a) http://www.binarypool.com/idapluginwriting/ c'est un peu vieux mais en gratuit c'est la reference niveau documentation pour les APIs d'IDA (qui est notoirement horrible niveau doc officielle). Chris Eagle a aussi un livre sur IDA qui explique plutot bien comment ecrire des plugins.
b) Il y a un nombre enorme de plugins pour IDA pour faire un tas de trucs differents (trouver des vtable dans un binaire, etc…) cf. http://www.openrce.org/downloads/browse/IDA_Plugins
Oui, mais aujourd'hui la responsabilite pour une update merdique d'un ISV ou auteur de shareware au hasard ne retombe pas sur MS.
Ce n'est pas ce que j'ai réclamé. Et de ce que je vois dans la façon dont les mises à jours sont gérées aujourd'hui, notamment au niveau de soft de sociétés aujourd'hui disparues (avec des tentatives de connexions sur des nom de domaine n'appartenant plus à l'ancien éditeur), je ne suis pas certains que l'absence de ce framework (même non blindé) est un gain coté sécurité.
Le truc est que MS ne va pas pointer les gens sur une update qu'il ne controle pas, c'est un gros risque notamment du point de vue legal sans parler du point de vue reputation. Donc pas de liste centralisee, pas de depot central, etc… si MS ne peut pas controler l'update.
C'est pour ca que je parlais d'un framework comme truc qu'ils auraient pu faire.
Mouarf, suffirait de mettre en place une signature des binaires… Oh mais ça existe déjà…
Tu crois qu'une signature suffit ?
Une signature va t'assurer que le serveur du petit developpeur dans son coin ne s'est pas fait hacke et le code change dans les sources ?
Une signature va t'assurer que le developpeur n'a pas mis de saloperies dans le soft ?
Une signature va t'assurer que le developpeur qui ne comprend pas grand chose a la securite ne s'est pas fait voler sa clef privee de signature en se faisant hacker sa machine ?
Regarde ce que le modele appstore / sandbox amene, c'est pas par hasard qu'il y a plein de limitations et qu'il y a une sandbox.
Si tu ne regardes que le technique basique, evidemment c'est simple.
Mais quand t'es l'editeur de l'OS le monde est different. Tu fais du HTTP simple parce que le gars qui a fait ce shareware n'a pas voulu depenser 200$ pour son site ? Ben tu t'ouvres a des attaques MITM, et meme en HTTPS, tu veux verifier le certificat du serveur d'en face proprement et t'assurer que c'est bien le site que tu veux, tu veux donner un minimum d'assurance aux gens que le site ou les updates sont stockees est sur et qu'ils ne se feront pas hacker a travers une annonce d'update pour un package verole donnee par Microsoft, etc…
Annoncer et offrire des updates que MS ne peut pas verifier, ca ouvre la porte a plein de risques, y compris legaux, pour MS. C'est pas par hasard que les app stores de Win8 et Phone 8 font plein de verifs sur les apps, que les apps sont dans une sandbox, etc… Et ca c'est pas possible pour les apps standard Windows.
Ce que MS aurait pu faire a mon sens, c'est filer des librairies pour rendre la chose facile a faire pour les developpeurs.
Non ce n'est pas homogène! Dans le menu de désinstallation des programme c'est compliqué de rajouter une case vérifier les mises à jour, et avoir une base chez MS, consultée en même temps que les mises à jour du système pour indiquer qu'il y a une mise à jour? (quitte à avoir la même merde pour les maj, mais au moins ne pas avoir 50 process qui encombre la ram (ou le swap), la liste de processus en cours, font des connexions réseau…
Ben oui c'est complique… Parce que sans un 'store' ou les apps sont verifiees, ou elles sont limitees par une sandbox, … que devient la responsabilite de MS si un de ces softs est pourri ? Comment est-ce que MS doit gerer ca pour les centaines de milliers de softs de tout un chacun ? que fait MS avec les adwares ? etc…
Le store de Win8 ca fonctionne, parce que ca part de rien, pas d'existant enorme a gerer.
A mon avis il y aurait eu quand meme matiere a amelioration (= une sorte de framework facilitant et uniformisant le boulot), mais c'est un probleme complique et pas que sur le plan technique.
Par défaut, ce n'est pas le cas. C'est juste le paramètre par défaut d'Ubuntu.
Bref, c'est le cas pour la plupart des pekins moyens qui existent sous Linux…
Chez moi j'ai bien Sudo (et gksu), mais j'ai le délai avant un nouvel demande d'authentification à 0, ce qui veut dire que tu n'auras jamais 15 minutes pour faire ce que tu veux. ;-)
Et chez moi il n'y a meme pas UAC… Mais de nouveau, le pekin moyen…
Toujours par rapport à l'UAC de Windows Vista/Seven, j'aime le fait que ce soit un choix entre Oui/Non plutôt que de demander un mot de passe (par défaut, certes). Bref, on a tout le temps la possibilité de faire ce qu'on veut tant qu'on a un accès physique et que c'est pas verrouillé (d'ailleurs, on peut aussi verrouiller sous Ubuntu tu sais). C'est un peu nul niveau sécurité quand même.
Ben si t'as un acces physique, ta machine est foutue de toute facon hein. Cf. la NSA et ses implants sur port PCI et autres.
2) Je n'y crois pas. Pourquoi ? Parce que l'enorme majorite des utilisateurs desktop sous Linux sont sous Ubuntu. Et pour les serveurs c'est entre Redhat/Debian voire Suse, le reste est infime.
3) On est d'accord, mais c'est dans les 2 sens, pour l'utilisateur moyen, les depots Linux c'est sympa quand le soft et sa bonne version sont dedans. Quand c'est pas le cas, c'est un peu l'enfer pour installer la version voulue.
4) J'ai pas Java sur ma machine perso (ce truc est un desastre du point de vue securite), mais j'ai du mal a imaginer qu'il n'ait pas un moyen de faire une elevation, ou faire l'update a travers un service. Flash et Reader n'ont pas ce probleme.
5) Avoir un systeme pirate n'empeche pas les mises a jour, on ne les bloque pas.
Je veux bien qu'ils fassent des efforts mais ce qui est cité là c'est pourtant contraire à la plupart des règles de bases de sécurité.
a) Le truc des mots de passe a 14 caracteres, sans casse, etc… c'est bloque par defaut depuis Vista, et c'etait deconseille avant (NTLMv1). Faut le permettre explicitement pour qu'il soit utiise
b) Le fait que le mot de passe ne transite pas sur le reseau, c'est une tres bonne chose. Tu crois que ton mot de passe transite sur le reseau avec Kerberos ? Bien sur que non, c'est du challenge-response. Quand au hash qui passe sur le reseau, ca fait un bail que ce n'est plus le cas.
Il y a le fait que la base n'est pas 'saltee' mais la de toute facon, c'est pas ca qui te permet d'acceder au systeme, parce qu'il faut de toute facon que tu aies acces au systeme en tant qu'admin pour acceder a la base des mots de passe. Quand a la raison de cela, de ce dont je me souviens, c'est du au fait de pouvoir faire une authentification reseau sans prompt.
Tu remarqueras que Samba est a la meme enseigne en passant…
Pour admin/non-admin, tu m'expliques la difference entre ce que Vista/Windows 7 font et Ubuntu/autres avec sudo ? Aucune difference. Si j'arrives sur le compte d'un Ubuntu, j'ai juste besoin d'attendre un peu qu'il utilise sudo, et ensuite j'ai 15 minutes pour faire ce que je veux… Sudo rend un compte non-admin equivalent a un compte admin niveau securite. C'est plus une protection contre l'utiisateur lui-meme que contre les attaques.
C'est pas une attaque, c'est un constat. Les gens voient sur TF1, sur news.com ou autre un article disant "vulnerabiite dans Windows" (ou dans IE ou …).
Ils voient ca 2-3 fois et hop, ca leur suffit, Windows (ou IE ou…) devient automatiquement une bouse du point de vue securite, parce que bon hein, c'etait dans les news, c'est enorme !
Ils ne font pas l'effort d'aller voir ce qu'il y a de l'autre cote, si cette vulnerabilite qui a fait la une est vraiment differentes des vulnerabilites trouvees dans leur systeme prefere, etc… Il ne leur viendrait pas a l'esprit d'aller gratter pour voir quels procedes et efforts MS utilise pour trouver des failles, quel est l'effort similaire sur les produits OSS (quand il existe…), etc…
Non, c'est du jugement a la va-vite, un peu comme juger Franck Ribery uniquement sur son apparition dans Telefoot a la CDM 2010, en oubliant tout le reste.
J'ai une vision deformee ? Ben qui sait, peut-etre, mais force est de constater que ceux qui ne suivent pas ce modele sont plutot discrets alors, il y en a quelque uns, mais ce ne sont clairement pas les plus vocaux.
IIS etait connu pour etre un trou beant, jusqu'a IIS 6. IIS 6 c'est sorti en 2005 et depuis il fait beaucoup mieux qu'Apache, il y a plus de 8 ans. On va dire que c'est un siecle en informatique.
Windows l'OS, c'est depuis Vista, en 2007. SQL Server 2005 en… 2005, etc…
a) C'est de l'open source, en 2012-2014, les bugs se comptent par centaines
b) Aucune des failles n'a ete trouvee en lisant le code, toutes ont ete trouvees par un fuzzing assez primitif (vous savez, le truc que je dis depuis des annees et qui amene mes posts en negatif a chaque fois)
c) Certaines des failles etaient la depuis longtemps
d) Ils disent clairement que le code est tellement mauvais qu'il vaut mieux ne pas l'utiliser
e) C'est pas un projet obscur et nouveau de l'open source hein… C'est un projet qui est la depuis un moment, et qui est utiise par bcp de gens.
Mais comme tout, personne ici n'etait meme au courant du fait que ffmpeg est une passoire, parce que c'etait pas sur slashdot, parce que c'etait pas sur news.com, parce que les gens ici quand il s'agit de securite, ils se contentent de regarder TF1 plutot qu'aller voir le documentaire qui va en profondeur sur la 5eme a minuit, et ensuite ils s'obstinent a dire que parce que TF1 l'a dit, alors il n'y a rien d'autre de vrai.
Non, il faut arrêter de te la jouer victime : le problème est que tu racontes des conneries bien plus souvent que des trucs biens (la dernière fois que je t'ai moinsé, c'est parce que tu veux absolument que ton employeur ai un "historique en sécurité" de la mort qui tue, alors qu'il y a eu plein de preuves du contraire dans le passé même si ça s'améliore aujourd'hui et plein d'experts en sécu qui le disent).
Tu vois, c'est ca qui est drole… L'obsession que je suis 'vendu' ou que je courre pour 'mon employeur', etc…
Le truc amusant, c'est que j'ai quitte MS il y a 3 mois, et que maintenant je bosses pour une boite qui pourrait bien etre le plus grand utilisateur de Linux de la planete, ou sinon au moins le 2eme derriere Google. Eh oui, je passe mes journees sur Linux.
La depeche sur PhpCompta, tu n'as meme pas pris le temps de lire ce que j'ecrivais et ce que l'article disait tellement tu etais sur de ton fait, sur que j'etais en train de pousser 'mon employeur', etc…
C'est ca qui est gonflant, parce que tu n'es pas du calibre d'Albert, et pourtant tu es tombe dans ce travers aussi.
Ben j'aimerais bien pouvoir dire ce que j'ai a dire, le probleme est que le systeme ici l'empeche. La preuve etant que mes commentaires sont caches a bcp de gens par defaut, et que je ne peux pas poster de journaux. C'est une dictature de la pensee unique un peu ici.
Si tu sens arriver la limite de karma qui empêche de poster, il sera toujours temps de se greffer à une dépêche (comme celle d'un kernel), ou de faire une opération de sauvetage de karma.
On va dire que c'est chiant ? Tu t'amuserais combien de temps a faire ce petit jeu simplement pour compenser un systeme de merde et le comportement de certains idiots de la pensee unique ?
Cela dit, tu n'es pas systématiquement moinssé lorsque tu postes du contenu parlant de Microsoft ou de Windows, comme on peut le constater avec ce journal.
C'est pas systematique, c'est juste le cas 95% du temps…
C'est un peu un cycle vicieux. J'ai comme tout le monde le sait pour habitude de me faire moinsser au moindre post que je fais ayant trait a MS, peu importe son contenu, ce qui me casse les couilles et m'incite a venir de moins en moins, ce qui baisse mon karma du meme coup.
C'est plutot con, parce que ca m'empeche de poster des journaux, et sur les 2-3 derniers mois, ca fait bien 2-3 journaux en tout cas que je n'ai pas pu mettre qui auraient ete interessants pour certains, mais bon, les admins du site n'ont semble t'il pas l'intention de corriger ce systeme de notation pourri. Visiblement ils n'ont pas de problemes avec le fait qu'un gars soit discrimine dans ses possibilites sur le site simplement car il a une opinion differente de certains groupes vocaux par leurs votes sur les commentaires.
Bref, on est donc d'accord sur ce que je disais plus haut. Windows a un bel historique de passoire démontré par des années de malware, virus, adware et j'en passe. Que Linux n'ai pas eu ce genre de déboire, ça ne t'interpelle pas, soit
Bel historique de passoire ? Il y a 10 ans oui, ces dernieres annees non. Les virus ca fait longtemps qu'on ne les voit plus. Les malwares/adware c'est parce que l'utilisateur choisit de les installer dans l'enorme majorite des cas, et ca, quel que soit l'OS tu pas faire grand chose contre.
Donc non, ca ne m'interpelle pas. Ca m'interpellera le jour ou tu me donneras une explication technique sur une faiblesse dont ils tirent partie qui n'est pas presente sur d'autres systemes.
Et ca tu ne l'as toujours pas fait. Tu n'as pas amene un seul element technique. Tu m'as liste des trucs genre "je comprends pas pourquoi un driver peut ecire dans la registry" qui ne fait rien d'autre que montrer que tu ne comprends pas qu'un kernel a tous les droits, etc…
Tu m'amenes une explication technique d'une faiblesse de Windows compare a Linux ? Allez, ca devrait etre simple a t'entendre. Ces trucs qui verolent si facilement Windows comme tu le dis, ils doivent bien passer par quelque part si ce n'est pas par l'utilisateur, donnes moi donc ce conduit.
Si tu ne sais pas lequel c'est apres moult recherches, ben faudrait peut-etre penser a revoir tes prejuges.
Tout depend de comment tu le fais. Si tu poses des questions (le nom de ton 1er chien, la marque de ta chaussette droite, etc…) avant d'envoyer un e-mail de reset, c'est deja bien plus difficile.
A son addresse e-mail ? Avec un e-mail qui a de fortes chances de passer en clair sur le reseau ? Qui va arriver on ne sait quand ? (genial pour automatiser quoi que ce soit…) Si son address e-mail est recyclee comme Yahoo s'est mis a faire tu envoies le lien a un inconnu ? etc…
Depuis je dirais un au ou deux, ca a bien empire. La plupart des gens ne parlent pas technique, ils font du communautaire (mon X est meilleur que le tien, si tu oses dire l'inverse je te flame/moinsse/etc…)
Le contenu 'purement technique' a pas mal baisse, les gens qui etaient interesses par ces discussions (j'imagines que c'est en reaction) sont moins presents, au profit des gens qui ne sont interesses qu'a troller sur leurs chouchous preferes de maniere emotionelle et avec peu d'argumentation technique.
Bref, c'est devenu bcp moins amusant d'etre par ici pour certains qui attachent de l'importance a ce cote la.
Passer en 'admin' sous Windows sans passer par l'accord de l'utilisateur ça n'a jamais existé? Pourtant les exploits pleuvent depuis plus de 15 ans…
Par des failles ? Evidemment, et ca existe toujours, comme sous Linux.
J'attend toujours qu'on m'explique pourquoi un drivers hacké, un service corrompu ou une faille dans un logiciel de PDF donne le droit à du code de modifier le boot, les fichiers systèmes, la base de registre, les drivers… Bref, Windows, sécurisé? non.
Un driver c'est normal, il tourne dans le noyau, c'est idem sous Linux.
Pour le service, cela depend de ses permissions, idem sous les 2 systemes.
Quand au logiciel PDF, tu m'expliqueras comment un logiciel PDF tournant en simple utilisateur va modifier le boot sous Windows…
Il n'y a aucun OS grand public qui existe et qui est different sur ces points.
Linux sensible à ce genre de chose, oui aussi, mais beaucoup moins. Le nombre de services qui peuvent passer root diminue, pour les applis c'est quasi inexistant. Des systèmes comme AppArmor font ce qu'ils peuvent pour limiter la casse pour le reste.
Bref, comme Windows quoi. Tu ne m'a rien montre ici que Linux a et Windows pas.
Pour les trucs crades des "clows", tu ne trouves pas gênant qu'il soit permis de les faire? et de manière si facile avec un simple glisser-déposer?
LOL, et tu voudrais que le systeme fasse quoi exactement ? Qu'il interdise a l'admin de modifier son systeme ?
[^] # Re: bof
Posté par pasBill pasGates . En réponse au journal Wync, un client Lync pour Linux !. Évalué à 1.
T'as vu ou qu'il y avait besoin de wine ?
Bref, tu causes d'un truc que tu n'as jamais essaye
[^] # Re: Nagios non plus
Posté par pasBill pasGates . En réponse au journal Nessus depuis un VPS chez OVH, pas possible ?. Évalué à 4.
C'est pas un probleme forcement, Amazon et Azure le permettent sur demande.
[^] # Re: Nagios non plus
Posté par pasBill pasGates . En réponse au journal Nessus depuis un VPS chez OVH, pas possible ?. Évalué à 0.
Il est peut-etre possible que tu puisses faire ton scan, apres les avoir prevenu. Tu devrais contacter leur departement securite et voir avec eux.
# Plugins IDA
Posté par pasBill pasGates . En réponse au journal Disséquer du binaire - retour d'expérience. Évalué à 7.
a) http://www.binarypool.com/idapluginwriting/ c'est un peu vieux mais en gratuit c'est la reference niveau documentation pour les APIs d'IDA (qui est notoirement horrible niveau doc officielle). Chris Eagle a aussi un livre sur IDA qui explique plutot bien comment ecrire des plugins.
b) Il y a un nombre enorme de plugins pour IDA pour faire un tas de trucs differents (trouver des vtable dans un binaire, etc…) cf. http://www.openrce.org/downloads/browse/IDA_Plugins
[^] # Re: Bien essaye
Posté par pasBill pasGates . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 5.
Oui, mais aujourd'hui la responsabilite pour une update merdique d'un ISV ou auteur de shareware au hasard ne retombe pas sur MS.
Le truc est que MS ne va pas pointer les gens sur une update qu'il ne controle pas, c'est un gros risque notamment du point de vue legal sans parler du point de vue reputation. Donc pas de liste centralisee, pas de depot central, etc… si MS ne peut pas controler l'update.
C'est pour ca que je parlais d'un framework comme truc qu'ils auraient pu faire.
[^] # Re: Bien essaye
Posté par pasBill pasGates . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 4.
Tu crois qu'une signature suffit ?
Une signature va t'assurer que le serveur du petit developpeur dans son coin ne s'est pas fait hacke et le code change dans les sources ?
Une signature va t'assurer que le developpeur n'a pas mis de saloperies dans le soft ?
Une signature va t'assurer que le developpeur qui ne comprend pas grand chose a la securite ne s'est pas fait voler sa clef privee de signature en se faisant hacker sa machine ?
Regarde ce que le modele appstore / sandbox amene, c'est pas par hasard qu'il y a plein de limitations et qu'il y a une sandbox.
[^] # Re: Bien essaye
Posté par pasBill pasGates . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 0.
Si tu ne regardes que le technique basique, evidemment c'est simple.
Mais quand t'es l'editeur de l'OS le monde est different. Tu fais du HTTP simple parce que le gars qui a fait ce shareware n'a pas voulu depenser 200$ pour son site ? Ben tu t'ouvres a des attaques MITM, et meme en HTTPS, tu veux verifier le certificat du serveur d'en face proprement et t'assurer que c'est bien le site que tu veux, tu veux donner un minimum d'assurance aux gens que le site ou les updates sont stockees est sur et qu'ils ne se feront pas hacker a travers une annonce d'update pour un package verole donnee par Microsoft, etc…
Annoncer et offrire des updates que MS ne peut pas verifier, ca ouvre la porte a plein de risques, y compris legaux, pour MS. C'est pas par hasard que les app stores de Win8 et Phone 8 font plein de verifs sur les apps, que les apps sont dans une sandbox, etc… Et ca c'est pas possible pour les apps standard Windows.
Ce que MS aurait pu faire a mon sens, c'est filer des librairies pour rendre la chose facile a faire pour les developpeurs.
[^] # Re: Bien essaye
Posté par pasBill pasGates . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 3.
Correct.
Je fais comme je faisais chez MS : securite, sur AWS (ce qui implique non seulement du Linux mais du Windows aussi d'ailleurs vu qu'on hoste les 2).
Pour les commits, j'en doutes fort, mon job est de casser, pas de reparer :+)
[^] # Re: Bien essaye
Posté par pasBill pasGates . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 0.
Ben oui c'est complique… Parce que sans un 'store' ou les apps sont verifiees, ou elles sont limitees par une sandbox, … que devient la responsabilite de MS si un de ces softs est pourri ? Comment est-ce que MS doit gerer ca pour les centaines de milliers de softs de tout un chacun ? que fait MS avec les adwares ? etc…
Le store de Win8 ca fonctionne, parce que ca part de rien, pas d'existant enorme a gerer.
A mon avis il y aurait eu quand meme matiere a amelioration (= une sorte de framework facilitant et uniformisant le boulot), mais c'est un probleme complique et pas que sur le plan technique.
[^] # Re: Bien essaye
Posté par pasBill pasGates . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 2.
Bref, c'est le cas pour la plupart des pekins moyens qui existent sous Linux…
Et chez moi il n'y a meme pas UAC… Mais de nouveau, le pekin moyen…
Ben si t'as un acces physique, ta machine est foutue de toute facon hein. Cf. la NSA et ses implants sur port PCI et autres.
[^] # Re: Bien essaye
Posté par pasBill pasGates . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 7.
1) Tout a fait
2) Je n'y crois pas. Pourquoi ? Parce que l'enorme majorite des utilisateurs desktop sous Linux sont sous Ubuntu. Et pour les serveurs c'est entre Redhat/Debian voire Suse, le reste est infime.
3) On est d'accord, mais c'est dans les 2 sens, pour l'utilisateur moyen, les depots Linux c'est sympa quand le soft et sa bonne version sont dedans. Quand c'est pas le cas, c'est un peu l'enfer pour installer la version voulue.
4) J'ai pas Java sur ma machine perso (ce truc est un desastre du point de vue securite), mais j'ai du mal a imaginer qu'il n'ait pas un moyen de faire une elevation, ou faire l'update a travers un service. Flash et Reader n'ont pas ce probleme.
5) Avoir un systeme pirate n'empeche pas les mises a jour, on ne les bloque pas.
[^] # Re: Bien essaye
Posté par pasBill pasGates . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 7.
a) Le truc des mots de passe a 14 caracteres, sans casse, etc… c'est bloque par defaut depuis Vista, et c'etait deconseille avant (NTLMv1). Faut le permettre explicitement pour qu'il soit utiise
b) Le fait que le mot de passe ne transite pas sur le reseau, c'est une tres bonne chose. Tu crois que ton mot de passe transite sur le reseau avec Kerberos ? Bien sur que non, c'est du challenge-response. Quand au hash qui passe sur le reseau, ca fait un bail que ce n'est plus le cas.
Il y a le fait que la base n'est pas 'saltee' mais la de toute facon, c'est pas ca qui te permet d'acceder au systeme, parce qu'il faut de toute facon que tu aies acces au systeme en tant qu'admin pour acceder a la base des mots de passe. Quand a la raison de cela, de ce dont je me souviens, c'est du au fait de pouvoir faire une authentification reseau sans prompt.
Tu remarqueras que Samba est a la meme enseigne en passant…
Pour admin/non-admin, tu m'expliques la difference entre ce que Vista/Windows 7 font et Ubuntu/autres avec sudo ? Aucune difference. Si j'arrives sur le compte d'un Ubuntu, j'ai juste besoin d'attendre un peu qu'il utilise sudo, et ensuite j'ai 15 minutes pour faire ce que je veux… Sudo rend un compte non-admin equivalent a un compte admin niveau securite. C'est plus une protection contre l'utiisateur lui-meme que contre les attaques.
[^] # Re: Bien essaye
Posté par pasBill pasGates . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 2.
C'est pas une attaque, c'est un constat. Les gens voient sur TF1, sur news.com ou autre un article disant "vulnerabiite dans Windows" (ou dans IE ou …).
Ils voient ca 2-3 fois et hop, ca leur suffit, Windows (ou IE ou…) devient automatiquement une bouse du point de vue securite, parce que bon hein, c'etait dans les news, c'est enorme !
Ils ne font pas l'effort d'aller voir ce qu'il y a de l'autre cote, si cette vulnerabilite qui a fait la une est vraiment differentes des vulnerabilites trouvees dans leur systeme prefere, etc… Il ne leur viendrait pas a l'esprit d'aller gratter pour voir quels procedes et efforts MS utilise pour trouver des failles, quel est l'effort similaire sur les produits OSS (quand il existe…), etc…
Non, c'est du jugement a la va-vite, un peu comme juger Franck Ribery uniquement sur son apparition dans Telefoot a la CDM 2010, en oubliant tout le reste.
J'ai une vision deformee ? Ben qui sait, peut-etre, mais force est de constater que ceux qui ne suivent pas ce modele sont plutot discrets alors, il y en a quelque uns, mais ce ne sont clairement pas les plus vocaux.
[^] # Re: Bien essaye
Posté par pasBill pasGates . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 9.
C'est quoi "recemment" ? Et compare a qui ?
IIS etait connu pour etre un trou beant, jusqu'a IIS 6. IIS 6 c'est sorti en 2005 et depuis il fait beaucoup mieux qu'Apache, il y a plus de 8 ans. On va dire que c'est un siecle en informatique.
Windows l'OS, c'est depuis Vista, en 2007. SQL Server 2005 en… 2005, etc…
Tu veux voir c'est quoi une blague niveau securite ? Ca : http://googleonlinesecurity.blogspot.com/2014/01/ffmpeg-and-thousand-fixes.html
a) C'est de l'open source, en 2012-2014, les bugs se comptent par centaines
b) Aucune des failles n'a ete trouvee en lisant le code, toutes ont ete trouvees par un fuzzing assez primitif (vous savez, le truc que je dis depuis des annees et qui amene mes posts en negatif a chaque fois)
c) Certaines des failles etaient la depuis longtemps
d) Ils disent clairement que le code est tellement mauvais qu'il vaut mieux ne pas l'utiliser
e) C'est pas un projet obscur et nouveau de l'open source hein… C'est un projet qui est la depuis un moment, et qui est utiise par bcp de gens.
Mais comme tout, personne ici n'etait meme au courant du fait que ffmpeg est une passoire, parce que c'etait pas sur slashdot, parce que c'etait pas sur news.com, parce que les gens ici quand il s'agit de securite, ils se contentent de regarder TF1 plutot qu'aller voir le documentaire qui va en profondeur sur la 5eme a minuit, et ensuite ils s'obstinent a dire que parce que TF1 l'a dit, alors il n'y a rien d'autre de vrai.
[^] # Re: Bien essaye
Posté par pasBill pasGates . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 10.
Tu vois, c'est ca qui est drole… L'obsession que je suis 'vendu' ou que je courre pour 'mon employeur', etc…
Le truc amusant, c'est que j'ai quitte MS il y a 3 mois, et que maintenant je bosses pour une boite qui pourrait bien etre le plus grand utilisateur de Linux de la planete, ou sinon au moins le 2eme derriere Google. Eh oui, je passe mes journees sur Linux.
La depeche sur PhpCompta, tu n'as meme pas pris le temps de lire ce que j'ecrivais et ce que l'article disait tellement tu etais sur de ton fait, sur que j'etais en train de pousser 'mon employeur', etc…
C'est ca qui est gonflant, parce que tu n'es pas du calibre d'Albert, et pourtant tu es tombe dans ce travers aussi.
[^] # Re: Bien essaye
Posté par pasBill pasGates . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 10.
Ben j'aimerais bien pouvoir dire ce que j'ai a dire, le probleme est que le systeme ici l'empeche. La preuve etant que mes commentaires sont caches a bcp de gens par defaut, et que je ne peux pas poster de journaux. C'est une dictature de la pensee unique un peu ici.
On va dire que c'est chiant ? Tu t'amuserais combien de temps a faire ce petit jeu simplement pour compenser un systeme de merde et le comportement de certains idiots de la pensee unique ?
C'est pas systematique, c'est juste le cas 95% du temps…
[^] # Re: Bien essaye
Posté par pasBill pasGates . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 10.
C'est un peu un cycle vicieux. J'ai comme tout le monde le sait pour habitude de me faire moinsser au moindre post que je fais ayant trait a MS, peu importe son contenu, ce qui me casse les couilles et m'incite a venir de moins en moins, ce qui baisse mon karma du meme coup.
C'est plutot con, parce que ca m'empeche de poster des journaux, et sur les 2-3 derniers mois, ca fait bien 2-3 journaux en tout cas que je n'ai pas pu mettre qui auraient ete interessants pour certains, mais bon, les admins du site n'ont semble t'il pas l'intention de corriger ce systeme de notation pourri. Visiblement ils n'ont pas de problemes avec le fait qu'un gars soit discrimine dans ses possibilites sur le site simplement car il a une opinion differente de certains groupes vocaux par leurs votes sur les commentaires.
# Bien essaye
Posté par pasBill pasGates . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 10.
Mais on est pas Vendredi.
[^] # Re: Faut pas le prendre mal
Posté par pasBill pasGates . En réponse au journal La communauté Linuxfr n'a-t-elle plus rien (de technique) à dire ?. Évalué à 5.
Moi je dis qu'il y a troll et troll. Lorsque il y a de la valeur technique et de l'information dedans, c'est un bon troll.
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -5.
Bel historique de passoire ? Il y a 10 ans oui, ces dernieres annees non. Les virus ca fait longtemps qu'on ne les voit plus. Les malwares/adware c'est parce que l'utilisateur choisit de les installer dans l'enorme majorite des cas, et ca, quel que soit l'OS tu pas faire grand chose contre.
Donc non, ca ne m'interpelle pas. Ca m'interpellera le jour ou tu me donneras une explication technique sur une faiblesse dont ils tirent partie qui n'est pas presente sur d'autres systemes.
Et ca tu ne l'as toujours pas fait. Tu n'as pas amene un seul element technique. Tu m'as liste des trucs genre "je comprends pas pourquoi un driver peut ecire dans la registry" qui ne fait rien d'autre que montrer que tu ne comprends pas qu'un kernel a tous les droits, etc…
Tu m'amenes une explication technique d'une faiblesse de Windows compare a Linux ? Allez, ca devrait etre simple a t'entendre. Ces trucs qui verolent si facilement Windows comme tu le dis, ils doivent bien passer par quelque part si ce n'est pas par l'utilisateur, donnes moi donc ce conduit.
Si tu ne sais pas lequel c'est apres moult recherches, ben faudrait peut-etre penser a revoir tes prejuges.
[^] # Re: pas de mot de passe?
Posté par pasBill pasGates . En réponse au journal L'art de stocker des mots de passe. Évalué à -2.
A toi de choisir des questions dont toi seul connait la reponse.
La securite totale a ses limites, et plus elle est haute, plus elle est compliqueee et non-user-friendly.
[^] # Re: pas de mot de passe?
Posté par pasBill pasGates . En réponse au journal L'art de stocker des mots de passe. Évalué à 1.
Tout depend de comment tu le fais. Si tu poses des questions (le nom de ton 1er chien, la marque de ta chaussette droite, etc…) avant d'envoyer un e-mail de reset, c'est deja bien plus difficile.
[^] # Re: pas de mot de passe?
Posté par pasBill pasGates . En réponse au journal L'art de stocker des mots de passe. Évalué à 2.
A son addresse e-mail ? Avec un e-mail qui a de fortes chances de passer en clair sur le reseau ? Qui va arriver on ne sait quand ? (genial pour automatiser quoi que ce soit…) Si son address e-mail est recyclee comme Yahoo s'est mis a faire tu envoies le lien a un inconnu ? etc…
[^] # Re: Faut pas le prendre mal
Posté par pasBill pasGates . En réponse au journal La communauté Linuxfr n'a-t-elle plus rien (de technique) à dire ?. Évalué à 3.
Moi c'est bien mon impression.
Depuis je dirais un au ou deux, ca a bien empire. La plupart des gens ne parlent pas technique, ils font du communautaire (mon X est meilleur que le tien, si tu oses dire l'inverse je te flame/moinsse/etc…)
Le contenu 'purement technique' a pas mal baisse, les gens qui etaient interesses par ces discussions (j'imagines que c'est en reaction) sont moins presents, au profit des gens qui ne sont interesses qu'a troller sur leurs chouchous preferes de maniere emotionelle et avec peu d'argumentation technique.
Bref, c'est devenu bcp moins amusant d'etre par ici pour certains qui attachent de l'importance a ce cote la.
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -6.
Par des failles ? Evidemment, et ca existe toujours, comme sous Linux.
Un driver c'est normal, il tourne dans le noyau, c'est idem sous Linux.
Pour le service, cela depend de ses permissions, idem sous les 2 systemes.
Quand au logiciel PDF, tu m'expliqueras comment un logiciel PDF tournant en simple utilisateur va modifier le boot sous Windows…
Il n'y a aucun OS grand public qui existe et qui est different sur ces points.
Bref, comme Windows quoi. Tu ne m'a rien montre ici que Linux a et Windows pas.
LOL, et tu voudrais que le systeme fasse quoi exactement ? Qu'il interdise a l'admin de modifier son systeme ?