IE à jeter définitivement à la poubelle?
joke0
«Une fonctionnalité d'Internet Explorer transformée en porte dérobée»
<url:http://www.transfert.net/a8998>
--
joke0
Frederic Bezies
> «Une fonctionnalité d'Internet Explorer transformée en porte dérobée»
>
> <url:http://www.transfert.net/a8998>
>
IE est plus qu'un navigateur : c'est un gouffre de sécurité ambulant... :'(
--
Frédéric Béziès - frederi...@free.fr
joke0
Frederic Bezies:
>> <url:http://www.transfert.net/a8998>
> IE est plus qu'un navigateur : c'est un gouffre de sécurité
> ambulant... :'(
Fais pas semblant de verser une petite larme, je sais bien que tu n'es
pas triste! ;)
Tiens, j'aurais dû poster sur fci.www.navigateurs (et zou c'est
parti!)
--
joke0
Frederic Bezies
> Salut,
>
> Frederic Bezies:
>
>>><url:http://www.transfert.net/a8998>
>
>>IE est plus qu'un navigateur : c'est un gouffre de sécurité
>>ambulant... :'(
>
> Fais pas semblant de verser une petite larme, je sais bien que tu n'es
> pas triste! ;)
Bien au contraire. Je me souviens d'avoir apprécier IE 5.0béta2 lors de
sa disponibilité.
> Tiens, j'aurais dû poster sur fci.www.navigateurs (et zou c'est
> parti!)
Où je t'ai répondu.
djehuti
"joke0" <404page...@caramail.com> a écrit dans le message news:
XnF93A292F...@joke0.net
> «Une fonctionnalité d'Internet Explorer transformée en porte dérobée»
>
> <url:http://www.transfert.net/a8998>
c'est pas un peu fini... de troller !!!
c'est pas tellement IE qui est cause mais winXP (et ceux à venir)
et c'était annoncé depuis pas mal de temps (dotnet, passeport-kro$oft,
palladium)
le Dieu Billou veut tout contrôler (surtout savoir si t'as bien payé toutes
les licences)... mais c'est hors sujet ici
@tchao
Michel Doucet
>
> c'est pas tellement IE qui est cause mais winXP (et ceux à venir)
Bonjour,
..... euh c'est pas la même chose ? :)
--
L'erreur est de croire qu'on est seul !
Merci d'enlever nospam. pour répondre
JacK
djehuti <djeh...@aol.com> signalait:
Hello,
Enfantin à prévenir mais pas sur base des info de M$.
System Safety Monitor, par exemple ou autres solutions.
Il faut avoir que la plupart des failles non patchées de M$ le sont
facilement par des dev privés, bien souvent des lunes avant
que M$ s'en charge.
Sur les 18 failles répertoriées sur http://www.pivx.com/larholm/unpatched/
15 sont facilement contournables soit à l'aide d'un patch d'un dev
indépendant, soit dans la BdR.
Celle signalée par 'O. Grégoire fait partie du lot.
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websec.arcady.fr/
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer - Cliquez sur le lien pour répondre
http://www.cerbermail.com/?69YaMlVdJS
@+ JacK
Roland Garcia
> «Une fonctionnalité d'Internet Explorer transformée en porte dérobée»
>
> <url:http://www.transfert.net/a8998>
".....et, d'autre part, les failles de sécurité des applications
courantes comme Internet Explorer (IE), Outlook et Outlook Express, la
combinaison des deux se révélant souvent catastrophique".
http://www.transfert.net/a8997
Deux très bonnes communications de "comploteurs mondiaux" de
f.c.securite :-)
Roland Garcia
joke0
djehuti:
>> <url:http://www.transfert.net/a8998>
> c'est pas un peu fini... de troller !!!
C'est l'été mon bon djehuti, tous les coups sont permis ;-)
> le Dieu Billou veut tout contrôler (surtout savoir si t'as bien
> payé toutes les licences)... mais c'est hors sujet ici
Sauf en cette belle saison...
--
joke0
Frederic Bonroy
> joke0 a écrit :
> > «Une fonctionnalité d'Internet Explorer transformée en porte dérobée»
> >
> > <url:http://www.transfert.net/a8998>
>
> ".....et, d'autre part, les failles de sécurité des applications
> courantes comme Internet Explorer (IE), Outlook et Outlook Express, la
> combinaison des deux se révélant souvent catastrophique".
>
> http://www.transfert.net/a8997
Ben quoi? Des failles il y en a partout. :-)
http://fr.news.yahoo.com/030622/202/39ufo.html
Pour revenir sur l'article, la désinstallation d'IE rendrait le système
plus instable. Ça fait des années que je désinstalle IE tout de suite
après avoir installé Windows et à part une vitesse accrue et une
satisfaction énorme ça ne change rien. Faudrait peut-être que l'auteur
de l'article tente le coup au lieu de reprendre le discours alarmant de
Microsoft. :-)
Il est vrai que des logiciels à la noix comme Norton qui dépendent d'IE
auront des problèmes, mais dans ce cas on utilise des alternatives bien
programmées au lieu de ces cochonneries et le problème est réglé.
djehuti
"Frederic Bonroy" <yor...@yahoo.fr> a écrit dans le message news:
bd4g1d$o0q9l$1...@ID-75150.news.dfncis.de
> Il est vrai que des logiciels à la noix comme Norton qui dépendent
> d'IE auront des problèmes, mais dans ce cas on utilise des
> alternatives bien programmées au lieu de ces cochonneries et le
> problème est réglé.
mais la tendance (objectif ?) va dans l'autre sens, non ?
c'est plus pratique pour les clicouilleurs (?)
@tchao
Frederic Bonroy
> mais la tendance (objectif ?) va dans l'autre sens, non ?
> c'est plus pratique pour les clicouilleurs (?)
Pratique ou pas, ce n'est pas ça l'important. On peut très bien
concevoir une interface claire et lucide sans effets graphiques
et images - surtout dans le cas d'un antivirus car on ne s'en
sert pas 8 heures par jour mais seulement pendant quelques minutes!
Il y a quelques années quelqu'un posait dans un forum de programmation
la question suivante: comment puis-je artificiellement faire faire du
bruit au disque dur lors du chargement pour que mon programme paraisse
plus important? Son programme se lançait trop rapidement et ça le
dérangeait. Faut croire que ce sont des gens comme ça qui développent
ensuite les interfaces chez Symantec et compagnie.
Puis il y a les frimeurs qui ne savent pas programmer pour un sou alors
ils sont bien obligés de faire une interface du tonnerre pour
impressionner leurs utilisateurs.
Arnold McDonald (AMcD)
> Pratique ou pas, ce n'est pas ça l'important. On peut très bien
> concevoir une interface claire et lucide sans effets graphiques
> et images - surtout dans le cas d'un antivirus car on ne s'en
> sert pas 8 heures par jour mais seulement pendant quelques minutes!
Sauf pour ceux qui ont le scan en temps réel et qui passent des heures sur
kazaa et cie...
> Il y a quelques années quelqu'un posait dans un forum de programmation
> la question suivante: comment puis-je artificiellement faire faire du
> bruit au disque dur lors du chargement pour que mon programme paraisse
> plus important? Son programme se lançait trop rapidement et ça le
> dérangeait. Faut croire que ce sont des gens comme ça qui développent
> ensuite les interfaces chez Symantec et compagnie.
Ha mon pauvre ami ! C'est les clients qui sont souvent la cause de ces
problèmes ! Moi, une fois, on m'a sorti "ton programme va plus vite que
celui de xxx; ce n'est pas normal". Et zou, pas embauché. Faut pas toujours
accuser les programmeurs...
> Puis il y a les frimeurs qui ne savent pas programmer pour un sou
> alors ils sont bien obligés de faire une interface du tonnerre pour
> impressionner leurs utilisateurs.
Eh oui. Le decorum. Mais je vais te décevoir, ça marche. Dis à un chef de
projet "laisse-moi une semaine pour améliorer le flux i/o avec un zeste
d'optimisation asm" il te répondra "pas question. le client faut aussi qu'il
paye des maj et de la maintenance pour être satisfait, avoir l'impression
d'en avoir pour son argent. Fais plutôt une belle interface complexe pour
que ça ait l'air hyper balèze. Au fait, t'as ça à faire. Ha oui, faut que ça
soit près pour avant-hier.". C'est du vécu, hein...
--
AMcD
http://arnold.mcdonald.free.fr/
(still in fossilization progress but now in english, thus the whole
world can see my laziness)
Bat
Bonjour,
C'est tout à fait vrai Frederic, je fais de même, jamais un plantage,
c'est quand même beau le surf sans IE, de plus, gains de place sur le
HDD :-)
@+
Bat
Bat
Bonjour,
Il y aura toujours les presses boutons et les partisans du moindre effort.
C'est eux qui demandent de l'aide à 99% sur le ng.
@+
Bat
joke0
Frederic Bonroy:
> Pour revenir sur l'article, la désinstallation d'IE rendrait le
> système plus instable.
J'ai désinstallé IE il y a qq mois avec ieradicator alors que le
système devenait instable, et depuis tout roule :)
--
joke0
Michel Doucet
Bonsoir,
Attention tout de même : lorsqu'on est sous XP, les Windows Update
automatique se font par IE (voir un post de fin de semaine)
Roland Garcia
Au fait, où est passé le troll pro IE/OE ? :-)
Roland Garcia
joke0
Roland Garcia:
> Au fait, oů est passé le troll pro IE/OE ? :-)
<news:XnF939EEC7...@joke0.net> ;-)
--
joke0
Michel Doucet
>
> Au fait, où est passé le troll pro IE/OE ? :-)
>
> Roland Garcia
>
Bonsoir,
.... fondu à cause de la canicule :)
Cedric Blancher
Bah pourquoi ?
> c'est pas tellement IE qui est cause mais winXP (et ceux à venir)
Nope, la backdoor exploite les liens OLE (ainsi qu'un peu de Javascript),
qui existent chez Microsoft depuis Win3.1.
Cf. http://packetstormsecurity.nl/papers/general/hackingguide3.1.pdf
Section Trojans (p. 78), à partir de la page 80 pour ce point précis.
JAB repose complètement là-dessus, comme Nicob pourra le confirmer quand
il passera lire le thread. D'ailleurs, si je ne m'abuse, JAB a été
développée et testée sous Win2k (Nicob, tu confirmes ?).
> et c'était annoncé depuis pas mal de temps (dotnet, passeport-kro$oft,
> palladium)
Manifestement pas besoin de tout ça ;)
--
BOFH excuse #116:
the real ttys became pseudo ttys and vice-versa.
Roland Garcia
>
> Nope, la backdoor exploite les liens OLE (ainsi qu'un peu de Javascript),
> qui existent chez Microsoft depuis Win3.1.
>
> Cf. http://packetstormsecurity.nl/papers/general/hackingguide3.1.pdf
>
> Section Trojans (p. 78), à partir de la page 80 pour ce point précis.
Je vois qu'au SSTIC vous avez chargé Microsoft :-)
http://www.transfert.net/a8977
>
> JAB repose complètement là-dessus, comme Nicob pourra le confirmer quand
> il passera lire le thread. D'ailleurs, si je ne m'abuse, JAB a été
> développée et testée sous Win2k (Nicob, tu confirmes ?).
Le fameux Nicob qui critique l'article 323-3-1 mais qui va faire des
présentations de trojans devant les services du premier ministre ? :-)
Plus sérieusement on peut noter des progrès dans les mentalités, le
discours 100% protection et le catastrophisme sont maintenant mal
perçus, et l'accent est mis sur la qualité des logiciels ainsi que leur
mise en oeuvre correcte.
Roland Garcia
Faelan
news:3EF5D801...@wanadoo.fr...
> > J'ai désinstallé IE il y a qq mois avec ieradicator alors que le
> > système devenait instable, et depuis tout roule :)
>
> Au fait, où est passé le troll pro IE/OE ? :-)
Ben apparemment, vous n'avez pas besoin de lui pour troller tout seul....
Vous le faites très bien sans aide. :-))
--
F.
joke0
[Xpost+FU2]
joke0:
> «Une fonctionnalité d'Internet Explorer transformée en porte
> dérobée» <url:http://www.transfert.net/a8998>
Pour continuer la série:
<http://www.reseaux-telecoms.com/alerte_btree/03_06_20_134617_928/Alerte_view>
ou http://minilien.com/?ZejA3Da7cd
Fu2 <news:fr.comp.infosystemes.www.navigateurs>
--
joke0
Nicob
> Sur les 18 failles répertoriées sur
> http://www.pivx.com/larholm/unpatched/ 15 sont facilement contournables
> soit à l'aide d'un patch d'un dev indépendant, soit dans la BdR. Celle
> signalée par 'O. Grégoire fait partie du lot.
Hum ...
Tout d'abord, c'est N. Gregoire (pour "Nicolas") et non pas O. Gregoire,
mais en plus, je ne vois pas de quelle faille d'IE est-il question dans
ton post.
JAB ne s'appuie PAS sur une faille d'IE, mais bel et bien sur une
fonctionnalité, qui est la possibilité de créer via OLE des objets IE
invisibles, et de contrôler ces objets via un programme (ici en Perl).
Nicob
Nicob
> Le fameux Nicob qui critique l'article 323-3-1 mais qui va faire des
> présentations de trojans devant les services du premier ministre ? :-)
Celui-là même ...
Ce n'est pas parceque je trouve stupide (et dangereux) de faire une loi
punissant la fourniture de moyens d'intrusions informatiques que je refuse
de parler aux services du permier ministre :)
En tout état de cause, si la loi est votée, ce sera la fin de la mise à
disposition gratuite et libre d'outils offensifs. Et ça, ça me fait un
peu peur ...
Nicob
Nicob
> Nope, la backdoor exploite les liens OLE (ainsi qu'un peu de
> Javascript), qui existent chez Microsoft depuis Win3.1.
Bien, je vois qu'il y avait au moins une personne pour suivre ma
présentation :)
> JAB repose complètement là-dessus, comme Nicob pourra le confirmer quand
> il passera lire le thread. D'ailleurs, si je ne m'abuse, JAB a été
> développée et testée sous Win2k (Nicob, tu confirmes ?).
Exactement.
Ayant lu ce thread hier soir, j'ai testé sous Win98, ça marche tout aussi
bien que sous Win2K SP3.
Je répète : AUCUN PATCH NE SERA DISPONIBLE, VU QUE CE N'EST PAS UNE
EXPLOITATION DE FAILLE DE NAVIGATEUR !
Nicob
PS : un snapshot de ma version de dev sera bientôt disponible ...
Noshi
>> Nope, la backdoor exploite les liens OLE (ainsi qu'un peu de
>> Javascript), qui existent chez Microsoft depuis Win3.1.
>
> Bien, je vois qu'il y avait au moins une personne pour suivre ma
> présentation :)
Il a ptetre lu un résumé :-)
>> JAB repose complètement là-dessus, comme Nicob pourra le confirmer quand
>> il passera lire le thread. D'ailleurs, si je ne m'abuse, JAB a été
>> développée et testée sous Win2k (Nicob, tu confirmes ?).
>
> Exactement.
> Ayant lu ce thread hier soir, j'ai testé sous Win98, ça marche tout aussi
> bien que sous Win2K SP3.
>
> Je répète : AUCUN PATCH NE SERA DISPONIBLE, VU QUE CE N'EST PAS UNE
> EXPLOITATION DE FAILLE DE NAVIGATEUR !
Y'a une possibilité de désactiver ce comportement a la dure ?
> Nicob
> PS : un snapshot de ma version de dev sera bientôt disponible ...
--
Noshi
Cedric Blancher
> On Mon, 23 Jun 2003 14:00:03 +0200, Nicob wrote:
>> Bien, je vois qu'il y avait au moins une personne pour suivre ma
>> présentation :)
> Il a ptetre lu un résumé :-)
J'ai lu les actes du SSTIC. Je dormais pendant sa conf* ;))))
* J'déconnnnnnnnnnnnnnnnnnnnnnne !
--
RÈGLES POUR LA CRÉATION DE NOUVEAUX GROUPES DANS LA HIÉRARCHIE "FR"
Chacun fera comme bon lui semble. C'est tellement plus facile comme cela.
-+- CW in: Guide du Cabaliste Usenet - Du bon usage de n'importe quoi -+-
Roland Garcia
> On Sun, 22 Jun 2003 19:40:55 +0200, Roland Garcia wrote:
>
>
>>Le fameux Nicob qui critique l'article 323-3-1 mais qui va faire des
>>présentations de trojans devant les services du premier ministre ? :-)
>
>
> Celui-là même ...
>
> Ce n'est pas parceque je trouve stupide (et dangereux) de faire une loi
> punissant la fourniture de moyens d'intrusions informatiques que je refuse
> de parler aux services du permier ministre :)
Et pourquoi discutez vous ?
Parce que vous êtes confrontés aux mêmes problèmes et devez utiliser les
mêmes solutions, en SSI les porte-avions ne servent à rien.
>
> En tout état de cause, si la loi est votée, ce sera la fin de la mise à
> disposition gratuite et libre d'outils offensifs. Et ça, ça me fait un
> peu peur ...
Vous utiliserez tous les deux les mêmes outils.
Roland Garcia
Noshi
>> Il a ptetre lu un résumé :-)
>
> J'ai lu les actes du SSTIC. Je dormais pendant sa conf* ;))))
Ahh !! J'en etais sur ..
> * J'déconnnnnnnnnnnnnnnnnnnnnnne !
Ah non ... rahzut ;)
--
Noshi
faudra un jour que j'aille a une vraie conférence sur la sécurité moi...
Nicob
>> Je répète : AUCUN PATCH NE SERA DISPONIBLE, VU QUE CE N'EST PAS UNE
>> EXPLOITATION DE FAILLE DE NAVIGATEUR !
>
> Y'a une possibilité de désactiver ce comportement a la dure ?
Probablement ...
On peut déjà interdire à IE d'accéder au Net (via un firewall personnel),
mais de là à interdire la communication basée sur les objets OLE,je doute
fort que ce soit simple.
De toute façon, ce soft est fait pour marcher sur un réseau d'entreprise
"standard", c'est-à-dire où au pire (pour l'attaquant) on a un pare-feu, un
proxy, et un AV. Je pense que les gens vraiment paranos n'ont pas d'accès
Internet, et donc la question de désactivation d'IE ne se pose pas dans
ces cas là.
Nicob
Roland Garcia
>
>
> Ben apparemment, vous n'avez pas besoin de lui pour troller tout seul....
> Vous le faites très bien sans aide. :-))
En résumé le fil de discussion était "IE à jeter définitivement à la
poubelle?", il y a eu une bonne argumentation technique y compris la
démonstration qu'un trojan pouvait utiliser IE toutes failles corrigées.
La réponse devrait être OUI, si on ne peut pas garantir un logiciel sans
faille on peut toujours faire un logiciel de conception saine.
Roland Garcia
Arnold McDonald (AMcD)
> En résumé le fil de discussion était "IE à jeter définitivement à la
> poubelle?", il y a eu une bonne argumentation technique y compris la
> démonstration qu'un trojan pouvait utiliser IE toutes failles
> corrigées.
Là tu nous fais une crise de mauvaise foi. Quelle argumentation technique
??? Menée par des antikro de première ? MDR ! Quelle démonstration de trojan
? Si tu veux, je t'en écris 50 qui passeront inaperçu chez Opera, Mozilla et
cie... Allons, redevenons sérieux !
> La réponse devrait être OUI, si on ne peut pas garantir un logiciel
> sans faille on peut toujours faire un logiciel de conception saine.
Non. La réponse est que IE est un excellent navigateur. Malheureusement, de
conception lourde et possédant de failles pas toujours corrigées en temps et
en heure. Toutefois, au moins des efforts sont faits... Mais les autres n'en
sont pas exempts non plus de bogues et de failles ! Chacun utilise celui que
bon lui semble, mais il ne faut pas raconter d'âneries non plus. Moi, j'ai
vite laissé tomber la concurrence qui ne respecte pas souvent le standards
(c'est sûr, ça permet d'afficher plus vite...) et je n'ai jamais eu de
problème avec IE. Jamais. Ni virus, ni cheval de Troie où je ne sais quoi
d'autre ! Certes, quelques pages refusent de s'afficher parfois. Cela arrive
également avec Mozilla (que j'utilise pour tester mes sites) aussi hein!
Franchement à part pour les popups, pourquoi passerai-je à autre chose (t'as
déjà écrit des sites CSS pour NN, Opera et consort , bon courage...) ??? Vie
IE !
Non mais...
Jean-Francois BILLAUD
> Quelle démonstration de trojan ?
> Si tu veux, je t'en écris 50 qui passeront inaperçu
> chez Opera, Mozilla et cie...
Sérieusement ?
JFB
--
Au boulot j'ai un matos pas stable qui reboote tout seul NT ;)
(au moins, je n'ai plus besoin de le faire à la main)
--- lu sur le forum fr.comp.os.linux.debats ---
Cedric Blancher
> Là tu nous fais une crise de mauvaise foi. Quelle argumentation technique
> ??? Menée par des antikro de première ? MDR ! Quelle démonstration de trojan
> ? Si tu veux, je t'en écris 50 qui passeront inaperçu chez Opera, Mozilla et
> cie...
Effectivement, c'est nettement plus technique et démonstratif comme
argumentaire.
> Allons, redevenons sérieux !
Oui. Just do it.
--
TH : Personnellement, je pencherais pour << en charte >> :)
NR : "Ta mère en charte sur fmbl" ?
-+- NR in Guide du Fmblien Assassin : Zarma !
Arnold McDonald (AMcD)
> Dans sa prose, Arnold McDonald (AMcD) nous ecrivait :
>> Là tu nous fais une crise de mauvaise foi. Quelle argumentation
>> technique ??? Menée par des antikro de première ? MDR ! Quelle
>> démonstration de trojan ? Si tu veux, je t'en écris 50 qui passeront
>> inaperçu chez Opera, Mozilla et cie...
>
> Effectivement, c'est nettement plus technique et démonstratif comme
> argumentaire.
Cela vaut amplement certains commentaires lus ci-dessus, vachement
"techniques"...
Quelle démonstration technique veux-tu ? Encore un "je ne crois que si je
vois !", c'est ça ? Pour avoir lu certains de tes écrits je te pensais plus
objectif ! Tu as le droit d'être un accro de Linux comme moi de Windows. Je
déteste les antikro-primaires et je ne vois pas pour quelle raison il
faudrait jeter IE, c'est tout. Pour cette fois, je ne suis pas d'accord avec
roland.
>> Allons, redevenons sérieux !
> Oui. Just do it.
Je le suis...
Faelan
> En résumé le fil de discussion était "IE à jeter définitivement à la
> poubelle?", il y a eu une bonne argumentation technique
Ah ? ;-)
> y compris la
> démonstration qu'un trojan pouvait utiliser IE toutes failles corrigées.
>
> La réponse devrait être OUI, si on ne peut pas garantir un logiciel sans
> faille on peut toujours faire un logiciel de conception saine.
Quelqu'un d'autre a répondu et je partage en grande partie ses arguments.
Bien entendu, vous pouvez toujours le traiter de trolleur et/ou le plonker.
Ca n'enlèvera rien à la logique de la réponse.
Je n'ai personnellement jamais dit que IE était exempt de reproches, loin de
là. Je dis seulement qu'il a aussi pas mal de qualités et de fonctionnalités
que les autres n'ont pas, d'une part, et d'autre part que la plupart des
utilisateurs n'en changeront pas, quoi que vous leur conseilliez. Il faut
donc vivre avec.
__
F.
Cedric Blancher
> "techniques"...
Les commentaires (les miens en tout cas) ci-dessus se rapportent à une
présentation technique. Malheureusement, les actes du SSTIC ainsi que les
présentations ne sont pas encore disponibles, ce qui rend effectivement
l'accès à ces données un peu difficile pour ceux qui n'ont pas assisté
à la conférence en question.
> Quelle démonstration technique veux-tu ? Encore un "je ne crois que si
> je vois !", c'est ça ? Pour avoir lu certains de tes écrits je te
> pensais plus objectif !
Mon point d'objectivité se base sur le fait que j'ai vu la conférence,
et lu le papier qui va avec. À ce titre, je pense même pouvoir dire que
je suis plus objectif que toi, au moins sur la valeur technique des
arguments avancés. En outre, dans la mesure où on a travaillé à Cartel
sur un projet similaire, mais étendu à tous les navigateurs. La
conclusion de ce travail reste certainement que les choses sont
_nettement_ plus simples et accessibles avec IE.
> Tu as le droit d'être un accro de Linux comme moi de Windows. Je
> déteste les antikro-primaires et je ne vois pas pour quelle raison il
> faudrait jeter IE, c'est tout. Pour cette fois, je ne suis pas d'accord
> avec roland.
Et ? Ça ne t'autorise pas à cracher sur le travail de Nicob. J'ai le
droit d'apprécier Linux, j'ai le droit de ne pas aimer Windows, mais je
ne crois pas que les gens qui ont _argumenté_ ici, à opposer
effectivement à pas mal de bruit, aient sombré dans l'anti-MS primaire,
ni d'ailleurs, dans le pro-MS primaire comme tu viens de le faire.
Alors oui, tu as des arguments techniques, on peut discuter.
Malheureusement, pour le moment, je n'en ai pas vu.
> Je le suis...
Si tu es capable de faire la même chose avec d'autres navigateurs, et là
je veux bien te croire puisqu'on l'a presque fait, effectivement, je
demande à voir, parce que le niveau de souplesse demandé est assez
difficile à atteindre, en particulier en terme de récupération de
configuration pour les accès authentifiés au réseau, que IE permet en
toute transparence pour l'application, pour peu qu'une instance soit déjà
lancée (ce qui se détecte facilement).
--
This is a multi-part message in MIME format.
... Content-Transfer-Encoding: quoted-printable ...
J EN AI MARRE DES C... QUI NE RESPECTENT PAS LES CHARTES
-+- R in: Guide du neuneu Usenet - bien respecter sa netiquette -+-
Frederic Bezies
[...]
>
>
> Cela vaut amplement certains commentaires lus ci-dessus, vachement
> "techniques"...
>
> Quelle démonstration technique veux-tu ? Encore un "je ne crois que si je
> vois !", c'est ça ? Pour avoir lu certains de tes écrits je te pensais plus
> objectif ! Tu as le droit d'être un accro de Linux comme moi de Windows. Je
> déteste les antikro-primaires et je ne vois pas pour quelle raison il
> faudrait jeter IE, c'est tout. Pour cette fois, je ne suis pas d'accord avec
> roland.
IE est un logiciel vieillissant, supportant mal les minimum acceptables
aujourd'hui en matière technique.
>
>>>Allons, redevenons sérieux !
>
>>Oui. Just do it.
>
> Je le suis...
>
Mouuuuuuuuaaaaaahhhhhhhh !
--
Frédéric Béziès - frederi...@free.fr
JacK
Jean-Francois BILLAUD <bil...@interpc.fr> signalait:
> Arnold McDonald (AMcD) wrote:
>
>> Quelle démonstration de trojan ?
> > Si tu veux, je t'en écris 50 qui passeront inaperçu
> > chez Opera, Mozilla et cie...
>
> Sérieusement ?
>
> JFB
Hello,
Si tu veux, je t'envoie un petit programme (just a proof of concept) qui
permet d'injecter du code directement dans un programme (pas une dll
injection) : tu choisis n'importe quel browser et tu renseignes son PID et
il phone home.
Le trojan GOD2 se fout royalement aussi du browser que tu utilises je crois
pour injecter son code dans le process et faire gentiment son boulot : il
envoie un mail en utilisant le browser.
JacK
MELMOTH
mélismes suivants:
> Si tu veux, je t'en écris 50 qui passeront inaperçu chez Opera, Mozilla et
> cie.
Chiche...
Je te parie une torride nuit dans mes bras que tu n'y arrives pas....
Melmoth - zobcédé
Frederic Bonroy
> Ha mon pauvre ami ! C'est les clients qui sont souvent la cause de ces
> problèmes ! Moi, une fois, on m'a sorti "ton programme va plus vite que
> celui de xxx; ce n'est pas normal". Et zou, pas embauché. Faut pas toujours
> accuser les programmeurs...
Non... je sais bien que les gens du marketing imposent des contraintes
aux programmeurs. Notamment justement la contrainte du temps. Et puis,
évidemment, les clients préfèrent tout ce qui brillent et fait du bruit.
Cependant ce n'est pas le cas de tous; il y a aussi ceux qui n'en ont
rien à faire des gadgets et qui veulent un programme qui fonctionne
correctement.
J'ai toujours dit que les utilisateurs se fichent éperdument de
la qualité des logiciels de nos jours. Si quelque chose ne va pas,
bon ben tant pis. On évoque souvent l'analogie de l'automobile,
j'estime que c'est une analogie tout à fait valable.
Sinon, ce matin j'ai eu l'occasion de regarder brièvement l'interface
de la version "corporate" de Symantec/Norton antivirus dans sa version
2000 (7.?). Je ne sais pas si elle est encore en vente (en tout cas
les fichiers de définitions dataient du 18 juin).
Cette interface n'était pas trop mal. Elle était bien loin des
interfaces à la noix comme celles de NAV 2002 ou 2003, qui, horreur,
se sont inféodées à IE.
Je suppose que dans les environnements professionnels on accorde plus
d'attention au moteur alors que les particuliers veulent surtout être
aveuglés par des effets graphiques.
A quand les animations DirectX en cas de détection de virus?
Arnold McDonald (AMcD)
> Dans sa prose, Arnold McDonald (AMcD) nous ecrivait :
>> Cela vaut amplement certains commentaires lus ci-dessus, vachement
>> "techniques"...
>
> Les commentaires (les miens en tout cas) ci-dessus se rapportent à une
> présentation technique. Malheureusement, les actes du SSTIC ainsi que
> les présentations ne sont pas encore disponibles, ce qui rend
> effectivement l'accès à ces données un peu difficile pour ceux qui
> n'ont pas assisté
> à la conférence en question.
C'est quoi ce dialogue de sourds ? Tu m'as très bien compris ! Dans cet
interminable thread il ya eu des interventions stupides de la part de gens
primairement anti-kro. Je ne parlais pas de tes commentaires, je voulais
signifier que Roland aurait pu prendre plus de gants : toutes les
interventions n'avaient pas le même niveau.
>> Quelle démonstration technique veux-tu ? Encore un "je ne crois que
>> si je vois !", c'est ça ? Pour avoir lu certains de tes écrits je te
>> pensais plus objectif !
>
> Mon point d'objectivité se base sur le fait que j'ai vu la conférence,
> et lu le papier qui va avec. À ce titre, je pense même pouvoir dire
> que je suis plus objectif que toi, au moins sur la valeur technique
> des arguments avancés. En outre, dans la mesure où on a travaillé à
> Cartel sur un projet similaire, mais étendu à tous les navigateurs. La
> conclusion de ce travail reste certainement que les choses sont
> _nettement_ plus simples et accessibles avec IE.
Je ne sais pas de quelle conférence tu parles et je ne connais pas les
activités de Cartel Sécurité. Oui, sans doute est-il plus simple d'attaquer
IE que d'autres navigateurs. Mais ont peu également attaquer les autres.
>> Tu as le droit d'être un accro de Linux comme moi de Windows. Je
>> déteste les antikro-primaires et je ne vois pas pour quelle raison il
>> faudrait jeter IE, c'est tout. Pour cette fois, je ne suis pas
>> d'accord avec roland.
>
> Et ? Ça ne t'autorise pas à cracher sur le travail de Nicob. J'ai le
> droit d'apprécier Linux, j'ai le droit de ne pas aimer Windows, mais
> je ne crois pas que les gens qui ont _argumenté_ ici, à opposer
> effectivement à pas mal de bruit, aient sombré dans l'anti-MS
> primaire, ni d'ailleurs, dans le pro-MS primaire comme tu viens de le
> faire.
???? Heu c'est quoi ce délire ? Où je crache sur le travail de nicob ???? Je
ne l'ai même pas cité ! Je répète que je voulais signifier à Roland qu'il
aurait du être plus précis, parce que certaines "démonstrations" du thread
n'étaient rien d'autre que du bruit comme tu dis. oui, je suis un pro
microsoft. primaire ? Accusation gratuite ! J'ai dix ans de plus que toi et
j'en ai testé et trituré des OS, crois-moi ! Du premier Linux à BSD en
passant par NextOS ou Be. J'ai fait mon choix. Pourquoi primaire ?
> Alors oui, tu as des arguments techniques, on peut discuter.
> Malheureusement, pour le moment, je n'en ai pas vu.
Tu sais très bien qu'avec createremotethread() et writeprocessmemory() on
peut quasiment faire faire n'importe quoi à n'importe qui. Au besoin, on
passera par driver...
>> Je le suis...
>
> Si tu es capable de faire la même chose avec d'autres navigateurs, et
> là je veux bien te croire puisqu'on l'a presque fait, effectivement,
> je demande à voir, parce que le niveau de souplesse demandé est assez
> difficile à atteindre, en particulier en terme de récupération de
> configuration pour les accès authentifiés au réseau, que IE permet en
> toute transparence pour l'application, pour peu qu'une instance soit
> déjà lancée (ce qui se détecte facilement).
Je n'ai jamais dit qu'IE n'avait pas de failles, dont certaines
effectivement lamentables. Je ne dis pas non plus qu'attaquer les autres
navigateurs est une promenade de santé. J'intervenais pour dire qu'il faut
raison garder et arrêter de toujours taper sur les mêmes. Je pense que
roland, lui, m'avait compris.
Arnold McDonald (AMcD)
> Mouuuuuuuuaaaaaahhhhhhhh !
C'est vrai qu'avec un logo de Mozilla et de Linux sur la page d'accueil de
ton site, tu peux te poser en chantre de l'objectivité...
Roland Garcia
> Je n'ai personnellement jamais dit que IE était exempt de reproches, loin de
> là.
IE est quand même pratiquement le seul logiciel dont l'éditeur n'arrive
pas à boucher les trous.
> Je dis seulement qu'il a aussi pas mal de qualités et de fonctionnalités
> que les autres n'ont pas, d'une part,
Microsoft est un spécialiste reconnu des fonctionnalités que les autres
n'ont pas et des trous que les autres n'ont pas, par exemple les
ActiveX:
http://www.k-otik.com/bugtraq/06.23.Symantec.php
> et d'autre part que la plupart des
> utilisateurs n'en changeront pas, quoi que vous leur conseilliez.
Je n'en doute pas une seconde, la plupart des utilisateurs se
contre-fichent également de la sécurité.
> Il faut
> donc vivre avec.
Nous vivons également très bien avec les virus qui vont avec et
apprenons aux autres qu'ils devront faire de même.
Roland Garcia
Roland Garcia
>
> Je n'ai jamais dit qu'IE n'avait pas de failles, dont certaines
> effectivement lamentables. Je ne dis pas non plus qu'attaquer les autres
> navigateurs est une promenade de santé. J'intervenais pour dire qu'il faut
> raison garder et arrêter de toujours taper sur les mêmes. Je pense que
> roland, lui, m'avait compris.
Tout à fait mais cette histoire d'IE intégré dans l'OS a été le début
des emmerdements avec Microsoft qui avant était sans histoires, ils ont
même eu le gouvernement fédéral et 10 états sur le dos.
Ils se sont plus ou moins arrangés entre eux, soit mais c'est
l'utilisateur qui paye maintenant les pots cassés.
Roland Garcia
Frederic Bezies
> Frederic Bezies wrote:
>
>>Mouuuuuuuuaaaaaahhhhhhhh !
>
> C'est vrai qu'avec un logo de Mozilla et de Linux sur la page d'accueil de
> ton site, tu peux te poser en chantre de l'objectivité...
>
Justement oui, largement plus que tu ne pourrais le faire.
Ayant pratiqué IE entre ses versions 3.02 et 5.0 ou 5.5 (j'ai un doute),
je connais le monstre.
Je ne suis que pour les standards, source d'avenir pour l'internet.
IE ne les supporte pas ? Qu'il crève. Il y a des logiciels de
navigations qui les supportent, et dont la part de marché est croissante.
Et il faut être réaliste car IE ne profite de sa position dominante que
grace :
1) A son imbrication croissante dans Windows, au pointe qu'il sera
indissociable du Windows Longhorn
2) A la puissance de feu de MS sur le plan financier
3) Au merdissime NS 4.x
Alors, la merde que tu as sur les yeux, il faudrait que tu l'enlèves.
Jean-Francois BILLAUD
>>> Si tu veux, je t'en écris 50 qui passeront inaperçu
>>> chez Opera, Mozilla et cie...
>> Sérieusement ?
> Si tu veux, je t'envoie un petit programme (just a proof of concept) qui
> permet d'injecter du code directement dans un programme (pas une dll
> injection) : tu choisis n'importe quel browser et tu renseignes son PID et
> il phone home.
> Le trojan GOD2 se fout royalement aussi du browser que tu utilises je crois
> pour injecter son code dans le process et faire gentiment son boulot : il
> envoie un mail en utilisant le browser.
Lynx sous FreeBSD, ça ira pour la démonstration ?
JFB
--
"Has anyone had problems with the computer accounts?"
"Yes, I don't have one."
"Okay, you can send mail to one of the tutors ..."
-- E. D'Azevedo, Computer Science 372
Frederic Bonroy
> Ils se sont plus ou moins arrangés entre eux, soit mais c'est
> l'utilisateur qui paye maintenant les pots cassés.
Il paraît que c'est surtout l'administration Deubelyou qui a tout fait
pour éviter des ennuis à Microsoft. Bush, toujours copain des grandes
entreprises. :-(
Frederic Bezies
DoubleYou - outre le fait que ce soit un "born-again" (donc hypocrite et
intégrise) -, est aussi un fanatique de l'ultra-libéralisme...
Et de la puissance de feu des entreprises américaines.
Il est clair que MS aurait souffert sous une administration démocrate
comme celle d'Al Gore.
Olivier Miakinen
>
> [...]
>
> Je ne suis que pour les standards, source d'avenir pour l'internet.
Pareil.
> IE ne les supporte pas ? Qu'il crève. Il y a des logiciels de
> navigations qui les supportent, et dont la part de marché est croissante.
Pas mieux.
> Et il faut être réaliste car IE ne profite de sa position dominante que
> grace :
>
> 1) A son imbrication croissante dans Windows, au point[] qu'il sera
> indissociable du Windows Longhorn
>
> 2) A la puissance de feu de MS sur le plan financier
>
> 3) Au merdissime NS 4.x
Exactement.
> Alors, la merde que tu as sur les yeux, il faudrait que tu l'enlèves.
Ça, c'était de trop, et ça ne fait pas avancer le débat. Reste factuel,
cela suffit pour attaquer les défauts d'IE. Passer sur le mode « flame
war » ne peut que risquer de discréditer ton discours, ce qui serait
dommage car tu as raison sur le fond.
Frederic Bezies
> Arnold McDonald (AMcD) a écrit :
>
>>
>> Je n'ai jamais dit qu'IE n'avait pas de failles, dont certaines
>> effectivement lamentables. Je ne dis pas non plus qu'attaquer les autres
>> navigateurs est une promenade de santé. J'intervenais pour dire qu'il
>> faut
>> raison garder et arrêter de toujours taper sur les mêmes. Je pense que
>> roland, lui, m'avait compris.
>
> Tout à fait mais cette histoire d'IE intégré dans l'OS a été le début
> des emmerdements avec Microsoft qui avant était sans histoires, ils ont
Hum :-}
> même eu le gouvernement fédéral et 10 états sur le dos.
19 états. Et il fallait bien étrangler le méchant Netscape qui avait
environ 70% des parts de marchés en 1997, date de sortie d'IE4.
Win98 étant fourni avec IE 4.01. Le dit windows 98 qui devait s'appeller
windows 97 à l'origine, tout comme Windows 2000 qui devait s'appeller
NT5 et sortir en 1998.
>
> Ils se sont plus ou moins arrangés entre eux, soit mais c'est
> l'utilisateur qui paye maintenant les pots cassés.
Mauvais navigateur, changer navigateur !
Roland Garcia
>
>> même eu le gouvernement fédéral et 10 états sur le dos.
>
>
> 19 états.
C'est comme les trous de IE, on ne compte plus :-)
Roland Garcia
Frederic Bezies
> Le 24/06/2003 17:27, Frederic Bezies a écrit :
>
>>[...]
>>
>>Je ne suis que pour les standards, source d'avenir pour l'internet.
>
> Pareil.
>
:-D
>
>>IE ne les supporte pas ? Qu'il crève. Il y a des logiciels de
>>navigations qui les supportent, et dont la part de marché est croissante.
>
> Pas mieux.
>
Sans compter ses 18 failles non corrigées, ou encore les fonctionnalités
basiques manquantes de nos jours = onglets, tueur de pop-ups, bloqueur
de pubs, etc...
>
>
>>Et il faut être réaliste car IE ne profite de sa position dominante que
>>grace :
>>
>>1) A son imbrication croissante dans Windows, au point[] qu'il sera
>>indissociable du Windows Longhorn
>>
>>2) A la puissance de feu de MS sur le plan financier
>>
>>3) Au merdissime NS 4.x
>
> Exactement.
>
Merci.
>
>>Alors, la merde que tu as sur les yeux, il faudrait que tu l'enlèves.
>
> Ça, c'était de trop, et ça ne fait pas avancer le débat. Reste factuel,
> cela suffit pour attaquer les défauts d'IE. Passer sur le mode « flame
> war » ne peut que risquer de discréditer ton discours, ce qui serait
> dommage car tu as raison sur le fond.
>
Je ne faisais que répondre en employant le /taux de mauvaise foi et
d'hypocrisie/ de mon interlocuteur.
Frederic Bonroy
> 3) Au merdissime NS 4.x
Exactement. On peut reprocher à Microsoft son comportement, mais si
Netscape s'est fait défoncer c'est en partie dû à la qualité exécrable
de la version 4.
Frederic Bezies
>
> Ils se sont plus ou moins arrangés entre eux, soit mais c'est
> l'utilisateur qui paye maintenant les pots cassés.
A propos de cassage d'utilisateur, un petit article sur Newsforge
(désolé c'est en anglais !)
http://newsforge.com/newsforge/03/06/16/1552233.shtml
"De vrais amis ne permettent pas à leurs amis d'utiliser Outlook
Express," avec argumentation à l'appui.
Je sens arrivé la sempiternelle attaque de Jceel, tiens.
Frederic Bezies
Il suffit d'aller sur un site qui les comptabilise, comme
http://www.pivx.com/larholm/unpatched/
"24 June 2003: There are currently 19 unpatched vulnerabilities."
La dernière en date :
"24 June 2003: Added align buffer overflow by Digital Scream"
http://msgs.securepoint.com/cgi-bin/get/bugtraq0306/170.html
Avec code à l'appui pour vérifier cette faille de dépassement de tampon
qui permet de faire n'importe quoi ou presque sur le disque de
l'utilisateur.
Pauvre Internet Explorer... Si c'est pas malheureux d'être plus troué
qu'une tranche de gruyère :-\
Olivier Miakinen
>>
>>>Alors, la merde que tu as sur les yeux, il faudrait que tu l'enlèves.
>>
>> Ça, c'était de trop, et ça ne fait pas avancer le débat. Reste factuel,
>> cela suffit pour attaquer les défauts d'IE. Passer sur le mode « flame
>> war » ne peut que risquer de discréditer ton discours, ce qui serait
>> dommage car tu as raison sur le fond.
>
> Je ne faisais que répondre en employant le /taux de mauvaise foi et
> d'hypocrisie/ de mon interlocuteur.
Eh bien il a eu tort. Et toi aussi. S'il continue il aura encore plus
tort. Et toi aussi. On arrête ici la course aux armements ?
Frederic Bezies
NS 4.x a été la version horrible... NS 6.0 ? No comment !
JacK
Jean-Francois BILLAUD <bil...@interpc.fr> signalait:
> JacK wrote:
>
>>>> Si tu veux, je t'en écris 50 qui passeront inaperçu
>>>> chez Opera, Mozilla et cie...
>
>>> Sérieusement ?
>
>> Si tu veux, je t'envoie un petit programme (just a proof of concept)
>> qui permet d'injecter du code directement dans un programme (pas une
>> dll injection) : tu choisis n'importe quel browser et tu renseignes
>> son PID et il phone home.
>> Le trojan GOD2 se fout royalement aussi du browser que tu utilises
>> je crois pour injecter son code dans le process et faire gentiment
>> son boulot : il envoie un mail en utilisant le browser.
>
> Lynx sous FreeBSD, ça ira pour la démonstration ?
>
>
> JFB
Hello,
Je te parle de browsers alternatifs sous Windows.
JacK
Faelan
>
> IE est quand même pratiquement le seul logiciel dont l'éditeur n'arrive
> pas à boucher les trous.
C'est aussi le plus répandu, donc le plus visé.
> > Je dis seulement qu'il a aussi pas mal de qualités et de fonctionnalités
> > que les autres n'ont pas, d'une part,
>
> Microsoft est un spécialiste reconnu des fonctionnalités que les autres
> n'ont pas et des trous que les autres n'ont pas, par exemple les
> ActiveX:
> http://www.k-otik.com/bugtraq/06.23.Symantec.php
Ben oui, l'un va avec l'autre. Qui ne fait rien ne risque rien, ici comme
ailleurs.....
Moins le navigateur en fait, moins il risque les failles et les attaques.
> > et d'autre part que la plupart des
> > utilisateurs n'en changeront pas, quoi que vous leur conseilliez.
>
> Je n'en doute pas une seconde, la plupart des utilisateurs se
> contre-fichent également de la sécurité.
Oui, mais pas toujours : il y a des utilisateurs qui mettent à jour leur
soft mais ne veulent pas changer de soft.
__
F.
Frederic Bezies
[...]
>>
>>Je ne faisais que répondre en employant le /taux de mauvaise foi et
>>d'hypocrisie/ de mon interlocuteur.
>
> Eh bien il a eu tort. Et toi aussi. S'il continue il aura encore plus
> tort. Et toi aussi. On arrête ici la course aux armements ?
>
J'avoue que j'ai eu envie de le remettre à sa place ainsi. J'ai eu tort
et je l'admets.
Mais tu sais, j'ai un problème : il faut que je réponde avec le même
niveau que l'interlocuteur utilise :-\
--
Frédéric Béziès - frederi...@free.fr
Informatique loufoque : http://www.infoloufoque.com/
Terragen : http://frederic.bezies.free.fr/
Site Perso : http://www.chez.com/fbezies/
Weblog : http://frederic.bezies.free.fr/weblog/
Frederic Bonroy
> C'est aussi le plus répandu, donc le plus visé.
Le fait d'être le plus visé n'aurait aucune importance s'il n'y avait
pas de failles...
> Ben oui, l'un va avec l'autre. Qui ne fait rien ne risque rien, ici comme
> ailleurs.....
> Moins le navigateur en fait, moins il risque les failles et les attaques.
Tout à fait, mais avons-nous réellement besoin de ActiveX et compagnie?
Frederic Bezies
> "Roland Garcia" <roland...@wanadoo.fr> a écrit dans le message de
> news:bd9pj0$afd$1...@news-reader2.wanadoo.fr...
>
>>IE est quand même pratiquement le seul logiciel dont l'éditeur n'arrive
>>pas à boucher les trous.
>
> C'est aussi le plus répandu, donc le plus visé.
>
Ah ? Je ne me souviens pas qu'à l'époque de NS majoritaire, il y avait
autant d'attaque.
>
>>>Je dis seulement qu'il a aussi pas mal de qualités et de fonctionnalités
>>>que les autres n'ont pas, d'une part,
>>
>>Microsoft est un spécialiste reconnu des fonctionnalités que les autres
>>n'ont pas et des trous que les autres n'ont pas, par exemple les
>>ActiveX:
>>http://www.k-otik.com/bugtraq/06.23.Symantec.php
>
> Ben oui, l'un va avec l'autre. Qui ne fait rien ne risque rien, ici comme
> ailleurs.....
;-P
> Moins le navigateur en fait, moins il risque les failles et les attaques.
>
Si on veut... Mais Mozilla/NS et Opera en font autant (et parfois plus)
que IE !
>
>>>et d'autre part que la plupart des
>>>utilisateurs n'en changeront pas, quoi que vous leur conseilliez.
>>
>>Je n'en doute pas une seconde, la plupart des utilisateurs se
>>contre-fichent également de la sécurité.
>
> Oui, mais pas toujours : il y a des utilisateurs qui mettent à jour leur
> soft mais ne veulent pas changer de soft.
Tant qu'il bouche les trous, c'est toujours mieux que rien.
S'il ne veulent pas des tueurs de pop-ups ou des avantages de la
navigation par onglets, tant pis pour eux.
--
Frédéric Béziès - frederi...@free.fr
Cedric Blancher
> interminable thread il ya eu des interventions stupides de la part de
> gens primairement anti-kro. Je ne parlais pas de tes commentaires, je
> voulais signifier que Roland aurait pu prendre plus de gants : toutes
> les interventions n'avaient pas le même niveau.
Désolé, je ne dois pas savoir lire...
"Là tu nous fais une crise de mauvaise foi. Quelle argumentation
technique ??? Menée par des antikro de première ? MDR ! Quelle
démonstration de trojan ? Si tu veux, je t'en écris 50 qui passeront
inaperçu chez Opera, Mozilla et cie... Allons, redevenons sérieux !"
J'ai du mal comprendre, je suis trop con.
> Je ne sais pas de quelle conférence tu parles
Tu prends le post de Joke0. Tu as un lien qui en parle.
> ???? Heu c'est quoi ce délire ? Où je crache sur le travail de nicob
> ???? Je ne l'ai même pas cité !
Non, effectivement, tu as juste avancé que sur ce thread, auquel il a
participé, et dans lequel son travail est cité, dès le premier post
d'ailleurs, puisque c'est un article qui décrit son travail qui sert de
point de départ à notre dialogue de sourd, aucun argument technique n'a
été avancé. Juste ça.
> oui, je suis un pro microsoft. primaire ? Accusation gratuite !
C-O-M-P-L-E-T-E-M-E-N-T
> J'ai dix ans de plus que toi et j'en ai testé et trituré des OS,
> crois-moi ! Du premier Linux à BSD en passant par NextOS ou Be. J'ai
> fait mon choix. Pourquoi primaire ?
Primaire parce que ce tu emploies exactement le même type d'arguments que
les gens que tu décries (cf. au dessus : "aucun argument", "discours
primaire", "je te fais la même chose avec tes trucs", etc.). Mais
rassure-toi, je sais que tu n'es pas primaire, il m'arrive de lire tes
interventions. C'était juste de la provoc.
> Tu sais très bien qu'avec createremotethread() et writeprocessmemory()
> on peut quasiment faire faire n'importe quoi à n'importe qui. Au
> besoin, on passera par driver...
Je sais, mais c'est moins souple, et en plus on peut l'interdire, d'une
part en ne développant pas avec des moufles, c'est à dire en produisant
des applications qui posent des restrictions d'accès à ces méthodes, et
d'autre part en limitant les droits des utilisateurs (privilèges de debug
en particulier). Pour ce qui est du driver, ça demande tout de même les
droits superutilisateur, ce qui revient à considérer soit qu'on opère
sur un truc qu'on ose appeler un OS (i.e. Win9x/Me) ou un OS configuré et
utilisé par un novice (typiquement WinXP Family dans sa configuration de
base). Dans le cas d'uns station de travail un tant soit peu travaillée
au sein d'un domaine bien maîtrisé, c'est déjà nettement moins
évident.
Alors, oui, j'ai fait ma tête d'âne en te prenant au premier degré. Que
tu veuilles utiliser IE, grand bien t'en fasse. D'ailleurs, il est vrai
que sous Windows, les autres font pâle figure à côté. Mais ton
discours m'a vraiment dérangé dans la mesure où il frise vraiment avec
le primaire, pour dénoncer les primaires d'en face ;) Non ?
Allez hop, viens enterrer la hache de guerre et prendre une bière, on
pourra en discuter plus sereinement.
--
en effet, j'ai fait une erreu. (...) Desoler
-+- RV in Guide du Neneu Usenet : Tout le trompe peut se monder -+-
Cedric Blancher
> Je te parle de browsers alternatifs sous Windows.
Lancé par un utilisateur sans les droits de debug ?
--
> ces deux adresses sont à consulter dans l'ordre inverse
.inconsciemment marquer me dû a ça et ,HP calculette une utilisé
ai j' ,longtemps a y Il
-+- JFB in Guide du Fmblien Assassin : "fr.* ou pl.* ?" -+-
Roland Garcia
> "Roland Garcia" <roland...@wanadoo.fr> a écrit dans le message de
> news:bd9pj0$afd$1...@news-reader2.wanadoo.fr...
>
>>IE est quand même pratiquement le seul logiciel dont l'éditeur n'arrive
>>pas à boucher les trous.
>
>
> C'est aussi le plus répandu, donc le plus visé.
Cet argument ne tient pas, IE est tout simplement mal conçu. On ne
patche pratiquement jamais Win 98.
Roland Garcia
JacK
Roland Garcia <roland...@wanadoo.fr> signalait:
> Faelan a écrit :
>
>> Je n'ai personnellement jamais dit que IE était exempt de reproches,
>> loin de là.
>
> IE est quand même pratiquement le seul logiciel dont l'éditeur
> n'arrive
> pas à boucher les trous.
>
>> Je dis seulement qu'il a aussi pas mal de qualités et de
>> fonctionnalités que les autres n'ont pas, d'une part,
>
> Microsoft est un spécialiste reconnu des fonctionnalités que les
> autres
> n'ont pas et des trous que les autres n'ont pas, par exemple les
> ActiveX:
> http://www.k-otik.com/bugtraq/06.23.Symantec.php
S'il n'y a que ça qui dérange dans IE, suffit de décocher ;)
Ce n'est malheureusement pas le cas.
Personne ne t'oblige à utiliser les fonctionnalités dont tu n'as pas
l'usage.
Bien pratique parfois cependant mais effectifement sujet à goufres de
sécurité.
JacK
JacK
Cedric Blancher <blan...@cartel-securite.fr> signalait:
> Dans sa prose, JacK nous ecrivait :
>> Je te parle de browsers alternatifs sous Windows.
>
> Lancé par un utilisateur sans les droits de debug ?
>
> .inconsciemment marquer me dû a ça et ,HP calculette une utilisé
> ai j' ,longtemps a y Il
> -+- JFB in Guide du Fmblien Assassin : "fr.* ou pl.* ?" -+-
Si tu as une bécane sous WinXP (pas prévu pour OS non NT) je te l'envoie et
tu vois par toi-même.
JacK
Arnold McDonald (AMcD)
> Allez hop, viens enterrer la hache de guerre et prendre une bière, on
> pourra en discuter plus sereinement.
Ça boume !
--
AMcD
http://arnold.mcdonald.free.fr/
(still in fossilization progress but now in english, thus the whole
world can see my laziness)
Roland Garcia
> In news:pan.2003.06.24....@cartel-securite.fr,
> Cedric Blancher <blan...@cartel-securite.fr> signalait:
>
>>
>>.inconsciemment marquer me dû a ça et ,HP calculette une utilisé
>>ai j' ,longtemps a y Il
Ca s'appelle la notation polonaise inverse, il y a t-il une notation
polonaise "normale" ? :-)
Roland Garcia
Arnold McDonald (AMcD)
> Mais tu sais, j'ai un problème : il faut que je réponde avec le même
> niveau que l'interlocuteur utilise :-\
MDR ! Sérieux, tu te prends pour qui ?
Par pitié, mets-moi dans la liste des intervenants dont tu ne souhaites pas
lire les messages. Ce sera un honneur. Et reviens m'insulter quand t'en
seras à 200-300 K lignes d'ASM (moi aussi je epux faire dans le
désagréable).
Frederic Bezies
> Frederic Bezies wrote:
>
>
>>Mais tu sais, j'ai un problème : il faut que je réponde avec le même
>>niveau que l'interlocuteur utilise :-\
>
> MDR ! Sérieux, tu te prends pour qui ?
Pas pour toi, car je ne suis pas à ce point désespéré.
>
> Par pitié, mets-moi dans la liste des intervenants dont tu ne souhaites pas
> lire les messages. Ce sera un honneur. Et reviens m'insulter quand t'en
Et tu veux me priver de ta mauvaise foi congénitale ?
> seras à 200-300 K lignes d'ASM (moi aussi je epux faire dans le
> désagréable).
Après avoir programmé en ASM Z80, j'ai été vacciné à vie contre l'ASM.
NoVaZuR
> C'est aussi le plus répandu, donc le plus visé.
Ça tombe bien puisque c'est le plus troué.
Coïncidence troublante ;-)
> Oui, mais pas toujours : il y a des utilisateurs qui mettent à jour leur
> soft mais ne veulent pas changer de soft.
Oui, disons (généreusement) que 3% des utilisateurs mettent à jour leurs
softs (preuve de conscience), et que 5% d'entre-eux n'en changent pas même
s'il y a mieux (preuve d'obscurantisme).
Nous parlons donc ici de 0.15 % (0.03 x 0.05) de la population
informatisée (et autonome devant sa machine, car il faut évidemment
exclure les parcs machines avec administrateur) ?
Wahou ! Ça fait peur.
Allez, revenons sur les 99.85 % restants !
--
o laisser la ligne contenant la mention de la personne à qui on répond,
o ne citer que le strict nécessaire, mais citer quelque chose,
o répondre point par point, en dessous du texte cité,
o répondre sur usenet:<http://www.giromini.org/usenet-fr/repondre.html>.
NoVaZuR
> Si on veut... Mais Mozilla/NS et Opera en font autant (et parfois plus)
> que IE !
Et parfois mieux.
Car, qu'on ne parle surtout pas (à nouveau) de IE qui respecte les
standards alors que c'est l'un de ceux qui les respectent le moins.
Certes, tout est lisible avec IE, parce que tout développeur de site Web
est _obligé_ de rester compatible avec les "standards" propriétaires de
IE.
Je ne me suis jamais autant arraché les cheveux que depuis que je suis
sous Linux, que je n'utilise plus IE systématiquement pour tester mes
sites, que je code selon les standards et les normes, et que lors d'un
test inopiné avec IE, plus rien ne fonctionne comme il se doit !
> Tant qu'il bouche les trous, c'est toujours mieux que rien.
Si ça pouvait être vrai...
Frederic Bezies
> Le Tue, 24 Jun 2003 18:08:23 +0200, Frederic Bezies a écrit :
>
>
>>Si on veut... Mais Mozilla/NS et Opera en font autant (et parfois plus)
>>que IE !
>
> Et parfois mieux.
Seulement parfois ?
> Car, qu'on ne parle surtout pas (à nouveau) de IE qui respecte les
> standards alors que c'est l'un de ceux qui les respectent le moins.
Ne pas confondre l'exécrable IE PC avec le meilleur IE Mac.
> Certes, tout est lisible avec IE, parce que tout développeur de site Web
> est _obligé_ de rester compatible avec les "standards" propriétaires de
> IE.
Tiens, encore un sac à vomi à remplir.
>
> Je ne me suis jamais autant arraché les cheveux que depuis que je suis
> sous Linux, que je n'utilise plus IE systématiquement pour tester mes
> sites, que je code selon les standards et les normes, et que lors d'un
> test inopiné avec IE, plus rien ne fonctionne comme il se doit !
>
Logique ; IE ne respecte que les standards non standards ;-}
>
>>Tant qu'il bouche les trous, c'est toujours mieux que rien.
>
> Si ça pouvait être vrai...
>
C'est partiellement vrai.
--
Frédéric Béziès - frederi...@free.fr
Informatique loufoque : http://www.infoloufoque.com/
Arnold McDonald (AMcD)
> Le 24.06.2003 18:48 Arnold McDonald (AMcD) a écrit :
>> Frederic Bezies wrote:
>>
>>
>>> Mais tu sais, j'ai un problème : il faut que je réponde avec le même
>>> niveau que l'interlocuteur utilise :-\
>>
>> MDR ! Sérieux, tu te prends pour qui ?
>
> Pas pour toi, car je ne suis pas à ce point désespéré.
Tu critiques beaucoup, mais tu ne nous fait pas voir grand-chose ! Excepté
des interventions partiales, je n'ai jamais vu beaucoup mieux dans tes
propos. Voilà pourquoi j'ai répondu ainsi. Critiquer c'est très facile, mais
tu sais faire quoi ?
>> Par pitié, mets-moi dans la liste des intervenants dont tu ne
>> souhaites pas lire les messages. Ce sera un honneur. Et reviens
>> m'insulter quand t'en
>
> Et tu veux me priver de ta mauvaise foi congénitale ?
Je suis parfois de mauvaise foi, mais j'ai au moins le mérite de le
reconnaître.
>> seras à 200-300 K lignes d'ASM (moi aussi je epux faire dans le
>> désagréable).
> Après avoir programmé en ASM Z80, j'ai été vacciné à vie contre l'ASM.
L'ASM du Z80. Ha oui, grande expérience, tu peux largement te foutre de mon
niveau avec ça... Non, franchement, passe au mode protégé du 386, c'est
quand même autre chose. Note que si tu veux vraiment t'amuser, tu as les
SSE2 pour te détendre. Je rectifie alors mes propos, reviens quand t'en sera
à 250K lignes de C (voire de C++, je ne suis pas raciste)...
Allez, fini de faire mumuse. Bye.
Faelan
news:bd9sng$qujo7$1...@ID-75150.news.dfncis.de...
> Faelan wrote:
>
> > C'est aussi le plus répandu, donc le plus visé.
>
> Le fait d'être le plus visé n'aurait aucune importance s'il n'y avait
> pas de failles...
Non, on trouve beaucoup de failles parce qu'il est le plus visé. Même si
j'admets qu'il en a de toute façon beaucoup.
> > Ben oui, l'un va avec l'autre. Qui ne fait rien ne risque rien, ici
comme
> > ailleurs.....
> > Moins le navigateur en fait, moins il risque les failles et les
attaques.
>
> Tout à fait, mais avons-nous réellement besoin de ActiveX et compagnie?
Rien ne vous empêche de le désactiver.
__
F
PS : je ne réponds pas à la meute anti-microsoft qui vous suit avec les
mêmes arguments :-)
Roland Garcia
> "Frederic Bonroy" <yor...@yahoo.fr> a écrit dans le message de
> news:bd9sng$qujo7$1...@ID-75150.news.dfncis.de...
>
>>Faelan wrote:
>>
>>
>>>C'est aussi le plus répandu, donc le plus visé.
>>
>>Le fait d'être le plus visé n'aurait aucune importance s'il n'y avait
>>pas de failles...
>
>
> Non, on trouve beaucoup de failles parce qu'il est le plus visé. Même si
> j'admets qu'il en a de toute façon beaucoup.
On vous dit que non.
Les failles de IE ne sont même pas bouchables, chez Mozilla c'est
toujours 0 et 1 pendant quelques jours, jamais 18 trous en même temps.
Roland Garcia
Frederic Bonroy
> L'ASM du Z80. Ha oui, grande expérience, tu peux largement te foutre de mon
> niveau avec ça... Non, franchement, passe au mode protégé du 386, c'est
> quand même autre chose. Note que si tu veux vraiment t'amuser, tu as les
> SSE2 pour te détendre. Je rectifie alors mes propos, reviens quand t'en sera
> à 250K lignes de C (voire de C++, je ne suis pas raciste)...
Bon dites, c'est quoi cette discussion?
Et puis de toute façon le plus beau, le plus fort, le plus intelligent
et le plus modeste c'est moi. Continuez à vous battre pour la seconde
place sur le podium. ;-)
Faelan
news:bda19f$b3$1...@news-reader4.wanadoo.fr...
> >
> > Non, on trouve beaucoup de failles parce qu'il est le plus visé. Même si
> > j'admets qu'il en a de toute façon beaucoup.
>
> On vous dit que non.
Ca, c'est un argument majeur. Vous êtes un pro, vous, au moins :-)))
> Les failles de IE ne sont même pas bouchables, chez Mozilla c'est
> toujours 0 et 1 pendant quelques jours, jamais 18 trous en même temps.
Evidemment. Il y a moins de gens pour les chercher.
__
F.
Roland Garcia
>>Les failles de IE ne sont même pas bouchables, chez Mozilla c'est
>>toujours 0 et 1 pendant quelques jours, jamais 18 trous en même temps.
>
>
> Evidemment. Il y a moins de gens pour les chercher.
Ca, c'est un argument majeur. Vous êtes un pro, vous, au moins :-)))
Roland Garcia
Arnold McDonald (AMcD)
> "Arnold McDonald (AMcD)" wrote:
> Bon dites, c'est quoi cette discussion?
Non mais attends, qu'est-ce qu'il vient me chercher là ! Moi aussi je peux
jouer au h4ck3r :o).
> Et puis de toute façon le plus beau, le plus fort, le plus intelligent
> et le plus modeste c'est moi. Continuez à vous battre pour la seconde
> place sur le podium. ;-)
Oui, étant donné que moi je suis déjà hors-classe, ils ont été bien cool de
te mettre juste derrière...
Noshi
> On Mon, 23 Jun 2003 19:09:30 +0200, Noshi wrote:
>
>>> Je répète : AUCUN PATCH NE SERA DISPONIBLE, VU QUE CE N'EST PAS UNE
>>> EXPLOITATION DE FAILLE DE NAVIGATEUR !
>>
>> Y'a une possibilité de désactiver ce comportement a la dure ?
>
> Probablement ...
>
> On peut déjà interdire à IE d'accéder au Net (via un firewall personnel),
> mais de là à interdire la communication basée sur les objets OLE,je doute
> fort que ce soit simple.
Ca c'est fait déjà... :) Enfin sauf pour les ojets OLE
> De toute façon, ce soft est fait pour marcher sur un réseau d'entreprise
> "standard", c'est-à-dire où au pire (pour l'attaquant) on a un pare-feu, un
> proxy, et un AV. Je pense que les gens vraiment paranos n'ont pas d'accès
> Internet, et donc la question de désactivation d'IE ne se pose pas dans
> ces cas là.
Ben la ca m'interesse plutot pour chez moi ... Bien que je ne risque pas
grand chose
> Nicob
--
Noshi
Noshi
> Roland Garcia wrote:
>
>> En résumé le fil de discussion était "IE à jeter définitivement à la
>> poubelle?", il y a eu une bonne argumentation technique y compris la
>> démonstration qu'un trojan pouvait utiliser IE toutes failles
>> corrigées.
>
> Là tu nous fais une crise de mauvaise foi. Quelle argumentation technique
> ??? Menée par des antikro de première ? MDR ! Quelle démonstration de trojan
> ? Si tu veux, je t'en écris 50 qui passeront inaperçu chez Opera, Mozilla et
> cie... Allons, redevenons sérieux !
Ok... j'attend le trojan qui passera a travers mozilla.
mon adresse mail est valide.
>> La réponse devrait être OUI, si on ne peut pas garantir un logiciel
>> sans faille on peut toujours faire un logiciel de conception saine.
>
> Non. La réponse est que IE est un excellent navigateur. Malheureusement, de
> conception lourde et possédant de failles pas toujours corrigées en temps et
> en heure. Toutefois, au moins des efforts sont faits... Mais les autres n'en
> sont pas exempts non plus de bogues et de failles ! Chacun utilise celui que
> bon lui semble, mais il ne faut pas raconter d'âneries non plus. Moi, j'ai
> vite laissé tomber la concurrence qui ne respecte pas souvent le standards
> (c'est sûr, ça permet d'afficher plus vite...) et je n'ai jamais eu de
> problème avec IE. Jamais. Ni virus, ni cheval de Troie où je ne sais quoi
> d'autre ! Certes, quelques pages refusent de s'afficher parfois. Cela arrive
> également avec Mozilla (que j'utilise pour tester mes sites) aussi hein!
> Franchement à part pour les popups, pourquoi passerai-je à autre chose (t'as
> déjà écrit des sites CSS pour NN, Opera et consort , bon courage...) ??? Vie
> IE !
IE gère très mal les CSS...
Les "concurrents" ont au moins l'avantage d'etre presque CSS compliant.
Avec la palme pour Opéra.
> Non mais...
--
Noshi
Noshi
>> Quelle démonstration technique veux-tu ? Encore un "je ne crois que si
>> je vois !", c'est ça ? Pour avoir lu certains de tes écrits je te
>> pensais plus objectif !
>
> Mon point d'objectivité se base sur le fait que j'ai vu la conférence,
> et lu le papier qui va avec. À ce titre, je pense même pouvoir dire que
> je suis plus objectif que toi, au moins sur la valeur technique des
> arguments avancés. En outre, dans la mesure où on a travaillé à Cartel
> sur un projet similaire, mais étendu à tous les navigateurs. La
> conclusion de ce travail reste certainement que les choses sont
> _nettement_ plus simples et accessibles avec IE.
Vous avez publié un truc sur votre travail ou ca reste privé a Cartel ?
[...]
>> Je le suis...
>
> Si tu es capable de faire la même chose avec d'autres navigateurs, et là
> je veux bien te croire puisqu'on l'a presque fait, effectivement, je
> demande à voir, parce que le niveau de souplesse demandé est assez
> difficile à atteindre, en particulier en terme de récupération de
> configuration pour les accès authentifiés au réseau, que IE permet en
> toute transparence pour l'application, pour peu qu'une instance soit déjà
> lancée (ce qui se détecte facilement).
Faudrait lui apprendre la signification de : just do it :)
--
Noshi
Noshi
>>> Quelle démonstration technique veux-tu ? Encore un "je ne crois que
>>> si je vois !", c'est ça ? Pour avoir lu certains de tes écrits je te
>>> pensais plus objectif !
>>
>> Mon point d'objectivité se base sur le fait que j'ai vu la conférence,
>> et lu le papier qui va avec. À ce titre, je pense même pouvoir dire
>> que je suis plus objectif que toi, au moins sur la valeur technique
>> des arguments avancés. En outre, dans la mesure où on a travaillé à
>> Cartel sur un projet similaire, mais étendu à tous les navigateurs. La
>> conclusion de ce travail reste certainement que les choses sont
>> _nettement_ plus simples et accessibles avec IE.
>
> Je ne sais pas de quelle conférence tu parles et je ne connais pas les
> activités de Cartel Sécurité. Oui, sans doute est-il plus simple d'attaquer
> IE que d'autres navigateurs. Mais ont peu également attaquer les autres.
Il parle d'une conférence sur la sécurité informatique. Et Cartel Sécurité
est une boite spécialisée dans la ... euh ? Sécurité informatique.
Et comporte quelques personnes de qualité dont les interventions sont
toujours pointues et respectueuses des OS malgré leurs préférences.
>> Et ? Ça ne t'autorise pas à cracher sur le travail de Nicob. J'ai le
>> droit d'apprécier Linux, j'ai le droit de ne pas aimer Windows, mais
>> je ne crois pas que les gens qui ont _argumenté_ ici, à opposer
>> effectivement à pas mal de bruit, aient sombré dans l'anti-MS
>> primaire, ni d'ailleurs, dans le pro-MS primaire comme tu viens de le
>> faire.
>
> ???? Heu c'est quoi ce délire ? Où je crache sur le travail de nicob ???? Je
> ne l'ai même pas cité ! Je répète que je voulais signifier à Roland qu'il
> aurait du être plus précis, parce que certaines "démonstrations" du thread
> n'étaient rien d'autre que du bruit comme tu dis. oui, je suis un pro
> microsoft. primaire ? Accusation gratuite ! J'ai dix ans de plus que toi et
> j'en ai testé et trituré des OS, crois-moi ! Du premier Linux à BSD en
> passant par NextOS ou Be. J'ai fait mon choix. Pourquoi primaire ?
Relis toi. Tu annonces que tu es capables d'écrire 50 trojans qui profitent
de failles. Et quand on te dit. Fais le. Tu t'ecrases.
>> Alors oui, tu as des arguments techniques, on peut discuter.
>> Malheureusement, pour le moment, je n'en ai pas vu.
>
> Tu sais très bien qu'avec createremotethread() et writeprocessmemory() on
> peut quasiment faire faire n'importe quoi à n'importe qui. Au besoin, on
> passera par driver...
Petit exemple ?
>> Si tu es capable de faire la même chose avec d'autres navigateurs, et
>> là je veux bien te croire puisqu'on l'a presque fait, effectivement,
>> je demande à voir, parce que le niveau de souplesse demandé est assez
>> difficile à atteindre, en particulier en terme de récupération de
>> configuration pour les accès authentifiés au réseau, que IE permet en
>> toute transparence pour l'application, pour peu qu'une instance soit
>> déjà lancée (ce qui se détecte facilement).
>
> Je n'ai jamais dit qu'IE n'avait pas de failles, dont certaines
> effectivement lamentables. Je ne dis pas non plus qu'attaquer les autres
> navigateurs est une promenade de santé. J'intervenais pour dire qu'il faut
> raison garder et arrêter de toujours taper sur les mêmes. Je pense que
> roland, lui, m'avait compris.
Erf.
--
Noshi
Arnold McDonald (AMcD)
> Il parle d'une conférence sur la sécurité informatique. Et Cartel
> Sécurité est une boite spécialisée dans la ... euh ? Sécurité
> informatique.
> Et comporte quelques personnes de qualité dont les interventions sont
> toujours pointues et respectueuses des OS malgré leurs préférences.
Certes. Mais moi je en parlais pas de ça. On s'est compris depuis. C'est
bien car je tiens C. Blancher en haute estime et j'aurai mal compris qu'il
ne soit pas capable de detecter des quiproquos.
> Relis toi. Tu annonces que tu es capables d'écrire 50 trojans qui
> profitent de failles. Et quand on te dit. Fais le. Tu t'ecrases.
MDR. Sache que je ne parle jamais dans le vide. Si je te dis que c'est
faisable c'est que ça l'est. Sur un autre thread je donne même une méthode,
par exemple via createremotethread(). Il y en a d'autres. C'est pénible ce
"je ne crois que si je vois" qui pollue les NG français. D'autant plus qu'il
faut faire attention avec les publications de code malveillant. Certains
imbéciles peuvent s'en servir sans avoir besoin de comprendre...
>> Tu sais très bien qu'avec createremotethread() et
>> writeprocessmemory() on peut quasiment faire faire n'importe quoi à
>> n'importe qui. Au besoin, on passera par driver...
>
> Petit exemple ?
Non. Et quoi que tu puisses en penser, je m'en tape. Je ne te dois rien.
> Erf.
Eh oui, il m'avait compris, lui. Je te rassure, il y a plein d'intervenants
ici qui me comprennent et avec qui je correspond régulièrement. Certes mon
style rentre-dedans fait parfois des éclaboussures, mais bon, on ne peux pas
plaire à tout le monde.
Faelan
Tout à fait. J'ai des arguments qui sont parfois partagés.....
Quelques exemples :
http://z0rglub.com/piratage/index.php?part=6&sous_part=3 (1er paragraphe).
"Tous les navigateurs (ainsi que les clients de messagerie) possèdent des
failles de sécurité. La plupart du temps c'est Internet Explorer, le
navigateur de Microsoft dont la popularité est très controversée, qui est la
cible d'attaques par exploitation de ses failles. Ce n'est pas seulement
parce qu'Internet Explorer est mal programmé, c'est surtout parce qu'il est
le navigateur le plus utilisé sur la planète et donc l'exploitation d'une
faille d'Internet Explorer aura plus de conséquence que l'exploitation d'une
faille de Mozilla ou Opéra."
http://www.01net.com/article/205758.html
"En effet, Internet Explorer étant le navigateur le plus répandu, il est la
cible privilégiée des attaques en tout genre."
http://terroirs.denfrance.free.fr/p/internet/attaque/internet_explorer.html
"Il faut aussi dire que les observateurs estiment Internet Explorer a 96%
des parts du marché : c'est donc aussi le plus attaqué, hijacké etc. ... "
Je cherche en vain des références d'articles qui utilisent "on vous dit que
non" comme argument....;-))
__
F.
JacK
Noshi <No...@lacave.net> signalait:
> On Tue, 24 Jun 2003 14:59:37 +0200, Arnold McDonald (AMcD) wrote:
>
>
> Ok... j'attend le trojan qui passera a travers mozilla.
>
> mon adresse mail est valide.
Dans ta BAL un proof of concept inoffensif qui fonctionne uniquement sur
WinXP.
Testé sur Opera (mon browser par défaut). Je n'utilise pas Mozilla.
Pourrais-tu donner le résultat ?
TIA
JacK
Frederic Bonroy
> Tout à fait. J'ai des arguments qui sont parfois partagés.....
> Quelques exemples :
>
> http://z0rglub.com/piratage/index.php?part=6&sous_part=3 (1er paragraphe).
> "Tous les navigateurs (ainsi que les clients de messagerie) possèdent des
> failles de sécurité. La plupart du temps c'est Internet Explorer, le
> navigateur de Microsoft dont la popularité est très controversée, qui est la
> cible d'attaques par exploitation de ses failles. Ce n'est pas seulement
> parce qu'Internet Explorer est mal programmé, c'est surtout parce qu'il est
> le navigateur le plus utilisé sur la planète et donc l'exploitation d'une
> faille d'Internet Explorer aura plus de conséquence que l'exploitation d'une
> faille de Mozilla ou Opéra."
Ce n'est pas uniquement une question de conséquences et de gravité,
c'est aussi et surtout une question de *quantité*, cette dernière
étant plus élevée chez IE que chez les autres.
Et si pas un chat n'utilisait IE ces failles seraient là quand-même.
Distinguez bien:
1. l'exploitation de failles
d'une part et
2. l'existence et la quantité des failles
On se fiche éperdument du fait que les failles soient exploitées, car
cela n'est qu'une conséquence de l'existence même de ces failles et de
leur quantité. C'est ça la racine du problème, et pas le nombre
d'utilisateurs.
> http://www.01net.com/article/205758.html
> "En effet, Internet Explorer étant le navigateur le plus répandu, il est la
> cible privilégiée des attaques en tout genre."
>
> http://terroirs.denfrance.free.fr/p/internet/attaque/internet_explorer.html
> "Il faut aussi dire que les observateurs estiment Internet Explorer a 96%
> des parts du marché : c'est donc aussi le plus attaqué, hijacké etc. ... "
>
> Je cherche en vain des références d'articles qui utilisent "on vous dit que
> non" comme argument....;-))
On cherche aussi en vain des tests d'antivirus compétents, alors vous
savez...
Noshi
> Noshi wrote:
>
>> Il parle d'une conférence sur la sécurité informatique. Et Cartel
>> Sécurité est une boite spécialisée dans la ... euh ? Sécurité
>> informatique.
>> Et comporte quelques personnes de qualité dont les interventions sont
>> toujours pointues et respectueuses des OS malgré leurs préférences.
>
> Certes. Mais moi je en parlais pas de ça. On s'est compris depuis. C'est
> bien car je tiens C. Blancher en haute estime et j'aurai mal compris qu'il
> ne soit pas capable de detecter des quiproquos.
Sous entendu tu a raison et tout le monde a tort ?
>> Relis toi. Tu annonces que tu es capables d'écrire 50 trojans qui
>> profitent de failles. Et quand on te dit. Fais le. Tu t'ecrases.
>
> MDR. Sache que je ne parle jamais dans le vide. Si je te dis que c'est
> faisable c'est que ça l'est. Sur un autre thread je donne même une méthode,
> par exemple via createremotethread(). Il y en a d'autres. C'est pénible ce
> "je ne crois que si je vois" qui pollue les NG français. D'autant plus qu'il
> faut faire attention avec les publications de code malveillant. Certains
> imbéciles peuvent s'en servir sans avoir besoin de comprendre...
Je peux t'en citer plein des "je sais le faire mais je vous montrerais pas
que je sais vous avez qu'a me croire sur parole." Et la plupart des gens
qui disent ca ont 14 ans et chattent sur caramail (parfois irc mais ca fait
longtemps que j'en ai plus croisé...).
En ce qui concerne Cédric et Nicob. Je sais que ce qu'ils disent est
correct parce que j'ai lu leurs interventions. J'ai lu certain articles de
Cédric. Je connais la boite ou il travaille. Clairement ca pose un autre
niveau que tes affirmations gratuites alors je me crois en droit pour me
faire une idée de savoir si ce que tu racontes est correct ou si c'est du
pipo destiné a epater la gallerie et faire se taire les anti microsoft.
>> Petit exemple ?
>
> Non. Et quoi que tu puisses en penser, je m'en tape. Je ne te dois rien.
je n'ai pas dit que tu me devais quelque chose. J'ai dit que ton
argumentation manquait d'exemple.
>> Erf.
>
> Eh oui, il m'avait compris, lui. Je te rassure, il y a plein d'intervenants
> ici qui me comprennent et avec qui je correspond régulièrement. Certes mon
> style rentre-dedans fait parfois des éclaboussures, mais bon, on ne peux pas
> plaire à tout le monde.
Je n'ai pas dit que je n'avais pas compris. J'ai montré mon amusement.
--
Noshi
MELMOTH
suivants:
> Et puis de toute façon le plus beau, le plus fort, le plus intelligent
> et le plus modeste c'est moi.
Ts ts ts ts.....
C'est MELMOTH....
Melmoth - sexuellemenransmissible
Noshi
>> Ok... j'attend le trojan qui passera a travers mozilla.
>>
>> mon adresse mail est valide.
> Hello,
>
> Dans ta BAL un proof of concept inoffensif qui fonctionne uniquement sur
> WinXP.
> Testé sur Opera (mon browser par défaut). Je n'utilise pas Mozilla.
>
> Pourrais-tu donner le résultat ?
> TIA
Je n'utilise pas XP...
Et je resterais avec mon bon vieux W2k le plus longtemps possible.
> JacK
--
Noshi
Faelan
news:bda8iv$qgkn0$1...@ID-75150.news.dfncis.de...
> Faelan wrote:
>
> > Tout à fait. J'ai des arguments qui sont parfois partagés.....
> > Quelques exemples :
> >
> > http://z0rglub.com/piratage/index.php?part=6&sous_part=3 (1er
paragraphe).
> > "Tous les navigateurs (ainsi que les clients de messagerie) possèdent
des
> > failles de sécurité. La plupart du temps c'est Internet Explorer, le
> > navigateur de Microsoft dont la popularité est très controversée, qui
est la
> > cible d'attaques par exploitation de ses failles. Ce n'est pas seulement
> > parce qu'Internet Explorer est mal programmé, c'est surtout parce qu'il
est
> > le navigateur le plus utilisé sur la planète et donc l'exploitation
d'une
> > faille d'Internet Explorer aura plus de conséquence que l'exploitation
d'une
> > faille de Mozilla ou Opéra."
>
> cela n'est qu'une conséquence de l'existence même de ces failles et de
> leur quantité. C'est ça la racine du problème, et pas le nombre
> d'utilisateurs.
Et bien, il est clair les articles que j'ai cités n'abondent pas dans votre
sens. Le "on" est donc abusif ;-)
__
F.
Frederic Bezies
> Frederic Bezies wrote:
>
>>Le 24.06.2003 18:48 Arnold McDonald (AMcD) a écrit :
>>
>>>Frederic Bezies wrote:
>>>
>>>>Mais tu sais, j'ai un problème : il faut que je réponde avec le même
>>>>niveau que l'interlocuteur utilise :-\
>>>
>>>MDR ! Sérieux, tu te prends pour qui ?
>>
>>Pas pour toi, car je ne suis pas à ce point désespéré.
>
> Tu critiques beaucoup, mais tu ne nous fait pas voir grand-chose ! Excepté
Cherches et tu trouveras.
> des interventions partiales, je n'ai jamais vu beaucoup mieux dans tes
Je ne fais que te cloner sur ce point.
> propos. Voilà pourquoi j'ai répondu ainsi. Critiquer c'est très facile, mais
> tu sais faire quoi ?
>
Plein de choses !
>
>>>Par pitié, mets-moi dans la liste des intervenants dont tu ne
>>>souhaites pas lire les messages. Ce sera un honneur. Et reviens
>>>m'insulter quand t'en
>>
>>Et tu veux me priver de ta mauvaise foi congénitale ?
>
> Je suis parfois de mauvaise foi, mais j'ai au moins le mérite de le
> reconnaître.
>
Prétendrais-tu que je suis un menteur ? Ou une personne qui ne reconnait
pas ses torts ?
>
>>>seras à 200-300 K lignes d'ASM (moi aussi je epux faire dans le
>>>désagréable).
>
>>Après avoir programmé en ASM Z80, j'ai été vacciné à vie contre l'ASM.
>
> L'ASM du Z80. Ha oui, grande expérience, tu peux largement te foutre de mon
> niveau avec ça... Non, franchement, passe au mode protégé du 386, c'est
Quand j'ai vu un listing d'ASM i386, j'ai été courrir aux toilettes pour
vomir.
> quand même autre chose. Note que si tu veux vraiment t'amuser, tu as les
> SSE2 pour te détendre. Je rectifie alors mes propos, reviens quand t'en sera
> à 250K lignes de C (voire de C++, je ne suis pas raciste)...
C ? C++ ? Pourquoi parler de langages informatiques qui ont le don de
filer de l'urticaire ?
>
> Allez, fini de faire mumuse. Bye.
>
Mumuse ? Ah, bon !
Frederic Bezies
[Arnold ASM, C & C++]
>
> Bon dites, c'est quoi cette discussion?
>
D'après toi ?
> Et puis de toute façon le plus beau, le plus fort, le plus intelligent
> et le plus modeste c'est moi. Continuez à vous battre pour la seconde
> place sur le podium. ;-)
Je te laisse le podium. J'ai horreur des podiums par ailleurs.
Roland Garcia
>>cela n'est qu'une conséquence de l'existence même de ces failles et de
>>leur quantité. C'est ça la racine du problème, et pas le nombre
>>d'utilisateurs.
>
>
> Et bien, il est clair les articles que j'ai cités n'abondent pas dans votre
> sens. Le "on" est donc abusif ;-)
Non car nous sommes au moins deux.
Des articles je peux vous en citer d'autres:
"Une attention particulière doit être portée à certains logiciels de
Microsoft comme Outlook, Outlook Express ou Internet Explorer. Ce sont
ceux qui présentent le plus de failles et sont les plus susceptibles de
par leur grande diffusion de subir des attaques virales"
http://www.cnrs.fr/Infosecu/Revue.html N°38
En fait la grande diffusion explique les attaques virales par la
catégorie des utilisateurs concernés. Microsoft dans sa grande
connaissance du marché a même fait un XP grand public avec lequel la
plupart des utilisateurs restent avec des droits d'administrateur, les
mêmes sur Linux resteront en root et cliqueront également sur tout ce
qui bouge.
Ceci dit IE cumule en plus le fait d'avoir et de loin le plus de
failles, ajoutez au reste et vous comprendrez les épidémies Klez et
Bugbear.
Roland Garcia
Pleurote du Panicaut
Noshi <No...@lacave.net> nous écrivit :
> IE gère très mal les CSS...
> Les "concurrents" ont au moins l'avantage d'etre presque CSS compliant.
> Avec la palme pour Opéra.
Tu peux préciser les versions des logiciels, STP ?
<COPY>
if ((window.opera) && (parseInt(navigator.appVersion)<6))
{
if (navigator.userAgent.indexOf("Opera") != "0") alert("Déjà que OPERA est
une catastrophe pour les développeurs, si en plus vous le faites passer pour
ce qu'il n'est pas, vous ne risquez pas de bénéficier de menus dynamiques ou
de présentations toutes en CSS ! \n\n 'Fichier' => 'Préférences' => 'Réseau'
\(ou 'Connexions'\) => 'Identification du navigateur' => et mettez 'OPERA'
!!! \n\n GGGRRRRRR !")
</COPY>
En clair, jusqu'à la V6, Opera était une cata pour les développeurs ! Bien
pire qu'IE !!!
@+
--
Jean-Paul Boussac, HTLM-Kit en français, tutorial et description détaillée :
http://boussac.online.fr/Windows/HTML-Kit.html