliser de façon convenable mon PC, l'autre y m'aura rien couté. Qu'un OS et des logiciels libres et gratos plantent sur ma machine, me perdent mes données, mes documents et toutes les choses précieuses que j'ai dessus(ça m'est jamais arrivé en 5 ans), j'aurai les boules, certes. Mais quand je débourse une telle somme en espèrant avoir un système stable et qu'il s'avère que c'est une m**** sans nom, instable, friande d'écran bleu, et sans garanti, excuse moi mais là y'a franchement de quoi les avoir à l'envers
C'est marrant ta description de Windows, on sent vraiment le gars qui connait Windows.
peine perdu vu que ton attitude se conforme au mot d'ordre de M$: dénigrer linux sur la sécurite
C'est marrant, tu me montres ou j'ai dit que Linux etait pire que Windows ?
Ah oui bien sur, tu ne vas pas y arriver.
Tu as juste oublie dans ta logique que je parles en general, a la vue de ce qui se passe sur a peu pres tous mes posts, je parles pas d'un post en particulier.
C'est flagrant, et je ne suis de loin pas le seul a le remarquer.
Mais quand il y a une faille dans un logiciel Adobe, est-ce qu'on accuse Microsoft, nous ? C'est très facile de ta part de clamer "haha, mais y'a des failles dans Evolution et Mutt !", alors que ce sont des logiciels complètement indépendants de l'OS (parce que oui, contrairement à ce que ta boîte voudrait faire croire, un browser web, un lecteur multimedia ou même un gestionnaire de fichiers, ça _doit_ être indépendant de l'OS).
Ah ? Et j'accuses l'OS ou moi ?
Tout ce que je dis, c'est que Linux et Windows n'ont aucune difference au niveau de la protection contre ce genre de problemes, rien d'autres.
D'autre part quel est l'interet de savoir si les softs sont independants de l'OS ou pas ?
La question est : tel OS est-il plus protege que l'autre contre ce type d'attaque. Que Mutt ou Outlook soit dans l'OS ou pas n'y change rien.
De plus, des failles, il y en a des plus difficiles à exploiter que d'autres et, comme par hasard, sous Windows on en trouve avec lesquelles il n'y a même pas besoin d'avoir un cracker de l'autre côté vu que la transmission de la chose est automatique. Si tu m'en trouves une sous Linux qui agisse de la même manière sans qu'un serveur web soit installé sur la machine, je suis tout disposé à la connaître (que je sache, on attrappait pas MSBlast à cause de IIS).
"The CERT/CC has begun receiving reports of an input validation vulnerability in the rpc.statd program being exploited. This program is included, and often installed by default, in several popular Linux distributions."
Voila je t'en ai trouve un, dans un service demarre par defaut sur plusieurs distributions comme dit plus haut, et le plus drole est que le service est le meme type de service que pour Blaster : RPC.
Tu sais comme moi que le jour ou Linux sera repandu sur les desktops, les gens utiliseront le client mail qui leur plait en se foutant totalement de la licence, regarder la licence n'avait donc ici aucune importance.
Le point etant simplement de montrer que l'OS Linux(ou GNU/Linux pour ceux qui y tiennent) n'est pas plus protege de ce type de problemes que Windows.
Ce n'est pas une histoire de libre ou pas, c'est une histoire de conception d'OS et d'applications tournant sur un OS donne, et le resultat tel que montre est que Windows et Linux sont identiques sur ces points, memes risques, memes resultats.
Et quand il y a une faille dans Mozilla, Evolution, Mutt, etc... ?
cf. plus haut pour voir que oui, il y en a, et resultat, si tu installes pas ces patchs, tu passes d'une faille limitee a ton user a une faille atteignant le systeme entier.
J'ai jamais dit que c'etait comparable a Blaster, simplement croire que parce que la faille est uniquement locale alors il n'y a pas besoin de patcher est idiot, et c'est de ca dont on parlait.
[^] # Re: Microsoft va faire payer l'utilisation du système de fichiers FAT
Posté par pasBill pasGates . En réponse à la dépêche Microsoft va faire payer l'utilisation du système de fichiers FAT. Évalué à 4.
La difference etant que les distribs on critique leurs produits, pas les entreprises elles-memes a de rares exceptions.
Avec MS tout est bon pour cracher sur l'entreprise, meme quand ca n'a rien a voir de pres ou de loin avec MS.
Il n'y a pas de déséquilibre étant donné le sujet du site, je suppose que tu attends le jour où il n'y aura plus aucune critique de MS; Si tu ne vois que des critiques concernant MS c'est que tu ne lis que les news concernant MS.
A premiere vue je ne suis pas le seul a avoir cette impression(cf. posts de Guillaume et autres), donc peut-etre qu'on ne lit pas le meme site.
[^] # Re: Microsoft va faire payer l'utilisation du système de fichiers FAT
Posté par pasBill pasGates . En réponse à la dépêche Microsoft va faire payer l'utilisation du système de fichiers FAT. Évalué à 2.
Le reponse "MS fait comme tout le monde", elle revient sans cesse de ma part car tout simplement ici des qu'il y a une boite sur laquelle on casse du sucre, c'est MS. 95% des articles ou une societe est critiquee(a part les trolls distrib) finissent d'une maniere ou d'une autre sur une critique de MS, a croire que c'est la seule societe sur la planete qui se conduit de la sorte quand on vous lit, et c'est hyper gonflant. Que ca parle de hack d'un serveur, politique US ou autre, ca retombe toujours sur MS qui semble-t il selon ce qu'on lit ici est derriere tous les coups bas se produisant sur notre chere planete.
Alors le jour ou je verrais une critique plus balancee sur linuxfr je cesserai de revenir a la charge a chaque fois, mais tant qu'il y aura un desequilibre aussi enorme, je continuerai a faire entendre le fait que MS est loin d'etre seul en cause.
# Re: Je tiens à rendre hommage au support de Redhat
Posté par pasBill pasGates . En réponse au journal Je tiens à rendre hommage au support de Redhat. Évalué à 2.
Tu es en train de remplacer ton cluster de 23523 serveurs sous Suse par une solution sous Redhat ?!
[^] # Re: Microsoft va faire payer l'utilisation du système de fichiers FAT
Posté par pasBill pasGates . En réponse à la dépêche Microsoft va faire payer l'utilisation du système de fichiers FAT. Évalué à 1.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à 1.
Tu gagnerais quoi a les lancer ? Tu peux browser le web et lire des e-mails avec, super, tu peux pas gagner d'elevation de privileges avec.
Pour etre clair : Si tu accedes a un compte user sous Windows et que tu lances IE/Outlook pour faire xy avec un de leur trous de securite t'iras nulle part, ils tournent avec les droits de l'user.
C'est quand même bizarre que des gens prennent la peine de se faire les serveurs de Debian ou de Gentoo et que personne ne se fatigue à coder un Blaster-like.
En 2000 personne n'attaquait Debian et Gentoo car Linux etait inexistant, aujourd'hui ca arrive. Pourtant il y avait tout autant de trous dans Linux en 2000 qu'aujourd'hui, voire plus.
Mais si TECHNIQUEMENT c'est aussi facile, POURQUOI on en voit pas sous Linux des MSBlast ? POURQUOI ? Ça fait 12 ans que le système existe, il doit bien y en avoir des trucs du même genre ! Nan ?
Oui, il y a OpenSSL qui passe par un autre trou.
Le truc etant que Linux, meme apres 12 ans, c'est meme pas 2% des systemes dans le monde, alors que Windows c'est 95%.
Tu lances un truc du genre, tu touches tres tres peu de machines.
Techniquement il y a 0 differences, meme pas 1, meme pas 0.5, il y en a 0.
En effet, my mistake. Sur SuSE. A la rigueur, là, on peut reprendre l'argument que tu avais utilisé pour Debian : c'était quoi, en 2000, la proportion de SuSE par rapport aux autres ?
Perso en 2000, tous les gens autour de moi avaient soit RH, soit Suse soit Mandrake. Debian etait reserve a une tres petite elite.
Et Suse n'etait evidemment pas la seule distrib a l'avoir par defaut.
Et donc, si on en a toujours pas vu de nos jours, c'est parce que Linux est toujours inexistant, c'est ça ?
Le ver OpenSSL est la pour prouver que Linux commence a interesser les pirates, ca vient gentiment.
[^] # Re: Microsoft va faire payer l'utilisation du système de fichiers FAT
Posté par pasBill pasGates . En réponse à la dépêche Microsoft va faire payer l'utilisation du système de fichiers FAT. Évalué à 2.
C'est clair que presente comme ca, avec une ouverture pareille aux opinions qui ne sont pas les tiennes, ca donne tout de suite envie de vivre dans un monde que tu aurais aider a modeler.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à -1.
1) do_brk te cree une elevation de privilege car c'est un system call, donc t'as acces a tout immediatement, par n'importe quel buffer overflow en appelant ce system call
2) Outlook/IE ne te donnent pas d'elevation de privilege quand tu les hacke, ils te donnent acces a l'user meme, rien d'autre
Outlook/IE peuvent etre installes, tu n'arriverais jamais a leur faire executer quoi que ce soit si tu ne les lances pas.
Donc OUI, tu peux laisser trainer IE/Outlook, si tu ne les utilises pas tu ne coures aucun risque, de meme si tu ne demarres pas OpenSSH, tu ne cours aucun risque par lui.
C'est a se demander si tu reflechis avant d'ecrire.
Ah, parce que c'est compliqué de se bouffer MSBlast ? On allume sa machine et on l'attrape, c'est pas magnifique ça ? Je vais faire comme toi avec ta super faille rpc.statd, là : et si les auteurs avaient mis un rootkit à l'intérieur, au lieu de simplement faire rebooter la machine ?
Et ? Ca dit quoi sur la complexite de hacker un Windows ou un Linux ? RIEN ! Ca veut juste dire que qq'un a pris la peine d'ecrire Blaster, et que personne n'a pris la peine de l'ecrire pour Linux.
Vas-y, dis moi TECHNIQUEMENT en quoi un Windows est plus facile a hacker, vas y, explique moi les raisons techniques que je rigoles.
Tu parles beaucoup mais tu ne montres pas grand chose. J'attends encore que tu me trouves la chose qui se propage de la même façon que MSBlast sous Linux.
J'ai pas besoin, MSBlast ne fait qu'une chose : tirer parti d'un buffer overflow pour s'introduire sur une machine et ensuite executer d'autres instructions(scanner le reseau, recommencer), tu peux faire de meme sous Linux, lancer un process qui scanne un reseau c'est pas plus dur que lancer un shell
Si tu refuses d'accepter la realite technique, tant pis pour toi.
Et en 2000, l'utilisateur lambda n'avait pas plus besoin de NFS qu'il ne l'a maintenant. Lors de l'installation du système, comme par magie, pour un desktop, NFS n'était pas installé par défaut. Toi comprendre ?
FAUX, il etait installe par defaut
http://www.linuxsecurity.com/advisories/suse_advisory-614.html(...)
SuSE default package: yes
C'est toi qui refuse la realite mon cher.
Ah, et les méchants pirates ne l'ont pas fait parce que Linux c'est bien et que cracker du Windows c'est plus glorieux. J'ai bon ?
Ils ne l'ont pas fait car en 2000 Linux etait inexistant.
Prouves que c'etait techniquement pas faisable, qu'on rigole.
Bref mon cher, tu as exactement 0 arguments.
[^] # Re: Microsoft va faire payer l'utilisation du système de fichiers FAT
Posté par pasBill pasGates . En réponse à la dépêche Microsoft va faire payer l'utilisation du système de fichiers FAT. Évalué à 3.
Bcp des conneries qui arrivent dans ce monde sont dues au fait que les gens sentent que si ils ne battent pas l'autre, alors l'autre les battra.
Les exemples que tu donnes sont exactement de ce type.
Si les chaussures sont fabriquees par des enfants au Pakistan, c'est pour etre au moins aussi, voire plus rentable que la societe concurrente, sinon on risque de perdre des parts de marche.
Si on fabrique des mines, c'est parce que si on ne le fait pas, le concurrent le fera.
etc...
Le systeme capitaliste est pourri a la base, et tant qu'on ne le changera pas, les memes problemes ressurgiront.
[^] # Re: Microsoft va faire payer l'utilisation du système de fichiers FAT
Posté par pasBill pasGates . En réponse à la dépêche Microsoft va faire payer l'utilisation du système de fichiers FAT. Évalué à 0.
C'est dingue les conneries qu'on peut lire ici quand meme.
Fais quand meme un peu plus d'effort pour que ca tienne au moins debout la prochaine fois.
[^] # Re: Microsoft va faire payer l'utilisation du système de fichiers FAT
Posté par pasBill pasGates . En réponse à la dépêche Microsoft va faire payer l'utilisation du système de fichiers FAT. Évalué à 1.
Resultat, la logique economique l'emporte. MS utilise les outils qui lui sont donnes par la loi pour amener un rendement maximum a ses actionnaires, et c'est ce que l'on demande a toute societe. IBM, HP, et autres font de meme avec leur portfolio de brevets pour la meme raison.
Si Apple ne fait pas de meme, c'est uniquement car il ne le peut pas, pas parce qu'il ne le veut pas.
Apple utilise de standards car il sait que si il sortait une solution proprietaire, elle aurait tres peu de chances d'etre acceptee face a n'importe quel standard que MS sortirait.
De nouveau, ici c'est le systeme et le but du systeme impose a tout le monde qui est en cause, pas l'utilisation du systeme.
Si la societe essaie d'etre "socialement correcte", elle n'aura pas une rentabilite maximale, ses concurrents vont pas se gener pour faire ce qu'elle ne se permet pas et lui prendre des parts de marche, les actionnaires ne seront pas contents car ils veulent un retour sur leur investissement, le CEO se fera virer, des employes aussi pour "reduire les couts", etc...
[^] # Re: Microsoft va faire payer l'utilisation du système de fichiers FAT
Posté par pasBill pasGates . En réponse à la dépêche Microsoft va faire payer l'utilisation du système de fichiers FAT. Évalué à 4.
[^] # Re: Microsoft va faire payer l'utilisation du système de fichiers FAT
Posté par pasBill pasGates . En réponse à la dépêche Microsoft va faire payer l'utilisation du système de fichiers FAT. Évalué à 3.
C'est genial comme filesystem pour une carte flash ca.
Sans compter que c'est hyper bien supporte par Win9x.
Allez, conspiration suivante, celle-la vaut pas un clou.
[^] # Re: Microsoft va faire payer l'utilisation du système de fichiers FAT
Posté par pasBill pasGates . En réponse à la dépêche Microsoft va faire payer l'utilisation du système de fichiers FAT. Évalué à 3.
J'ai pas vraiment de competences d'administrateur et perso j'utilises internet quand je cherche comment faire qqe chose, j'ai des bouquins de developpement, mais pas d'administration donc je peux pas vraiment te filer de conseil la-dessus.
Tu peux aller jeter un coup d'oeil sur http://www.labmice.net/BookReviews/books_w2kadmin.htm(...) sinon
[^] # Re: Microsoft va faire payer l'utilisation du système de fichiers FAT
Posté par pasBill pasGates . En réponse à la dépêche Microsoft va faire payer l'utilisation du système de fichiers FAT. Évalué à 2.
MS est une societe, dont le but est de faire de l'argent.
Resultat, elle patente ce qu'elle peut, et s'arrange pour en retirer de l'argent.
C'est pas mignon/gentil/sympa/etc... mais c'est la realite commerciale pour a peu pres toute entreprise de ce genre.
IBM est le plus gros deposeur de patentes de la planete, c'est pas par hasard, ils font pas ca pour faire joli.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à -1.
Et ? La n'est pas la question, la question est d'utiliser ou pas d'autres softs, avoir 2 softs du meme type installes n'est pas le probleme.
Ah ça, c'est clair qu'exploiter la faille du do_brk() c'est à la portée du premier venu. Non mais tu te relis des fois ?
Ah, et tu crois qu'exploiter un buffer overflow sous Windows est plus simple ? T'as deja essaye ?
Si tu parles de celui-ci : http://www.linuxsecurity.com/articles/security_sources_article-5699(...)) il faut Apache. Allo ? Ça fait combien de fois que je t'en réclame un qui se propage de la même façon que Blaster, c'est à dire _sans_ serveur sur la machine ?
Je parles de n'importe quel trou de securite remote, le trou par les RPC compris.
Un ver ce n'est rien d'autre qu'un exploit automatise, rien de miraculeux la-dedans, tu peux faire la meme chose sur n'importe quelle plateforme.
Et pourquoi pas ? C'est quoi tes sources ?
Ce trou etait en 2000, va donc jeter un oeil sur la facilite d'utilisation de Debian par rapport a RH et Mandrake a l'epoque, tu comprendras tout seul.
Eh non, perdu, c'est un service qui vient avec NFS même sur une RH ou une Mdk ou une SuSE, et NFS l'utilisateur lambda n'en a vraiment strictement rien à foutre.
Bon on va t'aider vu que t'as du mal a lire.
http://www.cert.org/advisories/CA-2000-17.html(...)
The CERT/CC has begun receiving reports of an input validation vulnerability in the rpc.statd program being exploited. This program is included, and often installed by default, in several popular Linux distributions
Je te rappelles que c'etait en l'an 2000, pas en 2003
e note ton utilisation du conditionnel. Ah ben oui, ça change tout. P'tet ben que ça aurait marché pareil que Blaster si ça avait existé, et pis p'tet ben que non.
Il n'y a pas de peut-etre, la question est: aurait-il ete possible d'ecrire un ver par ce trou de securite, et la reponse est clairement : Oui.
[^] # Re: Microsoft va faire payer l'utilisation du système de fichiers FAT
Posté par pasBill pasGates . En réponse à la dépêche Microsoft va faire payer l'utilisation du système de fichiers FAT. Évalué à 1.
[^] # Re: Microsoft va faire payer l'utilisation du système de fichiers FAT
Posté par pasBill pasGates . En réponse à la dépêche Microsoft va faire payer l'utilisation du système de fichiers FAT. Évalué à 6.
[^] # Re: Microsoft va faire payer l'utilisation du système de fichiers FAT
Posté par pasBill pasGates . En réponse à la dépêche Microsoft va faire payer l'utilisation du système de fichiers FAT. Évalué à 2.
Je ne vois pas ce qu'il y a a justifier, MS utilise ses patentes pour se faire des brouzoufs, tout comme IBM, HP, etc... font depuis des annees.
J'imagines bien que ca enrage certains vu qu'ils deviennent rouge des qu'ils entendent le mot brevet ou MS, mais ca sera pas la premiere fois qu'ils enragent.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à -1.
Tu m'expliques alors comment font les les gens qui utilisent Eudora ou Mozilla sous Windows ?
Magie noire ?
Et la réponse est : d'un côté tu as un OS sur lequel il faut que le gars de l'autre côté sache très précisément ce qu'il fait pour avoir son rootkit, et de l'autre un OS qui non seulement se fait trouer de tous les côtés mais en plus propage le trou partout où il peut.
Et la reponse est fausse.
1) Il n'est pas plus complique de hacker un Linux ou un Windows troue
2) Des trous il n'y en pas pas forcement plus dans Windows que dans Linux
3) Propager un trou c'est le meme topo sur Linux et Windows, quand t'es dedans tu fais ce que tu veux, cf. le ver pour OpenSSL
Je dois être aveugle, je ne vois absolument pas en quoi son mode de propagation est similaire à celui de MSBlast. De plus, on parle depuis plusieurs posts de l'utilisateur lambda, celui qui n'a aucun logiciel serveur, un seul compte sur sa machine et n'a donc qu'un risque _très réduit_ de se faire pirater via l'exploit subi par Debian. Tu peux m'expliquer en quoi un utilisateur lambda a besoin de NFS ? De plus, cette histoire de "installé par défaut", je ne sais pas ce qu'il en est pour les SuSE et les Red Hat de l'époque, mais pour la Debian, c'est du flan. J'espère que tu as un exemple un peu plus pertinent que celui-ci, parce que pour le coup, c'est un peu maigre.
On parle de l'utilisateur lambda, cet utilisateur lambda, a l'epoque il utilisait Redhat ou Mandrake, certainement pas Debian.
C'etait sur un service demarre par defaut, donc tous les utilisateurs de RH, Mdk, Suse,... etaient concernes, pas besoin d'installer NFS, le service etait deja la, et demarre par defaut.
N'importe qui aurait pu ecrire un ver qui se propage par cette porte d'entree.
Bref, la seule difference avec Blaster, c'est que qq'un a ecrit Blaster, alors que personne n'a pris la peine d'ecrire un ver pour la faille sous Linux (vu que tres peu de gens utilisent Linux).
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à 0.
C'est marrant, parce que sous Windows aussi t'as le choix, tiens moi par exemple, j'utilises pas Outlook a la maison.
Et puis, c'est vrai que le DSL est tellement répandu en France, que les mises à jours via windows update sont hyper-aisées, n'est ce pas ? Quel con l'utilisateur de ne pas savoir que la première chose à faire quand on connecte son windows au net est d'aller sur update. Et c'est tellement marrant de redémarrer 15 fois sa bécane en une heure, et pour le néophite de faire les bons choix parmi toutes ces mises à jours. Car Windows s'adresse aussi au néophite, n'est ce pas ?
Ah c'est con, parce que Windows Update t'as pas besoin de savoir qu'il faut y aller, Windows y va tout seul et t'avertit quand il y a des updates. D'autre part, pas besoin de 15 reboots non plus.
T'es sur que tu connais Windows ?
Tes produits, je les connais par coeur, je les ai vendu pendant 5 ans, chez un gros assembleur du sud. Puisque mes innocentes victimes me pardonner...
Je les ai aussi réinstallé pendant 5 ans, sur les bécanes des clients parce que ça arrétait pas de planter! Et bravo pour le support en ligne sur les produits comme NT4 server ou 2000 server
Si toi tu connais nos produits par coeur, tu le montres tres tres mal.
Au fait, la faille béante RPC, vous en êtes où de sa correction ? Parce que ça fait quand même un bail que vous la trainez celle là....
Laquelle ?
Ben reste quand même une différence: y'en a un qui m'aura couté 5000 balles supplémentaires pour commencer à utiliser de façon convenable mon PC, l'autre y m'aura rien couté. Qu'un OS et des logiciels libres et gratos plantent sur ma machine, me perdent mes données, mes documents et toutes les choses précieuses que j'ai dessus(ça m'est jamais arrivé en 5 ans), j'aurai les boules, certes. Mais quand je débourse une telle somme en espèrant avoir un système stable et qu'il s'avère que c'est une m**** sans nom, instable, friande d'écran bleu, et sans garanti, excuse moi mais là y'a franchement de quoi les avoir à l'envers
C'est marrant ta description de Windows, on sent vraiment le gars qui connait Windows.
peine perdu vu que ton attitude se conforme au mot d'ordre de M$: dénigrer linux sur la sécurite
C'est marrant, tu me montres ou j'ai dit que Linux etait pire que Windows ?
Ah oui bien sur, tu ne vas pas y arriver.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à 2.
C'est flagrant, et je ne suis de loin pas le seul a le remarquer.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à 0.
Ah ? Et j'accuses l'OS ou moi ?
Tout ce que je dis, c'est que Linux et Windows n'ont aucune difference au niveau de la protection contre ce genre de problemes, rien d'autres.
D'autre part quel est l'interet de savoir si les softs sont independants de l'OS ou pas ?
La question est : tel OS est-il plus protege que l'autre contre ce type d'attaque. Que Mutt ou Outlook soit dans l'OS ou pas n'y change rien.
De plus, des failles, il y en a des plus difficiles à exploiter que d'autres et, comme par hasard, sous Windows on en trouve avec lesquelles il n'y a même pas besoin d'avoir un cracker de l'autre côté vu que la transmission de la chose est automatique. Si tu m'en trouves une sous Linux qui agisse de la même manière sans qu'un serveur web soit installé sur la machine, je suis tout disposé à la connaître (que je sache, on attrappait pas MSBlast à cause de IIS).
http://www.cert.org/advisories/CA-2000-17.html(...)
"The CERT/CC has begun receiving reports of an input validation vulnerability in the rpc.statd program being exploited. This program is included, and often installed by default, in several popular Linux distributions."
Voila je t'en ai trouve un, dans un service demarre par defaut sur plusieurs distributions comme dit plus haut, et le plus drole est que le service est le meme type de service que pour Blaster : RPC.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à 0.
Le point etant simplement de montrer que l'OS Linux(ou GNU/Linux pour ceux qui y tiennent) n'est pas plus protege de ce type de problemes que Windows.
Ce n'est pas une histoire de libre ou pas, c'est une histoire de conception d'OS et d'applications tournant sur un OS donne, et le resultat tel que montre est que Windows et Linux sont identiques sur ces points, memes risques, memes resultats.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à 0.
Et quand il y a une faille dans Mozilla, Evolution, Mutt, etc... ?
cf. plus haut pour voir que oui, il y en a, et resultat, si tu installes pas ces patchs, tu passes d'une faille limitee a ton user a une faille atteignant le systeme entier.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à 2.