Voici un article d'hier paru sur the register. Il traite de l'évolution de la problématique sécuritaire, vue par la version SP2 de XP.
Si j'avais 30 minutes, je traduirais volontiers cet article après en avoir demandé l'autorisation à l'auteur.
http://www.theregister.co.uk/2004/09/02/winxpsp2_security_review/(...)
Que l'on souhaite s'informer sur l'évolution de cet aspect de XP, ou que l'on cherche une piste pour améliorer la sécu d'une machine, c'est long, un peu liste, mais éventuellement utile à défaut d'être passionnant.
Rafael
Journal XP SP2 et la sécu. A lire et traduire
3
sept.
2004
# Quick Fix Pro
Posté par chl (site web personnel) . Évalué à 5.
http://00f.net/blogs/index.php/2004/08/31/quik_fix_pro(...)
qu'il existait un logiciel qui faisait le boulot de MS a leur place. C'est a dire qui corrige vraiment les trous de secu, plutot que de desactiver les services defectueux. Cet outil s'appelle Quick fix pro, et d'apres leur site, il aurait permit d'eviter :
Sasser, MSBlaster, download.ject, Scob, Bizex, SoBig, Welchia, Nachi ...
Voir la liste complete sur : http://www.pivx.com/fixlist.asp(...)
De plus, j'ai la forte impression que c'est developpé par les memes qui avaient fait la liste "Internet Explorer Vulnerabilities".
[^] # Re: Quick Fix Pro
Posté par Krunch (site web personnel) . Évalué à 2.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Quick Fix Pro
Posté par ccomb (site web personnel) . Évalué à 2.
Je me suis amusé à la faire, la voici : http://gorfou.fr/placebo_securite.html(...)
(il faut un peu plus que 30 minutes...)
[^] # Re: Quick Fix Pro
Posté par Rafael (site web personnel) . Évalué à 1.
Je te remercie de cette traduction dans tous les cas.
# hmmmmm.....
Posté par pasBill pasGates . Évalué à 2.
Il parle de trucs genre Clients for Microsoft Windows Networks, NetBIOS over TCP/IP, ... tournant par defaut, et dit que c'est dangereux, et il precise juste apres que cette "dangerosite" est compensee par le fait que le firewall bloque ces ports par defaut.
Ensuite il melange Windows Messenger pour OE avec le service Messenger, conseille que Javascript et 20'000 autres trucs(qui ameneraient IE au niveau de lynx) soient bloques par defaut alors que Javascript en lui meme n'est pas un risque, c'est la gestion des zones qui l'est, etc...
Bref, comme d'hab, un article du Register bon a jeter.
[^] # Re: hmmmmm.....
Posté par chl (site web personnel) . Évalué à 3.
Tu as surement raison.
Cependant, que penses tu de Quick Fix Pro ?
J'ai comme l'impression (mais je peux me tromper) qu'il font le boulot que les developpeurs de chez Microsoft devraient faire. Etant developpeur chez MS, tu pourrais nous donner ton avis sur la question ?
J'entends partout (mais j'y connais rien) que les SP2 sont des caches miseres, plutot que des vrais corrections de bugs, c'est vrai ca ?
Est il envisageable que MS, rachetent purement et simplement l'entreprise qui edite ce logiciel, comme MS a l'habitude de faire lorsqu'elle manque de competence en interne ?
Merci d'avance pour tes reponses eclairées/eclairantes, sans nous dire que corriger des bugs pour une application utilisee par 300 millions de personnes n'est chose aisee, puisque Quick Fix Pro y est arrivé.
[^] # Re: hmmmmm.....
Posté par pasBill pasGates . Évalué à 1.
C'est totalement faux, suffit d'aller jeter un oeil au document de MS expliquant ce que contient le SP2 pour s'en rendre compte, les changements sont enormes.
Est il envisageable que MS, rachetent purement et simplement l'entreprise qui edite ce logiciel, comme MS a l'habitude de faire lorsqu'elle manque de competence en interne ?
Racheter quoi ? PivX ?
http://www.pivx.com/whitepapers/QwikFixProWhitepaper071304.pdf(...)
Ca sent tres tres fort la boite fondee par 3 gugus qui raconte des aneries, je dis ca car :
1) le pdf sort des aneries du genre : located 100's of critical vulnerabilities in xxx Oui bien sur, des centaines...
2) Ils racontent des conneries enormes a la fin avec leur "zero day protection", notamment que leur solution soi-disant permet aux societes de tester les patchs en toute tranquillite. Et la modif que PivX fait pour eviter la faille ? Faut pas la tester celle la ?
3) Un des gars de PivX nous a envoye le mois passe un soi-disant rapport de trou de securite concernant cmd.exe, on a jete un oeil, on a ri bien fort, et il maintient qu'il va le lancer dans le public.
Quand je vois ca, je me dis que ce gars soit :
1) Ne comprend rien a la securite
2) Le fait expres pour accroitre la renommee de PivX chez les gens non-informes qui ne se rendront pas compte de la grosse connerie qu'il va raconter.
Merci d'avance pour tes reponses eclairées/eclairantes, sans nous dire que corriger des bugs pour une application utilisee par 300 millions de personnes n'est chose aisee, puisque Quick Fix Pro y est arrivé.
Quick Fix Pro n'est arrive a rien du tout.
Ils sont arrives a eviter des failles en permettant aux applications de 300 millions de gens de tourner comme avant ? Non
Moi aussi je peux virer 50% des features d'IE et ensuite dire que j'ai reduit la surface d'attaque d'IE, mais ca les gens s'en foutent, car ils ne pourront plus rien faire avec 50% des features en moins.
Et c'est bien pour ca que quasiment personne n'utilise QuickFix Pro.
[^] # Re: hmmmmm.....
Posté par chl (site web personnel) . Évalué à 3.
Mais j'ai quelques details a relever :
1) le pdf sort des aneries du genre : located 100's of critical vulnerabilities in xxx Oui bien sur, des centaines...
ils en avaient trouvés pas mal sur IE, une trentaine n'etaient pas patchés. Et il y en a encore une trentaine sur : http://umbrella.name/originalvuln/msie/(...)
D'apres leur pdf, page 5 :
Located 100’s of Critical Vulnerabilities in Microsoft Windows and Internet Explorer as well
as in Outlook, AIM, ISS, Apache, SQL and ISA Server and numerous other desktop and
server applications
Ils parlent de plus de 8 softs (dont apache tient !), or 8*30 ~ 250 ce qui me fait penser a leur : 100’s of Critical Vulnerabilities .
Et la modif que PivX fait pour eviter la faille ? Faut pas la tester celle la ?
Tu as raison, mais d'apres ce qu'ils disent sur le pdf page 11, tu peux enlever leur patches :
1. Each Qwik-Fix is reversible. Any action that the fix performs on your
Windows system can be reversed with a simple click of a checkbox.
C'est possible de passer du SP2, puis de revenir au SP1 ?
3) Un des gars de PivX nous a envoye le mois passe un soi-disant rapport de trou de securite concernant cmd.exe, on a jete un oeil, on a ri bien fort, et il maintient qu'il va le lancer dans le public.
D'apres le document pdf, page 9, ils retracent l'historique de MsBlaster. Ben j'aurais pas aimé etre un admin windows a cette epoque. Surtout pour cette raison :
September 20, 2003, Day 66
• Microsoft issues a revised patch that corrects the flaw in the original patch that allowed the DoS
attack to happen.
Quand je vois ca, je me dis que ce gars soit :
1) Ne comprend rien a la securite
2) Le fait expres pour accroitre la renommee de PivX chez les gens non-informes qui ne se rendront pas compte de la grosse connerie qu'il va raconter.
Pour le 1), je pense qu'avec ce qu'ils ont trouvé a l'epoque pour IE, tu ne peux pas dire ca.
Pour le 2), on va dire que c'est du discours marketing. S'ils sont juste 3 gugus, ils ont une petite structure, et ils faut qu'ils se fassent connaitre pour survivre.
Et c'est bien pour ca que quasiment personne n'utilise QuickFix Pro.
Tu as les sources de ca ? Ou bien, c'est ce que tu as entendu de tes collegues en contact avec les clients ?
[^] # Re: hmmmmm.....
Posté par pasBill pasGates . Évalué à 1.
1) IE a un nombre de failles bien plus eleve que tous les autres softs cites, c'est loin d'etre 8*30
2) Faut pas prendre pour argent comptant chaque faille qu'ils signalent pour la raison que j'ai donnee plus bas, certaines fois ils disent n'importe quoi(mais pas tout le temps)
C'est possible de passer du SP2, puis de revenir au SP1 ?
Oui, quasiment tous nos patchs(il y a de tres tres rares exceptions), service pack compris sont desinstallables.
D'apres le document pdf, page 9, ils retracent l'historique de MsBlaster. Ben j'aurais pas aimé etre un admin windows a cette epoque. Surtout pour cette raison :
Rien de fantastique, ca arrive sur tous les systemes d'avoir un patch qui ne corrige pas toutes les variations d'une faille. Le patch original corrigeait certaines des failles, le refresh corrigeait celles qu'on a decouvert plus tard.
Tu as les sources de ca ? Ou bien, c'est ce que tu as entendu de tes collegues en contact avec les clients ?
Pas besoin des sources, suffit de lire ce que _fait_ QuickFix Pro pour s'en rendre compte, il bloque un certain nombre de features et change des parametres de config. Ca marche tres bien chez certains, et chez bcp de gens ca empeche des applis internes de fonctionner, ce qui est exactement la raison pour laquelle ces choses la n'ont pas ete faites dans le SP2.
[^] # Re: hmmmmm.....
Posté par chl (site web personnel) . Évalué à 2.
Ok, donc si je comprend bien, les SP corrigent ce qu'il faut, alors que QFP est assez "barbare", et coupe tout ce qui pourrait etre suceptible de creer une faille.
Donc c'est exatement le contraire de ce que j'avais ecrit ici : http://linuxfr.org/comments/469191.html#469191(...)
C'est a dire qui corrige vraiment les trous de secu, plutot que de desactiver les services defectueux.
Enfin, si j'ai tjrs bien compris, le public qui ne devrait pas utiliser QFP, c'est plutot les admins en entreprise, qui doivent plutot attendre les SP (et s'equiper en AV), alors que le public de QFP, c'est plutot l'utilisateur avancé connecté 24h/24 a l'ADSL, en regardant bien si cela ne l'empeche pas de faire fonctionner ses applis.
[^] # Re: hmmmmm.....
Posté par Pinaraf . Évalué à 1.
Tu peux raconter, histoire qu'on rigole aussi :)
Je vois venir le : "Attention, cmd.exe permet de lancer des programmes c'est une faille de sécurité immense"
[^] # Re: hmmmmm.....
Posté par Pinaraf . Évalué à 2.
Il devrait demander de désactiver les images des pages web (ben oui y'a eu des failles dans libpng alors hein)
[^] # Re: hmmmmm.....
Posté par plagiats . Évalué à 5.
C'est sûr, IE aurait besoin d'aux moins 20'000 améliorations pour atteindre le niveau de lynx.
--------> JE VOLE ! [ ]
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.