• # ...

    Posté par  . Évalué à 0.

    A quand un navigateur developper avec pour objectif la securite ?
    Un navigateur qui serait l'equivalent de http://vsftpd.beasts.org/(...) avec un design secure ?
    • [^] # Re: ...

      Posté par  . Évalué à -6.

      tu sais mieux qu'un serveur FTP, il y a les serveurs sftp sur le port 22.
      Ceci dit c'est vrai que vsftp est très secure, mais le nom pourrait faire croire à une config très securisé d'un serveur sftp (je me suis laissé abusé)

      Ceci je ne pense pas que ce soit les même onjectifs (navigateurs et ftp).
      • [^] # Re: ...

        Posté par  . Évalué à 5.

        tu sais mieux qu'un serveur FTP, il y a les serveurs sftp sur le port 22.
        Eux ca n'a rien avoir, je peux faire un serveur sftp qui est une vraie passoire...
        la difference c'est le protocole employe qui garanti le ciffrage des donnes, mais apres l'implementation ca depend de l'auteur

        Ceci dit c'est vrai que vsftp est très secure, mais le nom pourrait faire croire à une config très securisé d'un serveur sftp (je me suis laissé abusé)
        Il supporte le SSL donc le ftps.

        Ceci je ne pense pas que ce soit les même onjectifs (navigateurs et ftp).
        Je parlais notament du design : http://vsftpd.beasts.org/DESIGN(...) , http://vsftpd.beasts.org/IMPLEMENTATION(...) . Et que ce soi pour un navigateur, un serveur ftp, ... du moment que tu te fixes des objectifs de securite, et ben t'es oblige de passe par cette etape...
        • [^] # Re: ...

          Posté par  . Évalué à -5.

          Ceci dit c'est vrai que vsftp est très secure, mais le nom pourrait faire croire à une config très securisé d'un serveur sftp (je me suis laissé abusé)
          Il supporte le SSL donc le ftps.

          Donc autant utilisé l'original que la copie

          tu sais mieux qu'un serveur FTP, il y a les serveurs sftp sur le port 22.
          Eux ca n'a rien avoir, je peux faire un serveur sftp qui est une vraie passoire...
          la difference c'est le protocole employe qui garanti le ciffrage des donnes, mais apres l'implementation ca depend de l'auteur


          Le ftp, il suffit de mettre un sniffer, et tu as tout ce qu'il te faut, donc un serveur FTP hyper sécurisé sera toujours handicapé par le non cryptage des informations. Après, le ssh, c'est clair que ça peut devenir une porte d'entrée assez simple , MAIS il peut être plus sécurisé du fait du cryptage du mot de passe entre autre. Comparer ftp à sftp c'est comparer telnet à ssh.
          • [^] # Re: ...

            Posté par  (site web personnel) . Évalué à 7.

            J'ai l'impression que vous ne vous comprenez pas.
            Pour moi, Mathieu parle de securité dans le processus de developpement, ce qui est completement independant du protocole utilisé.
            Tu peux avoir un serveur sftp avec un super cryptage mais plein de buffer overflow (et du coup facile à planter), qui doit tourner sous root (la galère si qq'un prend la main dessus), qui autorise n'importe quel user local a acceder à la conf ou que sais-je encore ... Un tel serveur sera un gruyère en terme de sécurité.
            Si tu lis le document de design de vsftp, c'est assez clair je trouve.

            D'ailleurs la faille signalée dans ff est de ce tonneau la.
            • [^] # Re: ...

              Posté par  . Évalué à -2.

              ok, moi, j'ai compris implementation=configuration, donc c'est pour ça, question buffer overflow, peut être que vsftp est plus securisé que ssh, après moi je parlais de securité courante, celle dont s'occupe l'administrateur :-)

              Voilà encore une exemple d'un défaut de communication entre developpeur et personnes de la production/exploitation
              • [^] # Re: ...

                Posté par  (site web personnel) . Évalué à 1.

                Ben non quand même, aux dernières nouvelles on ne peut pas chrooter un utilisateur en sftp. Donc c'est quand même ta responsabilité d'utilisateur si tous tes users sftp peuvent récupérer le /etc/passwd et le reste...
    • [^] # Re: ...

      Posté par  . Évalué à 3.

      Maximiser sur les fonctionnalités c'est hélas généralement minimiser sur la sécurité. C'est réducteur, je sais mais cela demeur qd même un peu vrai.

      Autres exemples que vsftpd: qmail, djbdns.

      Sinon oui l'essentiel des personnes de ce thread n'ont pas compris la question de matthieu. Illustration: http://fr.wikipedia.org/wiki/Programmation_s%C3%A9curis%C3%A9e(...)

      La programmation sécurisée consiste à prendre en compte la sécurité informatique à tous les moments de la conception, de la réalisation et de l'utilisation d'un programme informatique. Cela permet d'éviter au maximum les trous de sécurité et autres bugs.

      A+
      • [^] # Re: ...

        Posté par  (site web personnel) . Évalué à 1.

        > Maximiser sur les fonctionnalités c'est hélas généralement minimiser sur la sécurité. C'est réducteur, je sais mais cela demeur qd même un peu vrai.

        C'est bien plus qu'un peu vrai malheureusement. Ou alors il faut faire comme Bernstein et décomposer en pleins de progs indépendants qui tourneraient sous des comptes différents. Un modèle client-serveur en quelque sorte. Un peu surdimensionné pour un brouteur. :-(

        > Autres exemples que vsftpd: qmail, djbdns.

        Tellement sécurisés qu'on passe la pluspart de son temps à les patcher pour réaliser la moindre fonctionnalité non prévue.
        Et puis si quelqu'un se sent le courage de demander au grand psychopathe de bosser sur un browser, je veux bien me dévouer pour filmer la scène qui risque d'être un grand moment de l'histoire...


        PS: la faille de firefox ne fonctionne pas chez moi, suis-je le seul?
        • [^] # Re: ...

          Posté par  (site web personnel) . Évalué à 1.

          j ai aussi essayer et ca n a rien fait j ai beau tester plein de truc ca plante pas ...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.