pasBill pasGates a écrit 16169 commentaires

Ca effectivement.

Ca serait bien aussi de rajouter a Linux un systeme complet de transaction comme Windows, qui permet de modifier plusieurs fichiers, modifier des entrees de config, et faire un rollback en cas de probleme, ca eviterait des problemes comme celui-ci

Je re -->[]

Consulter la présence du mot clé discard pour le point de montage / dans /etc/ftab

Sous Windows, c'est hyper intuitif :

fsutil behavior query DisableDeleteNotify
If the result is '0' TRIM is enabled.

Super, quelle difference entre les 2 ?

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation] “RealTimeIsUniversal”=dword:00000001

C'est caché au fin fond du registre. Génial. Mais la devinette, c'est marrant 5 minutes

Cache ? Au fin fond ? Non, c'est la ou c'est sense etre dans la hierarchie.

Je peux faire REG ADD HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation /f /v RealTimeIsUniversal /t REG_DWORD /d 1 depuis la ligne de commande pour le modifier ou le lire.
Tu m'expliques comment tu modifies un parametre en ligne de commande dans un fichier de configuration arbitraire sous Linux ?

Les services ont un log a eux d'habitude, comme sous Unix.

cf. http://msdn.microsoft.com/en-us/library/windows/desktop/aa366492%28v=vs.85%29.aspx

Ca te permet d'intercepter/modifier facilement le traffic a tout un tas de niveaux differents allant d'Ethernet a RPC en passant par IPSEC, etc…

Netfilter par contre ne te permet de faire ca qu'au niveau IP.

• Hierarchique
• Securite granulaire sur chaque cle de la hierarchie separement plutot qu'au niveau d'un fichier entier
• Format standardise pour chiffres, donnees binaires, texte, listes de texte

Tu veux comparer ca a ce qu'on trouve sous /etc pour rire ?

Ton pote chinois qui a son son log en UTF-8 avec des caracteres qui prennent 2 ou 3 bytes, il va le lire comment son log exactement ?

Oui mais c'est uniquement pour Gnome, faut mettre ca pour le systeme entier histoire d'avoir une unification du stockage de parametres plutot que 523 formats de configuration differents.

Sinon, si vous pouviez mettre une platforme de filtrage reseau similaire a WFP dans le kernel ca serait sympa, ca me fait pas mal ch… en ce moment de ne pas pouvoir intercepter et modifier facilement tout le traffic que je veux. netfilter est sacrement limite de ce cote la.

Je suis bien content de voir que la communaute Linux se rapproche de plus en plus de Windows avec systemd, journald, etc…

Ca a mis du temps, mais j'ai confiance. Bientot il y aura une base de registre pour tout le systeme plutot que ce merdier de /etc , installer un programme ne forcera plus a upgrader toutes les dependences, et qui sait, peut-etre meme un demineur !

Sur ce, je -->[]

Dans un cas tu as un format qui est uniquement lisible par un outil, pas forcément disponible à grande échelle

LOL

Et ton log en format texte, tu le lis avec tes yeux rives sur les electrons du disque dur ?

cat, tail et less c'est quoi si ce n'est des outils ?

Je pourrais te mettre une machine Linux avec des logs en format binaire, et des outils nommes cat, tail, less qui te lisent ce format, et tu n'y verrais que du feu.

Ah ok…

Ben en fait faudrait arreter de parler de tout ce qui est desktop sur Linux alors ? Il va commencer a etre un peu vide ce site…

Evidemment que les IDE ne font pas tout. L'environnement ideal, qui est toujours parfait, ca n'existe pas.
Mais il y a un monde de difference entre le boulot a faire avec Emacs/VIM et ce qu'un IDE decent offre de base.

Productifs avec Emacs/vim ?

Laisse moi rire… Ca s'appelle "ne pas vouloir changer ses habitudes", et rien d'autre. Pour avoir vecu dans les 2 mondes (et oui, je m'amusais a editer des extensions en LISP), il n'y a juste pas photo du tout.

Emacs/vim requierent de tout faire a la mano, ou se coltiner un travail de creation de l'environement (build system + debugger + editeur +…) soi-meme qui est une perte de temps inimaginable.

Alors oui Emacs c'est flexible, c'est super en LISP et ca fait le cafe. Mais ca fait le cafe apres avoir passe 300 jours a le configurer pour. Je preferes utiliser une machine a cafe a ce prix la.

encore une techno fermé qui doit être émulé par wine …

T'as vu ou qu'il y avait besoin de wine ?

ps: je base ma diatribe sur cette présentation http://office.microsoft.com/fr-fr/lync/

Bref, tu causes d'un truc que tu n'as jamais essaye

C'est pas un probleme forcement, Amazon et Azure le permettent sur demande.

Il est peut-etre possible que tu puisses faire ton scan, apres les avoir prevenu. Tu devrais contacter leur departement securite et voir avec eux.

a) http://www.binarypool.com/idapluginwriting/ c'est un peu vieux mais en gratuit c'est la reference niveau documentation pour les APIs d'IDA (qui est notoirement horrible niveau doc officielle). Chris Eagle a aussi un livre sur IDA qui explique plutot bien comment ecrire des plugins.
b) Il y a un nombre enorme de plugins pour IDA pour faire un tas de trucs differents (trouver des vtable dans un binaire, etc…) cf. http://www.openrce.org/downloads/browse/IDA_Plugins

Comme aujourd'hui

Oui, mais aujourd'hui la responsabilite pour une update merdique d'un ISV ou auteur de shareware au hasard ne retombe pas sur MS.

Ce n'est pas ce que j'ai réclamé. Et de ce que je vois dans la façon dont les mises à jours sont gérées aujourd'hui, notamment au niveau de soft de sociétés aujourd'hui disparues (avec des tentatives de connexions sur des nom de domaine n'appartenant plus à l'ancien éditeur), je ne suis pas certains que l'absence de ce framework (même non blindé) est un gain coté sécurité.

Le truc est que MS ne va pas pointer les gens sur une update qu'il ne controle pas, c'est un gros risque notamment du point de vue legal sans parler du point de vue reputation. Donc pas de liste centralisee, pas de depot central, etc… si MS ne peut pas controler l'update.

C'est pour ca que je parlais d'un framework comme truc qu'ils auraient pu faire.

Mouarf, suffirait de mettre en place une signature des binaires… Oh mais ça existe déjà…

Tu crois qu'une signature suffit ?

Une signature va t'assurer que le serveur du petit developpeur dans son coin ne s'est pas fait hacke et le code change dans les sources ?

Une signature va t'assurer que le developpeur n'a pas mis de saloperies dans le soft ?

Une signature va t'assurer que le developpeur qui ne comprend pas grand chose a la securite ne s'est pas fait voler sa clef privee de signature en se faisant hacker sa machine ?

Regarde ce que le modele appstore / sandbox amene, c'est pas par hasard qu'il y a plein de limitations et qu'il y a une sandbox.

Si tu ne regardes que le technique basique, evidemment c'est simple.

Mais quand t'es l'editeur de l'OS le monde est different. Tu fais du HTTP simple parce que le gars qui a fait ce shareware n'a pas voulu depenser 200$ pour son site ? Ben tu t'ouvres a des attaques MITM, et meme en HTTPS, tu veux verifier le certificat du serveur d'en face proprement et t'assurer que c'est bien le site que tu veux, tu veux donner un minimum d'assurance aux gens que le site ou les updates sont stockees est sur et qu'ils ne se feront pas hacker a travers une annonce d'update pour un package verole donnee par Microsoft, etc…

Annoncer et offrire des updates que MS ne peut pas verifier, ca ouvre la porte a plein de risques, y compris legaux, pour MS. C'est pas par hasard que les app stores de Win8 et Phone 8 font plein de verifs sur les apps, que les apps sont dans une sandbox, etc… Et ca c'est pas possible pour les apps standard Windows.

Ce que MS aurait pu faire a mon sens, c'est filer des librairies pour rendre la chose facile a faire pour les developpeurs.

Correct.

Je fais comme je faisais chez MS : securite, sur AWS (ce qui implique non seulement du Linux mais du Windows aussi d'ailleurs vu qu'on hoste les 2).

Pour les commits, j'en doutes fort, mon job est de casser, pas de reparer :+)

Non ce n'est pas homogène! Dans le menu de désinstallation des programme c'est compliqué de rajouter une case vérifier les mises à jour, et avoir une base chez MS, consultée en même temps que les mises à jour du système pour indiquer qu'il y a une mise à jour? (quitte à avoir la même merde pour les maj, mais au moins ne pas avoir 50 process qui encombre la ram (ou le swap), la liste de processus en cours, font des connexions réseau…

Ben oui c'est complique… Parce que sans un 'store' ou les apps sont verifiees, ou elles sont limitees par une sandbox, … que devient la responsabilite de MS si un de ces softs est pourri ? Comment est-ce que MS doit gerer ca pour les centaines de milliers de softs de tout un chacun ? que fait MS avec les adwares ? etc…

Le store de Win8 ca fonctionne, parce que ca part de rien, pas d'existant enorme a gerer.

A mon avis il y aurait eu quand meme matiere a amelioration (= une sorte de framework facilitant et uniformisant le boulot), mais c'est un probleme complique et pas que sur le plan technique.

Par défaut, ce n'est pas le cas. C'est juste le paramètre par défaut d'Ubuntu.

Bref, c'est le cas pour la plupart des pekins moyens qui existent sous Linux…

Chez moi j'ai bien Sudo (et gksu), mais j'ai le délai avant un nouvel demande d'authentification à 0, ce qui veut dire que tu n'auras jamais 15 minutes pour faire ce que tu veux. ;-)

Et chez moi il n'y a meme pas UAC… Mais de nouveau, le pekin moyen…

Toujours par rapport à l'UAC de Windows Vista/Seven, j'aime le fait que ce soit un choix entre Oui/Non plutôt que de demander un mot de passe (par défaut, certes). Bref, on a tout le temps la possibilité de faire ce qu'on veut tant qu'on a un accès physique et que c'est pas verrouillé (d'ailleurs, on peut aussi verrouiller sous Ubuntu tu sais). C'est un peu nul niveau sécurité quand même.

Ben si t'as un acces physique, ta machine est foutue de toute facon hein. Cf. la NSA et ses implants sur port PCI et autres.

1) Tout a fait

2) Je n'y crois pas. Pourquoi ? Parce que l'enorme majorite des utilisateurs desktop sous Linux sont sous Ubuntu. Et pour les serveurs c'est entre Redhat/Debian voire Suse, le reste est infime.

3) On est d'accord, mais c'est dans les 2 sens, pour l'utilisateur moyen, les depots Linux c'est sympa quand le soft et sa bonne version sont dedans. Quand c'est pas le cas, c'est un peu l'enfer pour installer la version voulue.

4) J'ai pas Java sur ma machine perso (ce truc est un desastre du point de vue securite), mais j'ai du mal a imaginer qu'il n'ait pas un moyen de faire une elevation, ou faire l'update a travers un service. Flash et Reader n'ont pas ce probleme.

5) Avoir un systeme pirate n'empeche pas les mises a jour, on ne les bloque pas.

Je veux bien qu'ils fassent des efforts mais ce qui est cité là c'est pourtant contraire à la plupart des règles de bases de sécurité.

a) Le truc des mots de passe a 14 caracteres, sans casse, etc… c'est bloque par defaut depuis Vista, et c'etait deconseille avant (NTLMv1). Faut le permettre explicitement pour qu'il soit utiise
b) Le fait que le mot de passe ne transite pas sur le reseau, c'est une tres bonne chose. Tu crois que ton mot de passe transite sur le reseau avec Kerberos ? Bien sur que non, c'est du challenge-response. Quand au hash qui passe sur le reseau, ca fait un bail que ce n'est plus le cas.

Il y a le fait que la base n'est pas 'saltee' mais la de toute facon, c'est pas ca qui te permet d'acceder au systeme, parce qu'il faut de toute facon que tu aies acces au systeme en tant qu'admin pour acceder a la base des mots de passe. Quand a la raison de cela, de ce dont je me souviens, c'est du au fait de pouvoir faire une authentification reseau sans prompt.

Tu remarqueras que Samba est a la meme enseigne en passant…

Pour admin/non-admin, tu m'expliques la difference entre ce que Vista/Windows 7 font et Ubuntu/autres avec sudo ? Aucune difference. Si j'arrives sur le compte d'un Ubuntu, j'ai juste besoin d'attendre un peu qu'il utilise sudo, et ensuite j'ai 15 minutes pour faire ce que je veux… Sudo rend un compte non-admin equivalent a un compte admin niveau securite. C'est plus une protection contre l'utiisateur lui-meme que contre les attaques.

C'est pas une attaque, c'est un constat. Les gens voient sur TF1, sur news.com ou autre un article disant "vulnerabiite dans Windows" (ou dans IE ou …).

Ils voient ca 2-3 fois et hop, ca leur suffit, Windows (ou IE ou…) devient automatiquement une bouse du point de vue securite, parce que bon hein, c'etait dans les news, c'est enorme !

Ils ne font pas l'effort d'aller voir ce qu'il y a de l'autre cote, si cette vulnerabilite qui a fait la une est vraiment differentes des vulnerabilites trouvees dans leur systeme prefere, etc… Il ne leur viendrait pas a l'esprit d'aller gratter pour voir quels procedes et efforts MS utilise pour trouver des failles, quel est l'effort similaire sur les produits OSS (quand il existe…), etc…

Non, c'est du jugement a la va-vite, un peu comme juger Franck Ribery uniquement sur son apparition dans Telefoot a la CDM 2010, en oubliant tout le reste.

J'ai une vision deformee ? Ben qui sait, peut-etre, mais force est de constater que ceux qui ne suivent pas ce modele sont plutot discrets alors, il y en a quelque uns, mais ce ne sont clairement pas les plus vocaux.