Non, tu peux parfaitement interdire l'accès à la base de registre avec les règles de sécurité (regarde Poledit entre autre).
Merci, mais je connais. Lorsque je faisais de l'admin NT, j'ai même créé mes propres fichiers de configuration de poledit (*.adm je crois me souvenir), afin de restreindre et de configurer plus finement mes postes clients.
Mais la question n'est pas la: Avec la configuration par défaut de Windows (NT/2K/XP), les restrictions des utilisateurs ne sont pas suffisantes. Sous Linux, seul le root et le group root ont le droits de toucher aux fichiers communs et importants: /bin, /etc, /lib, /usr/bin, /usr/lib, etc ...
Ensuite, un programme sous Windows 2000/XP s'exécute avec les droits de l'utilisateur. Donc si l'utilisateur n'a pas le droit d'accéder à la base de registre, un programme qu'il exécute ne le pourra pas non plus.
Je suis d'accord. C'est bien pourquoi ma remarque envers PBPG était justement sur le fait qu'il prônait l'utilisation de Windows NT/2K/XP en temps qu'admin local. Et c'est sur ce point que je ne suis pas d'accord.
Alors remets toi d'abord en question avant de remettre le système, tu as sous NT4, en utilisant Poledit, la possiblité de bloquer l'accès à la base de registre.
Poledit ne permettra que de m'interdir de lancer "regedit.exe" ou "regedt32.exe". Par contre, rien ne m'empechera d'écrire un programme de 10 lignes (Perl, C++, VB, VBa, etc ...) qui lira/écrira des clefs dans la base de registre. Si les clefs sont protéges ce programme n'aura aucun effet. Par contre si elle ne le sont pas, ce programme en fera ce qu'il veut ... Et ca, poledit peut toujours s'accrocher pour l'interdir !!
C'est un peu comme pour le disque dur: Avec Poledit, tu peux interdir le lancement de "explorer.exe", mais en aucun cas tu n'interdiras à un soft d'accéder au système de fichier (sauf protection spécifique graçe au NTFS).
Sur tes 2 heures, je pense que tu y vas un peu fort, à moins que tu y intègres la "recherche de panne", mais de toute façon, cette notion apparaîtrait même si tu amenais une machine sous Linux, ou même ta voiture chez le garagiste.
Ca, c'est dans le cas où tes images disques sont à jours. Ici après chaque descente d'image l'équipe réseau doit mettre à jour tout un tas de soft (ie 6 par exemple) qui ne se trouve pas sur l'image. Et je ne parle même pas de la configuration de l'outil de mail (non, ce n'est pas MS Exchange, mais pas mieux ...). Quand je dis 2h, je suis gentil ...
Ne pas confondre les droits sur ta machine et les droits sur le réseau.
Merci, je connais la différence. Dans aucun de mes posts je n'ai parlé de droits d'admin sur le réseau. Je ne parle que de droits d'admin local.
Que tu sois admin local de ta machine est une chose, tu n'auras pas pour autant davantage de droits sur le réseau si tu n'y es déclaré que comme invité.
Je n'ai jamais dit le contraire
Ensuite, une machine c'est pareil partout, ça se configure un minimum pour avoir de la sécurité.
Oui, je suis d'accord. Mais celle par défaut de Windows NT/2K/XP n'est pas top. Du moins, en temps qu'(ex-) admin parano, elle ne me suffit pas, mais alors pas du tout !
Imagine l'utilisateur qui installe son Linux, il me semble qu'il connait le mot de passe du root lui aussi non ?
Le problème est le même, tu as de toute façon une configuration sécurité minimale à apporter au système.
C'est bien a raison pour laquel tout au long de ce post je m'oppose à ce qu'on laisse les droits d'amin locaux à l'utilisateur. PBPG nous dit que "Windows c'est facile" car avec les droits d'admin local il n'a aucun problème pour installer des softs. Ca, je veux bien le croire, mais au niveau de la sécurité, c'est zero. Qu'on lui retire les droits d'admin local, et la il se rendra compte que Windows c'est soudain moins facile à configurer.
Laisser les droits admin a un user quand il s'agit d'une societe informatique s'occupant de developper ledit OS c'est legerement plus comprehensible.
Evidement, dans la dite société il n'y a que des utilisateurs cheveronnés qui ne cliquent jamais sur des documents attachés, ni même sur la "petite animation flash rigolote qu'ils ont reçu sur leur boîte perso, et qu'ils l'ammènent au boulot sur une disquette". Car sinon, le joli petit vers qu'il y a dedans pourrait tranquillement s'executer avec les droits admin, récupérer toutes sortes de mots de passe, et les envoyer par email, ou par FTP a son créateur .... Ce n'est pas ce que faisait jusement les vers de type I-love-you, Melissa et consor ? D'ailleurs, tu dois être au courant: Il y a environ 2 ans, c'est ce qui était arrivé à Microsoft. Et des "vilains pirates" avaient pu ainsi récupérer toutes sortes de mots de passes sur des bases de données internes (news de Yahoo il me semble). Mais heureusement, les serveurs contenant le code source de XP n'avaient pas été touchés .... Ouff, on respire !
Sinon c'est marrant mais sur mon XP, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run est limite aux administrateurs et au systeme, un user normal ne peut pas ecrire dedans.
Je n'ai pas XP sous la main (et puis quoi encore, mon NT de boulot rame déjà suffisament), mais sur NT elle est bien en écriture pour tout le monde. Et aussi sur tout les NT que j'ai connu, vu et installés d'ailleurs ... Je suis impressionné: Microsoft s'est finalement rendu compte au bout de 5 ans qu'il était nécessaire de protéger cette clef on ne peut plus sensible ...
En passant, tu peux essayer d'installer un soft en etant utilisateur sous Windows, il ne plantera pas le systeme, car il ne peut pas toucher a quoi que ce soit de sensible.
C'est beau la théorie. Dans ma boîte, j'ai vu une utilisatrice installer "Babylon" (un dico anglais-français) sur sa machine NT, sans droit administrateur bien sur. C'est rigolo, mais le spyware qui était dedans s'est mit tout de suite à vouloir rentrer en contact avec son créateur. Oh, certes ca n'a pas fait un Blue Screen Of Death, mais bon, un spyware sur un réseau d'entreprise, ce n'est pas très gentil, hum ? Encore heureux que cette cochonnerie ne savait pas utiliser le proxy, sinon il serait sortit vite fait !
Mais on s'écarte du sujet. Prenons la base de registre et HKEY_CLASSES_ROOT par exemple. En temps que simple utilisateur, je peux modifier/supprimer quasiment toutes les clefs que je veux (donc n'importe quel soft que j'ai installé peu aussi le faire). Après un tel traitement mon superbe Office et mes magnifiques logciels Windows aurons bien du mal à focntionner, et un appel déséspéré au service Informatique m'invitera cordialement à ramener mon PC, afin de lui appliquer une redescente d'image ... A defaut d'avoir planté ma machine, elle repassera au service informatique, qui mettra 2 heures à reconfigurer la machine ... Ca, c'est du coût caché !
Au fait, juste à titre info: Est-ce que tu trouves normal que, lors d'une installation de Windows XP PRO, tout les utilisateurs créés aient les droits admins (je parle de la création des comptes utilisateurs durant la phase d'installation elle-même). Moi perso ca me gène pas mal, parce qu'au niveau sécurité, c'est zero ...
Moi je peux installer les applis que je veux sur ma machine, l'admin s'en tape, si il ne les a pas interdit, je peux les installer. Je peux configurer ma becane comme je le veux.
Oui avec les droits admins de TA machine, tu peux aussi par exemple installer un petit sniffer de trames réseau, histoire de récupérer les mots de passe (encodé) qui trainent .... Puis un petit coup de LC4, et hop, tu as les mots de passe décodés. Hooo, ben ca alors ....
Sous Windows, laisser les droits admins à un utilisateur est de l'hérésie. Au niveau de la "sécurité des logiciels", c'est une horreur. Par exemple un soft que tu lances et qui installe un spyware n'importe où, y comprit dans la pile TCP/IP.
Je me souviens d'un "vieux" soft appellé "Windows 98" qui a toujours été considé comme n'étant pas conçu façe aux "attaques" de ce type, car son système de fichiers n'avait pas de gestion de droits d'accès. He bien, avec un Windows NT/2K/XP et les droits d'admin (locaux ou non), tu te retrouves exactement dans le même cas (hormis pour le fichier SAM et quelques autres) !
Moi ce que j'aime bien avec Windows, c'est que tu peux toujours écrire dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et dans ses petites copines. C'est l'idéal pour placer un petit spyware, virus, ou autre cochonerie de ce type ! Par contre sous Linux, ce n'est pas évident d'aller taper dans le /etc !
Sous Linux, la plupart des logiciels qu'un utilisateur a besoin (gimp, openoffice, etc ...) N'ont PAS besoin des droits admins pour focntionner. Un petit ~/bin , ~/etc, ~/lib et ca roule. Si l'utilisateur casse son compte en installant un soft qui a fait une bétise, c'est tant pis pour lui. Mais il n'aura vautré QUE son compte. Alors que sous Windows, se serait la machine complète ...
Perso sous Linux, je n'utilise que rarement le root pour installer des softs (je n'installe pas ou peu de rpm, je préfère compiler les sources). J'ai un utilisateur particulier qui a les droits d'écriture dans le /usr/local (sans pour autant être root), mais pas sur mes comptes utilisateurs. Si lors de l'installation d'un de softs il y a un bug, et qu'il s'amuse à tout supprimer ("rm -rf /" par exemple), les dégats qu'il fera seront limités au /usr/local et au $HOME de cet utilistaseur. Sous Windows et avec les droits admins, le même programme supprimera tout le disque dur ... Ah non excuse: il restera le fichier SAM et les bases de registre ....
Il est clair que Microsoft veut récupérer le segment de marché que jusqu'alors il laissait à "Liberty Alliance", a savoir celui les sites qui ne veulent pas faire tourner leur serveur web sur du ISS/ASP/.NET (problème de sécurité, confidentialité, tenue en charge, stablité, etc ...).
Dans un premier temps, cela peut enlever une contrainte sur certains sites commerciaux: Ils peut quand même migrer une solution serveur 100% Windows en du 100% Unix/Linux (donc c'est Bien(Tm)), tout en ayant un système de payement au "standard Microsoft" pour leurs clients Windows.
Dans un second temps, Passport sera plus utilisé, donc plus de machines clientes pourront y avoir accès, et "Liberty Alliance" sera un peu plus évincé. Et comme le portage de Passport sous Unix/Linux ne semble être prévu que du coté serveur, nos braves machines Unix/Linux ne pourront toujours pas y avoir accès, et seront un peu plus exclus du web commercial ....
Du point de vue de Microsoft, c'est donc un calcul qui n'est pas si bizarre que cela puisse paraître ....
En quoi est-ce que le Javascript gène si:
- son abscence d'interprétation de la part du navigateur ne pourri pas la lecture de la page
- il ne fait qu'apporter quelles améliorations esthetiques
- il n'empèche pas la validation de la page par le validator (http://validator.w3.org/(...))
L'utilisation de chiffres dans le domain du nombre de virus et du nombre de bugs est vraiment à prendre avec précaution.
170 virus sous Linux, toute versions confondues ? Et alors ? Si j'en crois le message qu'affiche l'antivirus(*) d'un PC Windows du boulot, ca fait un peu plus peur:
<i>xxxx NT xxxxxx service started - scanning for <b>61638<b> viruses.</i>
(*) pas la peine de donner son nom, ils sont tous equivalents ...
De même, l'article parle de plus de 400 bugs sous Linux, contre 200 sous Windows. He bien, ca dépend des sources, mais si utilisent par exemple buzilla pour avoir le nombre de bugs de Mozilla (http://bugzilla.mozilla.org/query.cgi(...)), il y en a plus de 28000 ! Ou la la, ca fait peur !!!! :=) Alors que sous IE, il n'y en a pas .... Ou si peu .... Des "pas important" quoi .... :=) Sauf que dans ce chiffre, il y en a un paquet qui sont des propositions de fonctionnalités ... Mais ce genre de détail, on évite de trop les divulger, car ca ne fait "pas vendre" l'article ...
Enfin, moi ces virus ca me fait bien rigoler, car jusqu'à présent je n'en n'ai pas vu un qui ait tenté de s'executer via mon maileur Mozilla. Par contre, qu'est-ce que je reçois comme mails infectés pouvant s'auto-lancer depuis Outlook !!! Ah, excusez moi on m'appelle: Encore le Windows d'un ami/collègue à réinstaller suite à un vilain virus reçu dans sa boîte email ...
On peut difficilement parler "d'antiquité", pour des machines ayant 128Mo. Même si toi tu as fait une évolution de ta quantité de mémoire, il reste rare d'en avoir autant sur un PC d'ancienne génération (<= PII / K6). Quand à rajouter aujourd'hui de la mémoire vive sur ce type de machine (SDRAM non DDR ou SIMM), c'est tout simplement hors de prix ...
Les distributions et applications actuelles prennent de plus en plus de mémoire, et en-dessous de 64Mo de mémoire vive, il n'est pas très "confortable" d'installer une grosse distribution comme une RedHat, Mandrake, ou une Debian (avec un bon gros desktop Gnome ou Enlightment). Pour ce type de machine, il faut des window manager, des desktop, et des applications "légers".
De plus, cela peut permettre de monter à des utilisateurs Windows que l'on peut recycler leurs vielles machines avec du Linux. Si on leur fournit toutes les fonctionnalités qu'ils sont habitués à avoir (navigation, courrier, discussion, bureautique, etc ...), avec en plus un bon confort d'utilisation, ils passeront plus facilement à Linux le reste de leurs machines !
Et plus précisement: http://www.gnupg.org/gpa.html(...)
Je cite "The GNU Privacy Assistant is a graphical frontend to GnuPG and may be used to manage the keys and encrypt/decrypt/sign/check files."
D'autant que rien ne peut empécher une personne de dissimuler des données à travers un protocole quelconque. ICMP est exemple parmis d'autres ...
Un simple "ping" sur une machine est très innocent, ca ne gènère pas beaucoup de trafic (sauf les attaques par DOS), et pourtant on peut mettre plein de choses dans son champ "data" (jusqu'à 64kb par paquet). Quand à intercepter, stocker et contrôler tout les paquets ICMP, je doute que les FAI ou les organismes compétants s'y amusent ...
Il y a moins bourrin que cela:
Sur le site de bugzilla (http://bugzilla.mozilla.org/show_bug.cgi?id=145579), il est indiqué d'autres méthodes pour contrer ce bug, et notamment en rajoutant une option au fichier "user.js", afin de désactivé le HTTP_REFERER. Le site http://members.ping.de/~sven/mozbug/refcook.html détaille bien la procédure à utiliser.
Ou sinon, il suffit d'utiliser un "proxy utilisateur", comme http://www.privoxy.org/ (issus de http://www.junkbuster.com/) ou http://proxomitron.org/ (connais pas) ...
Bref, tout ce qu'il faut pour laisser activé Javascript, que bon nombre de sites web utilisent.
Petite question: Pour Windows 2000, lorsque Microsoft fournissait le code source de l'OS, il y avait 2 parties qui n'étaient pas publiées:
- le code source du défragmenteur qui, d'après Microsoft, était issus d'une société exterieur qui n'avait pas donné son accord pour la diffusion de celui-ci
- la pile TCP/IP, qui était, des dires mêmes de Microsoft, issus d'une licence BSD (ce qui leur donnait le droit de NE PAS diffuser le code source modifié).
Ma question est donc toute simple: Avec Windows XP, est-ce que le code de la pile TCP/IP est aussi founie, ou fait elle toujours parti de cette exception ?
Si le texte était voté par le Congrès, la RIAA aurait ainsi les coudées franches pour lancer par exemple des attaques par saturation, semblables à celle qu'elle vient de subir. Ses cibles pourraient être des réseaux P2P sur lesquels des copies de fichiers MP3 protégés sont échangées.
Franchement, il faudrait que la RIAA ait une sacré bande passante pour lancer massivement des attaques DOS sur des milliers d'utilisateurs de P2P. Le DOS, c'est plutôt dans l'autre sens que ça se fait ...
A moins qu'ils n'implantent dans les machines des utilisateurs des softs permettant de faire du DOS sur les autres machines du réseau P2P, afin que le réseau s'auto-sature. Mais je doute que l'on autorise la RIAA à installer à distance des softs sur les machines de particuliers (ca, c'est du piratage pur et simple) ...
Enfin, je ne pense pas que les fournisseurs d'accès (Wanadoo, et consorts) voient d'un très bon oeil leur bande passante massacrée par du DOS ...
L'extrait intéréssant de la license est ici: 12. AUDIT. During the term of this License and for one (1) year thereafter, upon reasonable notice and during normal business hours, Borland or its outside auditors will have the right to enter your premises and access your records and computer systems to verify that you have paid to Borland the correct amounts owed under this License and determine whether the Products are being used in accordance with the terms of this License. You will provide reasonable assistance to Borland in connection with this provision. You agree to pay the cost of the audit if any underpayments during the period covered by the audit amount to more than five percent (5%) of the fees actually owed for that period.
[^] # Re: serveurs Windows moins cher que Linux (Reuters)
Posté par Olivier (site web personnel) . En réponse à la dépêche Serveurs Windows moins cher que Linux (Reuters). Évalué à 3.
Merci, mais je connais. Lorsque je faisais de l'admin NT, j'ai même créé mes propres fichiers de configuration de poledit (*.adm je crois me souvenir), afin de restreindre et de configurer plus finement mes postes clients.
Mais la question n'est pas la: Avec la configuration par défaut de Windows (NT/2K/XP), les restrictions des utilisateurs ne sont pas suffisantes. Sous Linux, seul le root et le group root ont le droits de toucher aux fichiers communs et importants: /bin, /etc, /lib, /usr/bin, /usr/lib, etc ...
Ensuite, un programme sous Windows 2000/XP s'exécute avec les droits de l'utilisateur. Donc si l'utilisateur n'a pas le droit d'accéder à la base de registre, un programme qu'il exécute ne le pourra pas non plus.
Je suis d'accord. C'est bien pourquoi ma remarque envers PBPG était justement sur le fait qu'il prônait l'utilisation de Windows NT/2K/XP en temps qu'admin local. Et c'est sur ce point que je ne suis pas d'accord.
Alors remets toi d'abord en question avant de remettre le système, tu as sous NT4, en utilisant Poledit, la possiblité de bloquer l'accès à la base de registre.
Poledit ne permettra que de m'interdir de lancer "regedit.exe" ou "regedt32.exe". Par contre, rien ne m'empechera d'écrire un programme de 10 lignes (Perl, C++, VB, VBa, etc ...) qui lira/écrira des clefs dans la base de registre. Si les clefs sont protéges ce programme n'aura aucun effet. Par contre si elle ne le sont pas, ce programme en fera ce qu'il veut ... Et ca, poledit peut toujours s'accrocher pour l'interdir !!
C'est un peu comme pour le disque dur: Avec Poledit, tu peux interdir le lancement de "explorer.exe", mais en aucun cas tu n'interdiras à un soft d'accéder au système de fichier (sauf protection spécifique graçe au NTFS).
Sur tes 2 heures, je pense que tu y vas un peu fort, à moins que tu y intègres la "recherche de panne", mais de toute façon, cette notion apparaîtrait même si tu amenais une machine sous Linux, ou même ta voiture chez le garagiste.
Ca, c'est dans le cas où tes images disques sont à jours. Ici après chaque descente d'image l'équipe réseau doit mettre à jour tout un tas de soft (ie 6 par exemple) qui ne se trouve pas sur l'image. Et je ne parle même pas de la configuration de l'outil de mail (non, ce n'est pas MS Exchange, mais pas mieux ...). Quand je dis 2h, je suis gentil ...
Ne pas confondre les droits sur ta machine et les droits sur le réseau.
Merci, je connais la différence. Dans aucun de mes posts je n'ai parlé de droits d'admin sur le réseau. Je ne parle que de droits d'admin local.
Que tu sois admin local de ta machine est une chose, tu n'auras pas pour autant davantage de droits sur le réseau si tu n'y es déclaré que comme invité.
Je n'ai jamais dit le contraire
Ensuite, une machine c'est pareil partout, ça se configure un minimum pour avoir de la sécurité.
Oui, je suis d'accord. Mais celle par défaut de Windows NT/2K/XP n'est pas top. Du moins, en temps qu'(ex-) admin parano, elle ne me suffit pas, mais alors pas du tout !
Imagine l'utilisateur qui installe son Linux, il me semble qu'il connait le mot de passe du root lui aussi non ?
Le problème est le même, tu as de toute façon une configuration sécurité minimale à apporter au système.
C'est bien a raison pour laquel tout au long de ce post je m'oppose à ce qu'on laisse les droits d'amin locaux à l'utilisateur. PBPG nous dit que "Windows c'est facile" car avec les droits d'admin local il n'a aucun problème pour installer des softs. Ca, je veux bien le croire, mais au niveau de la sécurité, c'est zero. Qu'on lui retire les droits d'admin local, et la il se rendra compte que Windows c'est soudain moins facile à configurer.
Dur dur de recentrer le débat ...
[^] # Re: serveurs Windows moins cher que Linux (Reuters)
Posté par Olivier (site web personnel) . En réponse à la dépêche Serveurs Windows moins cher que Linux (Reuters). Évalué à 2.
Evidement, dans la dite société il n'y a que des utilisateurs cheveronnés qui ne cliquent jamais sur des documents attachés, ni même sur la "petite animation flash rigolote qu'ils ont reçu sur leur boîte perso, et qu'ils l'ammènent au boulot sur une disquette". Car sinon, le joli petit vers qu'il y a dedans pourrait tranquillement s'executer avec les droits admin, récupérer toutes sortes de mots de passe, et les envoyer par email, ou par FTP a son créateur .... Ce n'est pas ce que faisait jusement les vers de type I-love-you, Melissa et consor ? D'ailleurs, tu dois être au courant: Il y a environ 2 ans, c'est ce qui était arrivé à Microsoft. Et des "vilains pirates" avaient pu ainsi récupérer toutes sortes de mots de passes sur des bases de données internes (news de Yahoo il me semble). Mais heureusement, les serveurs contenant le code source de XP n'avaient pas été touchés .... Ouff, on respire !
Sinon c'est marrant mais sur mon XP, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run est limite aux administrateurs et au systeme, un user normal ne peut pas ecrire dedans.
Je n'ai pas XP sous la main (et puis quoi encore, mon NT de boulot rame déjà suffisament), mais sur NT elle est bien en écriture pour tout le monde. Et aussi sur tout les NT que j'ai connu, vu et installés d'ailleurs ... Je suis impressionné: Microsoft s'est finalement rendu compte au bout de 5 ans qu'il était nécessaire de protéger cette clef on ne peut plus sensible ...
En passant, tu peux essayer d'installer un soft en etant utilisateur sous Windows, il ne plantera pas le systeme, car il ne peut pas toucher a quoi que ce soit de sensible.
C'est beau la théorie. Dans ma boîte, j'ai vu une utilisatrice installer "Babylon" (un dico anglais-français) sur sa machine NT, sans droit administrateur bien sur. C'est rigolo, mais le spyware qui était dedans s'est mit tout de suite à vouloir rentrer en contact avec son créateur. Oh, certes ca n'a pas fait un Blue Screen Of Death, mais bon, un spyware sur un réseau d'entreprise, ce n'est pas très gentil, hum ? Encore heureux que cette cochonnerie ne savait pas utiliser le proxy, sinon il serait sortit vite fait !
Mais on s'écarte du sujet. Prenons la base de registre et HKEY_CLASSES_ROOT par exemple. En temps que simple utilisateur, je peux modifier/supprimer quasiment toutes les clefs que je veux (donc n'importe quel soft que j'ai installé peu aussi le faire). Après un tel traitement mon superbe Office et mes magnifiques logciels Windows aurons bien du mal à focntionner, et un appel déséspéré au service Informatique m'invitera cordialement à ramener mon PC, afin de lui appliquer une redescente d'image ... A defaut d'avoir planté ma machine, elle repassera au service informatique, qui mettra 2 heures à reconfigurer la machine ... Ca, c'est du coût caché !
Au fait, juste à titre info: Est-ce que tu trouves normal que, lors d'une installation de Windows XP PRO, tout les utilisateurs créés aient les droits admins (je parle de la création des comptes utilisateurs durant la phase d'installation elle-même). Moi perso ca me gène pas mal, parce qu'au niveau sécurité, c'est zero ...
[^] # Re: serveurs Windows moins cher que Linux (Reuters)
Posté par Olivier (site web personnel) . En réponse à la dépêche Serveurs Windows moins cher que Linux (Reuters). Évalué à 5.
Oui avec les droits admins de TA machine, tu peux aussi par exemple installer un petit sniffer de trames réseau, histoire de récupérer les mots de passe (encodé) qui trainent .... Puis un petit coup de LC4, et hop, tu as les mots de passe décodés. Hooo, ben ca alors ....
Sous Windows, laisser les droits admins à un utilisateur est de l'hérésie. Au niveau de la "sécurité des logiciels", c'est une horreur. Par exemple un soft que tu lances et qui installe un spyware n'importe où, y comprit dans la pile TCP/IP.
Je me souviens d'un "vieux" soft appellé "Windows 98" qui a toujours été considé comme n'étant pas conçu façe aux "attaques" de ce type, car son système de fichiers n'avait pas de gestion de droits d'accès. He bien, avec un Windows NT/2K/XP et les droits d'admin (locaux ou non), tu te retrouves exactement dans le même cas (hormis pour le fichier SAM et quelques autres) !
Moi ce que j'aime bien avec Windows, c'est que tu peux toujours écrire dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et dans ses petites copines. C'est l'idéal pour placer un petit spyware, virus, ou autre cochonerie de ce type ! Par contre sous Linux, ce n'est pas évident d'aller taper dans le /etc !
Sous Linux, la plupart des logiciels qu'un utilisateur a besoin (gimp, openoffice, etc ...) N'ont PAS besoin des droits admins pour focntionner. Un petit ~/bin , ~/etc, ~/lib et ca roule. Si l'utilisateur casse son compte en installant un soft qui a fait une bétise, c'est tant pis pour lui. Mais il n'aura vautré QUE son compte. Alors que sous Windows, se serait la machine complète ...
Perso sous Linux, je n'utilise que rarement le root pour installer des softs (je n'installe pas ou peu de rpm, je préfère compiler les sources). J'ai un utilisateur particulier qui a les droits d'écriture dans le /usr/local (sans pour autant être root), mais pas sur mes comptes utilisateurs. Si lors de l'installation d'un de softs il y a un bug, et qu'il s'amuse à tout supprimer ("rm -rf /" par exemple), les dégats qu'il fera seront limités au /usr/local et au $HOME de cet utilistaseur. Sous Windows et avec les droits admins, le même programme supprimera tout le disque dur ... Ah non excuse: il restera le fichier SAM et les bases de registre ....
[^] # Re: et les liens ?
Posté par Olivier (site web personnel) . En réponse à la dépêche Nouveau site LinuxFr. Évalué à 1.
# Imposer
Posté par Olivier (site web personnel) . En réponse à la dépêche Microsoft va proposer Passport sur les serveurs Linux. Évalué à 1.
Il est clair que Microsoft veut récupérer le segment de marché que jusqu'alors il laissait à "Liberty Alliance", a savoir celui les sites qui ne veulent pas faire tourner leur serveur web sur du ISS/ASP/.NET (problème de sécurité, confidentialité, tenue en charge, stablité, etc ...).
Dans un premier temps, cela peut enlever une contrainte sur certains sites commerciaux: Ils peut quand même migrer une solution serveur 100% Windows en du 100% Unix/Linux (donc c'est Bien(Tm)), tout en ayant un système de payement au "standard Microsoft" pour leurs clients Windows.
Dans un second temps, Passport sera plus utilisé, donc plus de machines clientes pourront y avoir accès, et "Liberty Alliance" sera un peu plus évincé. Et comme le portage de Passport sous Unix/Linux ne semble être prévu que du coté serveur, nos braves machines Unix/Linux ne pourront toujours pas y avoir accès, et seront un peu plus exclus du web commercial ....
Du point de vue de Microsoft, c'est donc un calcul qui n'est pas si bizarre que cela puisse paraître ....
[^] # Re: et les liens ?
Posté par Olivier (site web personnel) . En réponse à la dépêche Nouveau site LinuxFr. Évalué à 1.
- son abscence d'interprétation de la part du navigateur ne pourri pas la lecture de la page
- il ne fait qu'apporter quelles améliorations esthetiques
- il n'empèche pas la validation de la page par le validator (http://validator.w3.org/(...))
[^] # Re: N'importe quoi !!!
Posté par Olivier (site web personnel) . En réponse à la dépêche 170 virus et chevaux de Troie pour Linux. Évalué à 10.
170 virus sous Linux, toute versions confondues ? Et alors ? Si j'en crois le message qu'affiche l'antivirus(*) d'un PC Windows du boulot, ca fait un peu plus peur:
<i>xxxx NT xxxxxx service started - scanning for <b>61638<b> viruses.</i>
(*) pas la peine de donner son nom, ils sont tous equivalents ...
De même, l'article parle de plus de 400 bugs sous Linux, contre 200 sous Windows. He bien, ca dépend des sources, mais si utilisent par exemple buzilla pour avoir le nombre de bugs de Mozilla (http://bugzilla.mozilla.org/query.cgi(...)), il y en a plus de 28000 ! Ou la la, ca fait peur !!!! :=) Alors que sous IE, il n'y en a pas .... Ou si peu .... Des "pas important" quoi .... :=) Sauf que dans ce chiffre, il y en a un paquet qui sont des propositions de fonctionnalités ... Mais ce genre de détail, on évite de trop les divulger, car ca ne fait "pas vendre" l'article ...
Enfin, moi ces virus ca me fait bien rigoler, car jusqu'à présent je n'en n'ai pas vu un qui ait tenté de s'executer via mon maileur Mozilla. Par contre, qu'est-ce que je reçois comme mails infectés pouvant s'auto-lancer depuis Outlook !!! Ah, excusez moi on m'appelle: Encore le Windows d'un ami/collègue à réinstaller suite à un vilain virus reçu dans sa boîte email ...
[^] # Re: Question.
Posté par Olivier (site web personnel) . En réponse à la dépêche Phoenix (Basé sur Mozilla). Évalué à 3.
Les distributions et applications actuelles prennent de plus en plus de mémoire, et en-dessous de 64Mo de mémoire vive, il n'est pas très "confortable" d'installer une grosse distribution comme une RedHat, Mandrake, ou une Debian (avec un bon gros desktop Gnome ou Enlightment). Pour ce type de machine, il faut des window manager, des desktop, et des applications "légers".
De plus, cela peut permettre de monter à des utilisateurs Windows que l'on peut recycler leurs vielles machines avec du Linux. Si on leur fournit toutes les fonctionnalités qu'ils sont habitués à avoir (navigation, courrier, discussion, bureautique, etc ...), avec en plus un bon confort d'utilisation, ils passeront plus facilement à Linux le reste de leurs machines !
[^] # Re: Gpg et front end
Posté par Olivier (site web personnel) . En réponse à la dépêche GnuPG 1.2. Évalué à 10.
Et plus précisement: http://www.gnupg.org/gpa.html(...)
Je cite "The GNU Privacy Assistant is a graphical frontend to GnuPG and may be used to manage the keys and encrypt/decrypt/sign/check files."
Et des captures d'écrans: http://www.gnupg.org/gpa-snapshots.html(...)
[^] # Re: casseurs de clefs
Posté par Olivier (site web personnel) . En réponse à la dépêche Cryptographie : un pas en avant, deux pas en arrière. Évalué à 10.
Un simple "ping" sur une machine est très innocent, ca ne gènère pas beaucoup de trafic (sauf les attaques par DOS), et pourtant on peut mettre plein de choses dans son champ "data" (jusqu'à 64kb par paquet). Quand à intercepter, stocker et contrôler tout les paquets ICMP, je doute que les FAI ou les organismes compétants s'y amusent ...
[^] # Re: Solution pas top
Posté par Olivier (site web personnel) . En réponse à la dépêche Un mouchard dans Mozilla. Évalué à 8.
[^] # Re: M$ lache l'affaire?
Posté par Olivier (site web personnel) . En réponse à la dépêche Fin des prix « éducation » pour MS. Évalué à 5.
- le code source du défragmenteur qui, d'après Microsoft, était issus d'une société exterieur qui n'avait pas donné son accord pour la diffusion de celui-ci
- la pile TCP/IP, qui était, des dires mêmes de Microsoft, issus d'une licence BSD (ce qui leur donnait le droit de NE PAS diffuser le code source modifié).
Ma question est donc toute simple: Avec Windows XP, est-ce que le code de la pile TCP/IP est aussi founie, ou fait elle toujours parti de cette exception ?
# DOS contre le P2P
Posté par Olivier (site web personnel) . En réponse à la dépêche Le site internet de la RIAA attaqué. Évalué à 6.
Si le texte était voté par le Congrès, la RIAA aurait ainsi les coudées franches pour lancer par exemple des attaques par saturation, semblables à celle qu'elle vient de subir. Ses cibles pourraient être des réseaux P2P sur lesquels des copies de fichiers MP3 protégés sont échangées.
Franchement, il faudrait que la RIAA ait une sacré bande passante pour lancer massivement des attaques DOS sur des milliers d'utilisateurs de P2P. Le DOS, c'est plutôt dans l'autre sens que ça se fait ...
A moins qu'ils n'implantent dans les machines des utilisateurs des softs permettant de faire du DOS sur les autres machines du réseau P2P, afin que le réseau s'auto-sature. Mais je doute que l'on autorise la RIAA à installer à distance des softs sur les machines de particuliers (ca, c'est du piratage pur et simple) ...
Enfin, je ne pense pas que les fournisseurs d'accès (Wanadoo, et consorts) voient d'un très bon oeil leur bande passante massacrée par du DOS ...
[^] # Re: et la license
Posté par Olivier (site web personnel) . En réponse à la dépêche Kylix 3 disponible. Évalué à 10.
L'extrait intéréssant de la license est ici:
12. AUDIT. During the term of this License and for one (1) year thereafter, upon reasonable notice and during normal business hours, Borland or its outside auditors will have the right to enter your premises and access your records and computer systems to verify that you have paid to Borland the correct amounts owed under this License and determine whether the Products are being used in accordance with the terms of this License. You will provide reasonable assistance to Borland in connection with this provision. You agree to pay the cost of the audit if any underpayments during the period covered by the audit amount to more than five percent (5%) of the fees actually owed for that period.