Merci à Broland d'avoir pensé à nous pauvres linuxiens qui n'avions pas encore de compilateur c++ pilotable à la souris.
Après nous avoir rameuté les neuneus qui faisaient du pascal, on va enfin avoir des types qui font du c++ sans toucher une seule fois au clavier. Cool.
Une boite comme Loki était indispensable pour la crédibilité de Linux à la maison.
Certes, c'était un atout majeur pour faire accepter linux par le grand public, mais vu que je n'ai acheté aucun jeu de Loki, je ne peux pas me plaindre de la disparition de cet éditeur.
Y'en a beaucoup ici qui ont acheté des jeux Loki ?
Le PKI c'est très beau, c'est très vendeur, ça fait sérieux, mais ceux qui disent que les PKI sont nécessaires dans une bonne architecture de sécurité sont des menteurs.
Comme les marchands de firewall en leur temps, les marchands de PKI vont nous montrer que leur solution est magique et résoudra tous les problèmes.
Les professeurs, les élèves les étudiants financent les terroristes !!! Car c'est dans le secteur de l'éducation que le piratage de logiciels microsoft est le plus important. Il faut donc rétablir la peine de mort et éliminer tous ces salopards de profs et d'élèves, afin de sauver notre beau pays et microsoft.
En 94 je connaissais un mec qui avait un Acorn Archimedes. Il pouvait se foutre allègrement de la gueule des meilleurs PCs de l'époque qui se faisaient éclater par les excellentes performances de cet Acorn (video/son/système). Il était basé sur une architecture RISC, donc il est évident que les PC ne pouvaient pas lutter avec leur "architecture" intel.
http://members.tripod.de/Zadok/acorn.html
Mais attention, il ne faut pas confondre X11 forwarding et serveur X comme tu le fais, ça n'a rien à voir. En fait le X11 forwarding c'est juste du forwarding de port normal avec une gestion automatique de la variable d'environnement DISPLAY, alors qu'un serveur X est un logiciel servant à afficher ce que lui demandent les clients X11, qui peuvent être distants.
Le X11 forwarding permet donc de protéger la communication entre les clients (distants) et le serveur X11 (local), et ce de manière tranparente.
Il ne faut pas confondre troll et conneries. Tu as dis des conneries, tu assumes. Si tu espères te faire mousser alors que tu n'as toujours pas compris le principe de l'antispoofing, c'est ton problème, et ne déguise pas ton ignorance en trollerie.
Evidemment qu'il faut un serveur X. Il faut aussi un ordinateur. Et des cables qui relient ce dernier à un écran, pour afficher les fenêtres. T'as d'autres trivialités comme ça ?
Putty est vraiment excellent, quand j'étais puni et que je devais utiliser un windows, grâce à putty j'avais l'impression d'etre dans un xterm.
En plus il est ultra facile à installer : on prend putty.exe, on le met où on veut, et y'a plus qu'à le lancer. Donc pour les cas où il faut un client ssh sur un windows pas à nous et si on n'a pas le droit d'installer 50000 trucs, putty est tout désigné.
???? J'espère que tu mets des règles antispoofing sur toutes tes interfaces, sinon C'EST MAL(tm).
Prenons par exemple un routeur avec trois interfaces : lan0, dmz0, et wan0.
en entrée sur lan0, interdiction des paquets en provenance d'autre chose que le réseau LAN
en entrée sur dmz0, interdiction des paquets en provenance d'autre chose que le réseau DMZ
en entrée sur wan0, interdiction des paquets en provenance du LAN et de la DMZ (et des adresses non routables pour faire joli).
Il faut donc configurer l'antispoofing sur toutes les interfaces, nous n'avons aucune raison de faire confiance aux gens du LAN, et encore moins à ceux de la DMZ.
Juste un exemple : il y a quelque temps, j'ai fait un audit dans une grosse filliale d'une entreprise de télécommunication française (qui a autrefois appartenu à l'état et dont le boulot est de transmettre des paquets), qui a plein de firewall-1 partout, et bien ils n'avaient pas coché la case 'antispoofing' sur toutes les interfaces. Et pourtant ils ont un gros pôle sécurité très compétent, comme quoi ce qui est évident en théorie ne l'est pas forcément en pratique, même chez ceux dont le boulot est la sécurité.
Ca m'étonnerai que ce type de scan soit efficace sur beaucoup de réseaux en NAT.
Evidemment, ici sur linuxfr les gens ont un niveau de connaissances sur IP plutôt élevé, donc ils hurlent quand on parle de routeur n'ayant pas de règles anti-spoofing. Mais le fait est que beaucoup d'entreprises (souvent des PME) n'ont pas eu un gars compétent qui a installé leur modem/wingate/routeur ADSL, et cela se traduit par un nombre non négligeable de réseaux "visitables".
La sécurité, c'est pas cacher des machines derrière un machin qui fait du NAT.
La sécurité, c'est pas de mettre un firewall ou un proxy ou un IDS.
La sécurité est un process, pas un produit, et rien n'est pire qu'une fausse impression de sécurité, comme celle d'être bien au chaud derrière un firewall qui cache le LAN.
Quand tu dis "Certe on peu scanner les machines, et après ?", c'est que tu n'as pas du tout compris la manière de penser "sécurité" : il faut être parano. Ou alors, on ne parle pas de sécurité.
Être dans un NAT améliore considérablement la sécurité.
Cet article est pourtant la preuve qu'on peut passer à travers un firewall un peu trop souple pour scanner des machines du NAT. Le NAT améliore effectivement la sécurité, mais cela ne signifie pas pour autant que ton réseau est invulnérable.
Avec ce type de scan, les machines ayant une IP privée (192.168.1.1 par exemple) sont scannables même à travers un NAT, de qui veut dire qu'une grande partie des réseaux internes peuvent être visités (!= attaquable), chose qui était très difficile auparavant si le routeur était correct.
La contre-mesure proposée par l'auteur de l'article est de mettre des règles anti-spoofing sur le firewall : interdire le traffic du LAN privé sur l'interface externe.
Avec pf, les deux lignes suivantes devraient donc protéger les LAN de ce type de scan :
[^] # Re: c++ sous linux ? enfin depuis le temps qu'on l'attendait
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche C++ Builder sous Linux : bientôt du neuf !. Évalué à 3.
Mais il faudra le mettre sous une licence qui nous permette d'aller voir le disque dur des utilisateurs...
# c++ sous linux ? enfin depuis le temps qu'on l'attendait
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche C++ Builder sous Linux : bientôt du neuf !. Évalué à 0.
Après nous avoir rameuté les neuneus qui faisaient du pascal, on va enfin avoir des types qui font du c++ sans toucher une seule fois au clavier. Cool.
[^] # Re: Ecoutons MICROSOFT
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche MS accuse les pirates de financer le terrorisme. Évalué à 4.
[^] # Re: piraterie ?
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Loki met bientôt la clef sous la porte. Évalué à 6.
Personne ne t'oblige à jouer à leurs jeux trop onéreux.
[^] # Re: _Regrettable_
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Loki met bientôt la clef sous la porte. Évalué à 3.
Quand on cite quelqu'un, on ne prend pas 3 mots au hasard pour déformer son propos.
Je disais au début de la phrase : "c'était un atout majeur pour faire accepter linux par le grand public".
Ton commentaire laisse à penser que tu as lu trop vite le mien.
[^] # Re: _Regrettable_
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Loki met bientôt la clef sous la porte. Évalué à 10.
Certes, c'était un atout majeur pour faire accepter linux par le grand public, mais vu que je n'ai acheté aucun jeu de Loki, je ne peux pas me plaindre de la disparition de cet éditeur.
Y'en a beaucoup ici qui ont acheté des jeux Loki ?
[^] # Re: Quantique, PKI & Co
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche FOSDEM Weekly Interviews. Évalué à 10.
Comme les marchands de firewall en leur temps, les marchands de PKI vont nous montrer que leur solution est magique et résoudra tous les problèmes.
Dans un article de C. Ellison et B. Schneier http://www.counterpane.com/insiderisks5.html(...) on y apprend que leur solution miracle est loin d'être si miraculeuse.
[^] # LE PATCH SE TROUVE ICI
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Le plus gros trou de sécurité de IE. Évalué à 10.
Le patch se trouve ici -> http://www.debian.org/(...)
</philo>
[^] # Re: une semaine sans Vulnerabilite de Microsoft n'est pas une semaine...
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Le plus gros trou de sécurité de IE. Évalué à 0.
-- Cartman
# Ecoutons MICROSOFT
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche MS accuse les pirates de financer le terrorisme. Évalué à 10.
[^] # Re: Acorn
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche La police anglaise etudie Linux. Évalué à 10.
[^] # Re: Wasabi Linux
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Gnu/Linux au Japon. Évalué à -6.
C'est parce que les japonaises sont étroites...
(-1: gras, lourd et HS)
[^] # Re: Comment ça on est d'accord??
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Scan par témoin. Évalué à 4.
[^] # Re: Comment ça on est d'accord??
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Scan par témoin. Évalué à 2.
[^] # Re: X11 forwarding
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Client ssh sous Windows : l'alternative. Évalué à 5.
Mais attention, il ne faut pas confondre X11 forwarding et serveur X comme tu le fais, ça n'a rien à voir. En fait le X11 forwarding c'est juste du forwarding de port normal avec une gestion automatique de la variable d'environnement DISPLAY, alors qu'un serveur X est un logiciel servant à afficher ce que lui demandent les clients X11, qui peuvent être distants.
Le X11 forwarding permet donc de protéger la communication entre les clients (distants) et le serveur X11 (local), et ce de manière tranparente.
[^] # Re: Comment ça on est d'accord??
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Scan par témoin. Évalué à 2.
[^] # Re: X11 forwarding
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Client ssh sous Windows : l'alternative. Évalué à 1.
[^] # Re: X11 forwarding
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Client ssh sous Windows : l'alternative. Évalué à 8.
http://www.tartarus.org/~simon/puttydoc/Chapter3.html#3.4(...(...))
[^] # Re: X11 forwarding
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Client ssh sous Windows : l'alternative. Évalué à 10.
Putty est vraiment excellent, quand j'étais puni et que je devais utiliser un windows, grâce à putty j'avais l'impression d'etre dans un xterm.
En plus il est ultra facile à installer : on prend putty.exe, on le met où on veut, et y'a plus qu'à le lancer. Donc pour les cas où il faut un client ssh sur un windows pas à nous et si on n'a pas le droit d'installer 50000 trucs, putty est tout désigné.
[^] # Re: adresse privée sur l'interface publique ???!!!
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Scan par témoin. Évalué à 8.
Prenons par exemple un routeur avec trois interfaces : lan0, dmz0, et wan0.
en entrée sur lan0, interdiction des paquets en provenance d'autre chose que le réseau LAN
en entrée sur dmz0, interdiction des paquets en provenance d'autre chose que le réseau DMZ
en entrée sur wan0, interdiction des paquets en provenance du LAN et de la DMZ (et des adresses non routables pour faire joli).
Il faut donc configurer l'antispoofing sur toutes les interfaces, nous n'avons aucune raison de faire confiance aux gens du LAN, et encore moins à ceux de la DMZ.
[^] # Re: adresse privée sur l'interface publique ???!!!
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Scan par témoin. Évalué à 8.
[^] # Re: Les machines en adressage privé sont scannables !
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Scan par témoin. Évalué à 10.
Evidemment, ici sur linuxfr les gens ont un niveau de connaissances sur IP plutôt élevé, donc ils hurlent quand on parle de routeur n'ayant pas de règles anti-spoofing. Mais le fait est que beaucoup d'entreprises (souvent des PME) n'ont pas eu un gars compétent qui a installé leur modem/wingate/routeur ADSL, et cela se traduit par un nombre non négligeable de réseaux "visitables".
[^] # Re: Les machines en adressage privé sont scannables !
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Scan par témoin. Évalué à 10.
La sécurité, c'est pas de mettre un firewall ou un proxy ou un IDS.
La sécurité est un process, pas un produit, et rien n'est pire qu'une fausse impression de sécurité, comme celle d'être bien au chaud derrière un firewall qui cache le LAN.
Quand tu dis "Certe on peu scanner les machines, et après ?", c'est que tu n'as pas du tout compris la manière de penser "sécurité" : il faut être parano. Ou alors, on ne parle pas de sécurité.
[^] # Re: Les machines en adressage privé sont scannables !
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Scan par témoin. Évalué à 9.
Cet article est pourtant la preuve qu'on peut passer à travers un firewall un peu trop souple pour scanner des machines du NAT. Le NAT améliore effectivement la sécurité, mais cela ne signifie pas pour autant que ton réseau est invulnérable.
# Les machines en adressage privé sont scannables !
Posté par Annah C. Hue (site web personnel) . En réponse à la dépêche Scan par témoin. Évalué à 10.
La contre-mesure proposée par l'auteur de l'article est de mettre des règles anti-spoofing sur le firewall : interdire le traffic du LAN privé sur l'interface externe.
Avec pf, les deux lignes suivantes devraient donc protéger les LAN de ce type de scan :
spoofed="{ 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 255.255.255.255/32 }"
block in quick on $external from $spoofed to any