<url:http://www.transfert.net/a8998>
--
joke0
IE est plus qu'un navigateur : c'est un gouffre de sécurité ambulant... :'(
--
Frédéric Béziès - frederi...@free.fr
Frederic Bezies:
>> <url:http://www.transfert.net/a8998>
> IE est plus qu'un navigateur : c'est un gouffre de sécurité
> ambulant... :'(
Fais pas semblant de verser une petite larme, je sais bien que tu n'es
pas triste! ;)
Tiens, j'aurais dû poster sur fci.www.navigateurs (et zou c'est
parti!)
--
joke0
Bien au contraire. Je me souviens d'avoir apprécier IE 5.0béta2 lors de
sa disponibilité.
> Tiens, j'aurais dû poster sur fci.www.navigateurs (et zou c'est
> parti!)
Où je t'ai répondu.
c'est pas un peu fini... de troller !!!
c'est pas tellement IE qui est cause mais winXP (et ceux à venir)
et c'était annoncé depuis pas mal de temps (dotnet, passeport-kro$oft,
palladium)
le Dieu Billou veut tout contrôler (surtout savoir si t'as bien payé toutes
les licences)... mais c'est hors sujet ici
@tchao
>
> c'est pas tellement IE qui est cause mais winXP (et ceux à venir)
Bonjour,
..... euh c'est pas la même chose ? :)
--
L'erreur est de croire qu'on est seul !
Merci d'enlever nospam. pour répondre
Hello,
Enfantin à prévenir mais pas sur base des info de M$.
System Safety Monitor, par exemple ou autres solutions.
Il faut avoir que la plupart des failles non patchées de M$ le sont
facilement par des dev privés, bien souvent des lunes avant
que M$ s'en charge.
Sur les 18 failles répertoriées sur http://www.pivx.com/larholm/unpatched/
15 sont facilement contournables soit à l'aide d'un patch d'un dev
indépendant, soit dans la BdR.
Celle signalée par 'O. Grégoire fait partie du lot.
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websec.arcady.fr/
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer - Cliquez sur le lien pour répondre
http://www.cerbermail.com/?69YaMlVdJS
@+ JacK
".....et, d'autre part, les failles de sécurité des applications
courantes comme Internet Explorer (IE), Outlook et Outlook Express, la
combinaison des deux se révélant souvent catastrophique".
http://www.transfert.net/a8997
Deux très bonnes communications de "comploteurs mondiaux" de
f.c.securite :-)
Roland Garcia
djehuti:
>> <url:http://www.transfert.net/a8998>
> c'est pas un peu fini... de troller !!!
C'est l'été mon bon djehuti, tous les coups sont permis ;-)
> le Dieu Billou veut tout contrôler (surtout savoir si t'as bien
> payé toutes les licences)... mais c'est hors sujet ici
Sauf en cette belle saison...
--
joke0
Ben quoi? Des failles il y en a partout. :-)
http://fr.news.yahoo.com/030622/202/39ufo.html
Pour revenir sur l'article, la désinstallation d'IE rendrait le système
plus instable. Ça fait des années que je désinstalle IE tout de suite
après avoir installé Windows et à part une vitesse accrue et une
satisfaction énorme ça ne change rien. Faudrait peut-être que l'auteur
de l'article tente le coup au lieu de reprendre le discours alarmant de
Microsoft. :-)
Il est vrai que des logiciels à la noix comme Norton qui dépendent d'IE
auront des problèmes, mais dans ce cas on utilise des alternatives bien
programmées au lieu de ces cochonneries et le problème est réglé.
> Il est vrai que des logiciels à la noix comme Norton qui dépendent
> d'IE auront des problèmes, mais dans ce cas on utilise des
> alternatives bien programmées au lieu de ces cochonneries et le
> problème est réglé.
mais la tendance (objectif ?) va dans l'autre sens, non ?
c'est plus pratique pour les clicouilleurs (?)
@tchao
Pratique ou pas, ce n'est pas ça l'important. On peut très bien
concevoir une interface claire et lucide sans effets graphiques
et images - surtout dans le cas d'un antivirus car on ne s'en
sert pas 8 heures par jour mais seulement pendant quelques minutes!
Il y a quelques années quelqu'un posait dans un forum de programmation
la question suivante: comment puis-je artificiellement faire faire du
bruit au disque dur lors du chargement pour que mon programme paraisse
plus important? Son programme se lançait trop rapidement et ça le
dérangeait. Faut croire que ce sont des gens comme ça qui développent
ensuite les interfaces chez Symantec et compagnie.
Puis il y a les frimeurs qui ne savent pas programmer pour un sou alors
ils sont bien obligés de faire une interface du tonnerre pour
impressionner leurs utilisateurs.
> Pratique ou pas, ce n'est pas ça l'important. On peut très bien
> concevoir une interface claire et lucide sans effets graphiques
> et images - surtout dans le cas d'un antivirus car on ne s'en
> sert pas 8 heures par jour mais seulement pendant quelques minutes!
Sauf pour ceux qui ont le scan en temps réel et qui passent des heures sur
kazaa et cie...
> Il y a quelques années quelqu'un posait dans un forum de programmation
> la question suivante: comment puis-je artificiellement faire faire du
> bruit au disque dur lors du chargement pour que mon programme paraisse
> plus important? Son programme se lançait trop rapidement et ça le
> dérangeait. Faut croire que ce sont des gens comme ça qui développent
> ensuite les interfaces chez Symantec et compagnie.
Ha mon pauvre ami ! C'est les clients qui sont souvent la cause de ces
problèmes ! Moi, une fois, on m'a sorti "ton programme va plus vite que
celui de xxx; ce n'est pas normal". Et zou, pas embauché. Faut pas toujours
accuser les programmeurs...
> Puis il y a les frimeurs qui ne savent pas programmer pour un sou
> alors ils sont bien obligés de faire une interface du tonnerre pour
> impressionner leurs utilisateurs.
Eh oui. Le decorum. Mais je vais te décevoir, ça marche. Dis à un chef de
projet "laisse-moi une semaine pour améliorer le flux i/o avec un zeste
d'optimisation asm" il te répondra "pas question. le client faut aussi qu'il
paye des maj et de la maintenance pour être satisfait, avoir l'impression
d'en avoir pour son argent. Fais plutôt une belle interface complexe pour
que ça ait l'air hyper balèze. Au fait, t'as ça à faire. Ha oui, faut que ça
soit près pour avant-hier.". C'est du vécu, hein...
--
AMcD
http://arnold.mcdonald.free.fr/
(still in fossilization progress but now in english, thus the whole
world can see my laziness)
Bonjour,
C'est tout à fait vrai Frederic, je fais de même, jamais un plantage,
c'est quand même beau le surf sans IE, de plus, gains de place sur le
HDD :-)
@+
Bat
Bonjour,
Il y aura toujours les presses boutons et les partisans du moindre effort.
C'est eux qui demandent de l'aide à 99% sur le ng.
@+
Bat
Frederic Bonroy:
> Pour revenir sur l'article, la désinstallation d'IE rendrait le
> système plus instable.
J'ai désinstallé IE il y a qq mois avec ieradicator alors que le
système devenait instable, et depuis tout roule :)
--
joke0
Bonsoir,
Attention tout de même : lorsqu'on est sous XP, les Windows Update
automatique se font par IE (voir un post de fin de semaine)
Au fait, où est passé le troll pro IE/OE ? :-)
Roland Garcia
Roland Garcia:
> Au fait, oů est passé le troll pro IE/OE ? :-)
<news:XnF939EEC7...@joke0.net> ;-)
--
joke0
>
> Au fait, où est passé le troll pro IE/OE ? :-)
>
> Roland Garcia
>
Bonsoir,
.... fondu à cause de la canicule :)
Bah pourquoi ?
> c'est pas tellement IE qui est cause mais winXP (et ceux à venir)
Nope, la backdoor exploite les liens OLE (ainsi qu'un peu de Javascript),
qui existent chez Microsoft depuis Win3.1.
Cf. http://packetstormsecurity.nl/papers/general/hackingguide3.1.pdf
Section Trojans (p. 78), à partir de la page 80 pour ce point précis.
JAB repose complètement là-dessus, comme Nicob pourra le confirmer quand
il passera lire le thread. D'ailleurs, si je ne m'abuse, JAB a été
développée et testée sous Win2k (Nicob, tu confirmes ?).
> et c'était annoncé depuis pas mal de temps (dotnet, passeport-kro$oft,
> palladium)
Manifestement pas besoin de tout ça ;)
--
BOFH excuse #116:
the real ttys became pseudo ttys and vice-versa.
>
> Nope, la backdoor exploite les liens OLE (ainsi qu'un peu de Javascript),
> qui existent chez Microsoft depuis Win3.1.
>
> Cf. http://packetstormsecurity.nl/papers/general/hackingguide3.1.pdf
>
> Section Trojans (p. 78), à partir de la page 80 pour ce point précis.
Je vois qu'au SSTIC vous avez chargé Microsoft :-)
http://www.transfert.net/a8977
>
> JAB repose complètement là-dessus, comme Nicob pourra le confirmer quand
> il passera lire le thread. D'ailleurs, si je ne m'abuse, JAB a été
> développée et testée sous Win2k (Nicob, tu confirmes ?).
Le fameux Nicob qui critique l'article 323-3-1 mais qui va faire des
présentations de trojans devant les services du premier ministre ? :-)
Plus sérieusement on peut noter des progrès dans les mentalités, le
discours 100% protection et le catastrophisme sont maintenant mal
perçus, et l'accent est mis sur la qualité des logiciels ainsi que leur
mise en oeuvre correcte.
Roland Garcia
Ben apparemment, vous n'avez pas besoin de lui pour troller tout seul....
Vous le faites très bien sans aide. :-))
--
F.
[Xpost+FU2]
joke0:
> «Une fonctionnalité d'Internet Explorer transformée en porte
> dérobée» <url:http://www.transfert.net/a8998>
Pour continuer la série:
<http://www.reseaux-telecoms.com/alerte_btree/03_06_20_134617_928/Alerte_view>
ou http://minilien.com/?ZejA3Da7cd
Fu2 <news:fr.comp.infosystemes.www.navigateurs>
--
joke0
> Sur les 18 failles répertoriées sur
> http://www.pivx.com/larholm/unpatched/ 15 sont facilement contournables
> soit à l'aide d'un patch d'un dev indépendant, soit dans la BdR. Celle
> signalée par 'O. Grégoire fait partie du lot.
Hum ...
Tout d'abord, c'est N. Gregoire (pour "Nicolas") et non pas O. Gregoire,
mais en plus, je ne vois pas de quelle faille d'IE est-il question dans
ton post.
JAB ne s'appuie PAS sur une faille d'IE, mais bel et bien sur une
fonctionnalité, qui est la possibilité de créer via OLE des objets IE
invisibles, et de contrôler ces objets via un programme (ici en Perl).
Nicob
> Le fameux Nicob qui critique l'article 323-3-1 mais qui va faire des
> présentations de trojans devant les services du premier ministre ? :-)
Celui-là même ...
Ce n'est pas parceque je trouve stupide (et dangereux) de faire une loi
punissant la fourniture de moyens d'intrusions informatiques que je refuse
de parler aux services du permier ministre :)
En tout état de cause, si la loi est votée, ce sera la fin de la mise à
disposition gratuite et libre d'outils offensifs. Et ça, ça me fait un
peu peur ...
Nicob
> Nope, la backdoor exploite les liens OLE (ainsi qu'un peu de
> Javascript), qui existent chez Microsoft depuis Win3.1.
Bien, je vois qu'il y avait au moins une personne pour suivre ma
présentation :)
> JAB repose complètement là-dessus, comme Nicob pourra le confirmer quand
> il passera lire le thread. D'ailleurs, si je ne m'abuse, JAB a été
> développée et testée sous Win2k (Nicob, tu confirmes ?).
Exactement.
Ayant lu ce thread hier soir, j'ai testé sous Win98, ça marche tout aussi
bien que sous Win2K SP3.
Je répète : AUCUN PATCH NE SERA DISPONIBLE, VU QUE CE N'EST PAS UNE
EXPLOITATION DE FAILLE DE NAVIGATEUR !
Nicob
PS : un snapshot de ma version de dev sera bientôt disponible ...
>> Nope, la backdoor exploite les liens OLE (ainsi qu'un peu de
>> Javascript), qui existent chez Microsoft depuis Win3.1.
>
> Bien, je vois qu'il y avait au moins une personne pour suivre ma
> présentation :)
Il a ptetre lu un résumé :-)
>> JAB repose complètement là-dessus, comme Nicob pourra le confirmer quand
>> il passera lire le thread. D'ailleurs, si je ne m'abuse, JAB a été
>> développée et testée sous Win2k (Nicob, tu confirmes ?).
>
> Exactement.
> Ayant lu ce thread hier soir, j'ai testé sous Win98, ça marche tout aussi
> bien que sous Win2K SP3.
>
> Je répète : AUCUN PATCH NE SERA DISPONIBLE, VU QUE CE N'EST PAS UNE
> EXPLOITATION DE FAILLE DE NAVIGATEUR !
Y'a une possibilité de désactiver ce comportement a la dure ?
> Nicob
> PS : un snapshot de ma version de dev sera bientôt disponible ...
--
Noshi
J'ai lu les actes du SSTIC. Je dormais pendant sa conf* ;))))
* J'déconnnnnnnnnnnnnnnnnnnnnnne !
--
RÈGLES POUR LA CRÉATION DE NOUVEAUX GROUPES DANS LA HIÉRARCHIE "FR"
Chacun fera comme bon lui semble. C'est tellement plus facile comme cela.
-+- CW in: Guide du Cabaliste Usenet - Du bon usage de n'importe quoi -+-
Et pourquoi discutez vous ?
Parce que vous êtes confrontés aux mêmes problèmes et devez utiliser les
mêmes solutions, en SSI les porte-avions ne servent à rien.
>
> En tout état de cause, si la loi est votée, ce sera la fin de la mise à
> disposition gratuite et libre d'outils offensifs. Et ça, ça me fait un
> peu peur ...
Vous utiliserez tous les deux les mêmes outils.
Roland Garcia
>> Il a ptetre lu un résumé :-)
>
> J'ai lu les actes du SSTIC. Je dormais pendant sa conf* ;))))
Ahh !! J'en etais sur ..
> * J'déconnnnnnnnnnnnnnnnnnnnnnne !
Ah non ... rahzut ;)
--
Noshi
faudra un jour que j'aille a une vraie conférence sur la sécurité moi...
>> Je répète : AUCUN PATCH NE SERA DISPONIBLE, VU QUE CE N'EST PAS UNE
>> EXPLOITATION DE FAILLE DE NAVIGATEUR !
>
> Y'a une possibilité de désactiver ce comportement a la dure ?
Probablement ...
On peut déjà interdire à IE d'accéder au Net (via un firewall personnel),
mais de là à interdire la communication basée sur les objets OLE,je doute
fort que ce soit simple.
De toute façon, ce soft est fait pour marcher sur un réseau d'entreprise
"standard", c'est-à-dire où au pire (pour l'attaquant) on a un pare-feu, un
proxy, et un AV. Je pense que les gens vraiment paranos n'ont pas d'accès
Internet, et donc la question de désactivation d'IE ne se pose pas dans
ces cas là.
Nicob
En résumé le fil de discussion était "IE à jeter définitivement à la
poubelle?", il y a eu une bonne argumentation technique y compris la
démonstration qu'un trojan pouvait utiliser IE toutes failles corrigées.
La réponse devrait être OUI, si on ne peut pas garantir un logiciel sans
faille on peut toujours faire un logiciel de conception saine.
Roland Garcia
> En résumé le fil de discussion était "IE à jeter définitivement à la
> poubelle?", il y a eu une bonne argumentation technique y compris la
> démonstration qu'un trojan pouvait utiliser IE toutes failles
> corrigées.
Là tu nous fais une crise de mauvaise foi. Quelle argumentation technique
??? Menée par des antikro de première ? MDR ! Quelle démonstration de trojan
? Si tu veux, je t'en écris 50 qui passeront inaperçu chez Opera, Mozilla et
cie... Allons, redevenons sérieux !
> La réponse devrait être OUI, si on ne peut pas garantir un logiciel
> sans faille on peut toujours faire un logiciel de conception saine.
Non. La réponse est que IE est un excellent navigateur. Malheureusement, de
conception lourde et possédant de failles pas toujours corrigées en temps et
en heure. Toutefois, au moins des efforts sont faits... Mais les autres n'en
sont pas exempts non plus de bogues et de failles ! Chacun utilise celui que
bon lui semble, mais il ne faut pas raconter d'âneries non plus. Moi, j'ai
vite laissé tomber la concurrence qui ne respecte pas souvent le standards
(c'est sûr, ça permet d'afficher plus vite...) et je n'ai jamais eu de
problème avec IE. Jamais. Ni virus, ni cheval de Troie où je ne sais quoi
d'autre ! Certes, quelques pages refusent de s'afficher parfois. Cela arrive
également avec Mozilla (que j'utilise pour tester mes sites) aussi hein!
Franchement à part pour les popups, pourquoi passerai-je à autre chose (t'as
déjà écrit des sites CSS pour NN, Opera et consort , bon courage...) ??? Vie
IE !
Non mais...
> Quelle démonstration de trojan ?
> Si tu veux, je t'en écris 50 qui passeront inaperçu
> chez Opera, Mozilla et cie...
Sérieusement ?
JFB
--
Au boulot j'ai un matos pas stable qui reboote tout seul NT ;)
(au moins, je n'ai plus besoin de le faire à la main)
--- lu sur le forum fr.comp.os.linux.debats ---
Effectivement, c'est nettement plus technique et démonstratif comme
argumentaire.
> Allons, redevenons sérieux !
Oui. Just do it.
--
TH : Personnellement, je pencherais pour << en charte >> :)
NR : "Ta mère en charte sur fmbl" ?
-+- NR in Guide du Fmblien Assassin : Zarma !
Cela vaut amplement certains commentaires lus ci-dessus, vachement
"techniques"...
Quelle démonstration technique veux-tu ? Encore un "je ne crois que si je
vois !", c'est ça ? Pour avoir lu certains de tes écrits je te pensais plus
objectif ! Tu as le droit d'être un accro de Linux comme moi de Windows. Je
déteste les antikro-primaires et je ne vois pas pour quelle raison il
faudrait jeter IE, c'est tout. Pour cette fois, je ne suis pas d'accord avec
roland.
>> Allons, redevenons sérieux !
> Oui. Just do it.
Je le suis...
> En résumé le fil de discussion était "IE à jeter définitivement à la
> poubelle?", il y a eu une bonne argumentation technique
Ah ? ;-)
> y compris la
> démonstration qu'un trojan pouvait utiliser IE toutes failles corrigées.
>
> La réponse devrait être OUI, si on ne peut pas garantir un logiciel sans
> faille on peut toujours faire un logiciel de conception saine.
Quelqu'un d'autre a répondu et je partage en grande partie ses arguments.
Bien entendu, vous pouvez toujours le traiter de trolleur et/ou le plonker.
Ca n'enlèvera rien à la logique de la réponse.
Je n'ai personnellement jamais dit que IE était exempt de reproches, loin de
là. Je dis seulement qu'il a aussi pas mal de qualités et de fonctionnalités
que les autres n'ont pas, d'une part, et d'autre part que la plupart des
utilisateurs n'en changeront pas, quoi que vous leur conseilliez. Il faut
donc vivre avec.
__
F.
Les commentaires (les miens en tout cas) ci-dessus se rapportent à une
présentation technique. Malheureusement, les actes du SSTIC ainsi que les
présentations ne sont pas encore disponibles, ce qui rend effectivement
l'accès à ces données un peu difficile pour ceux qui n'ont pas assisté
à la conférence en question.
> Quelle démonstration technique veux-tu ? Encore un "je ne crois que si
> je vois !", c'est ça ? Pour avoir lu certains de tes écrits je te
> pensais plus objectif !
Mon point d'objectivité se base sur le fait que j'ai vu la conférence,
et lu le papier qui va avec. À ce titre, je pense même pouvoir dire que
je suis plus objectif que toi, au moins sur la valeur technique des
arguments avancés. En outre, dans la mesure où on a travaillé à Cartel
sur un projet similaire, mais étendu à tous les navigateurs. La
conclusion de ce travail reste certainement que les choses sont
_nettement_ plus simples et accessibles avec IE.
> Tu as le droit d'être un accro de Linux comme moi de Windows. Je
> déteste les antikro-primaires et je ne vois pas pour quelle raison il
> faudrait jeter IE, c'est tout. Pour cette fois, je ne suis pas d'accord
> avec roland.
Et ? Ça ne t'autorise pas à cracher sur le travail de Nicob. J'ai le
droit d'apprécier Linux, j'ai le droit de ne pas aimer Windows, mais je
ne crois pas que les gens qui ont _argumenté_ ici, à opposer
effectivement à pas mal de bruit, aient sombré dans l'anti-MS primaire,
ni d'ailleurs, dans le pro-MS primaire comme tu viens de le faire.
Alors oui, tu as des arguments techniques, on peut discuter.
Malheureusement, pour le moment, je n'en ai pas vu.
> Je le suis...
Si tu es capable de faire la même chose avec d'autres navigateurs, et là
je veux bien te croire puisqu'on l'a presque fait, effectivement, je
demande à voir, parce que le niveau de souplesse demandé est assez
difficile à atteindre, en particulier en terme de récupération de
configuration pour les accès authentifiés au réseau, que IE permet en
toute transparence pour l'application, pour peu qu'une instance soit déjà
lancée (ce qui se détecte facilement).
--
This is a multi-part message in MIME format.
... Content-Transfer-Encoding: quoted-printable ...
J EN AI MARRE DES C... QUI NE RESPECTENT PAS LES CHARTES
-+- R in: Guide du neuneu Usenet - bien respecter sa netiquette -+-
IE est un logiciel vieillissant, supportant mal les minimum acceptables
aujourd'hui en matière technique.
>
>>>Allons, redevenons sérieux !
>
>>Oui. Just do it.
>
> Je le suis...
>
Mouuuuuuuuaaaaaahhhhhhhh !
--
Frédéric Béziès - frederi...@free.fr
Hello,
Si tu veux, je t'envoie un petit programme (just a proof of concept) qui
permet d'injecter du code directement dans un programme (pas une dll
injection) : tu choisis n'importe quel browser et tu renseignes son PID et
il phone home.
Le trojan GOD2 se fout royalement aussi du browser que tu utilises je crois
pour injecter son code dans le process et faire gentiment son boulot : il
envoie un mail en utilisant le browser.
JacK
> Si tu veux, je t'en écris 50 qui passeront inaperçu chez Opera, Mozilla et
> cie.
Chiche...
Je te parie une torride nuit dans mes bras que tu n'y arrives pas....
Melmoth - zobcédé
Non... je sais bien que les gens du marketing imposent des contraintes
aux programmeurs. Notamment justement la contrainte du temps. Et puis,
évidemment, les clients préfèrent tout ce qui brillent et fait du bruit.
Cependant ce n'est pas le cas de tous; il y a aussi ceux qui n'en ont
rien à faire des gadgets et qui veulent un programme qui fonctionne
correctement.
J'ai toujours dit que les utilisateurs se fichent éperdument de
la qualité des logiciels de nos jours. Si quelque chose ne va pas,
bon ben tant pis. On évoque souvent l'analogie de l'automobile,
j'estime que c'est une analogie tout à fait valable.
Sinon, ce matin j'ai eu l'occasion de regarder brièvement l'interface
de la version "corporate" de Symantec/Norton antivirus dans sa version
2000 (7.?). Je ne sais pas si elle est encore en vente (en tout cas
les fichiers de définitions dataient du 18 juin).
Cette interface n'était pas trop mal. Elle était bien loin des
interfaces à la noix comme celles de NAV 2002 ou 2003, qui, horreur,
se sont inféodées à IE.
Je suppose que dans les environnements professionnels on accorde plus
d'attention au moteur alors que les particuliers veulent surtout être
aveuglés par des effets graphiques.
A quand les animations DirectX en cas de détection de virus?
C'est quoi ce dialogue de sourds ? Tu m'as très bien compris ! Dans cet
interminable thread il ya eu des interventions stupides de la part de gens
primairement anti-kro. Je ne parlais pas de tes commentaires, je voulais
signifier que Roland aurait pu prendre plus de gants : toutes les
interventions n'avaient pas le même niveau.
>> Quelle démonstration technique veux-tu ? Encore un "je ne crois que
>> si je vois !", c'est ça ? Pour avoir lu certains de tes écrits je te
>> pensais plus objectif !
>
> Mon point d'objectivité se base sur le fait que j'ai vu la conférence,
> et lu le papier qui va avec. À ce titre, je pense même pouvoir dire
> que je suis plus objectif que toi, au moins sur la valeur technique
> des arguments avancés. En outre, dans la mesure où on a travaillé à
> Cartel sur un projet similaire, mais étendu à tous les navigateurs. La
> conclusion de ce travail reste certainement que les choses sont
> _nettement_ plus simples et accessibles avec IE.
Je ne sais pas de quelle conférence tu parles et je ne connais pas les
activités de Cartel Sécurité. Oui, sans doute est-il plus simple d'attaquer
IE que d'autres navigateurs. Mais ont peu également attaquer les autres.
>> Tu as le droit d'être un accro de Linux comme moi de Windows. Je
>> déteste les antikro-primaires et je ne vois pas pour quelle raison il
>> faudrait jeter IE, c'est tout. Pour cette fois, je ne suis pas
>> d'accord avec roland.
>
> Et ? Ça ne t'autorise pas à cracher sur le travail de Nicob. J'ai le
> droit d'apprécier Linux, j'ai le droit de ne pas aimer Windows, mais
> je ne crois pas que les gens qui ont _argumenté_ ici, à opposer
> effectivement à pas mal de bruit, aient sombré dans l'anti-MS
> primaire, ni d'ailleurs, dans le pro-MS primaire comme tu viens de le
> faire.
???? Heu c'est quoi ce délire ? Où je crache sur le travail de nicob ???? Je
ne l'ai même pas cité ! Je répète que je voulais signifier à Roland qu'il
aurait du être plus précis, parce que certaines "démonstrations" du thread
n'étaient rien d'autre que du bruit comme tu dis. oui, je suis un pro
microsoft. primaire ? Accusation gratuite ! J'ai dix ans de plus que toi et
j'en ai testé et trituré des OS, crois-moi ! Du premier Linux à BSD en
passant par NextOS ou Be. J'ai fait mon choix. Pourquoi primaire ?
> Alors oui, tu as des arguments techniques, on peut discuter.
> Malheureusement, pour le moment, je n'en ai pas vu.
Tu sais très bien qu'avec createremotethread() et writeprocessmemory() on
peut quasiment faire faire n'importe quoi à n'importe qui. Au besoin, on
passera par driver...
>> Je le suis...
>
> Si tu es capable de faire la même chose avec d'autres navigateurs, et
> là je veux bien te croire puisqu'on l'a presque fait, effectivement,
> je demande à voir, parce que le niveau de souplesse demandé est assez
> difficile à atteindre, en particulier en terme de récupération de
> configuration pour les accès authentifiés au réseau, que IE permet en
> toute transparence pour l'application, pour peu qu'une instance soit
> déjà lancée (ce qui se détecte facilement).
Je n'ai jamais dit qu'IE n'avait pas de failles, dont certaines
effectivement lamentables. Je ne dis pas non plus qu'attaquer les autres
navigateurs est une promenade de santé. J'intervenais pour dire qu'il faut
raison garder et arrêter de toujours taper sur les mêmes. Je pense que
roland, lui, m'avait compris.
> Mouuuuuuuuaaaaaahhhhhhhh !
C'est vrai qu'avec un logo de Mozilla et de Linux sur la page d'accueil de
ton site, tu peux te poser en chantre de l'objectivité...
> Je n'ai personnellement jamais dit que IE était exempt de reproches, loin de
> là.
IE est quand même pratiquement le seul logiciel dont l'éditeur n'arrive
pas à boucher les trous.
> Je dis seulement qu'il a aussi pas mal de qualités et de fonctionnalités
> que les autres n'ont pas, d'une part,
Microsoft est un spécialiste reconnu des fonctionnalités que les autres
n'ont pas et des trous que les autres n'ont pas, par exemple les
ActiveX:
http://www.k-otik.com/bugtraq/06.23.Symantec.php
> et d'autre part que la plupart des
> utilisateurs n'en changeront pas, quoi que vous leur conseilliez.
Je n'en doute pas une seconde, la plupart des utilisateurs se
contre-fichent également de la sécurité.
> Il faut
> donc vivre avec.
Nous vivons également très bien avec les virus qui vont avec et
apprenons aux autres qu'ils devront faire de même.
Roland Garcia
>
> Je n'ai jamais dit qu'IE n'avait pas de failles, dont certaines
> effectivement lamentables. Je ne dis pas non plus qu'attaquer les autres
> navigateurs est une promenade de santé. J'intervenais pour dire qu'il faut
> raison garder et arrêter de toujours taper sur les mêmes. Je pense que
> roland, lui, m'avait compris.
Tout à fait mais cette histoire d'IE intégré dans l'OS a été le début
des emmerdements avec Microsoft qui avant était sans histoires, ils ont
même eu le gouvernement fédéral et 10 états sur le dos.
Ils se sont plus ou moins arrangés entre eux, soit mais c'est
l'utilisateur qui paye maintenant les pots cassés.
Roland Garcia
Justement oui, largement plus que tu ne pourrais le faire.
Ayant pratiqué IE entre ses versions 3.02 et 5.0 ou 5.5 (j'ai un doute),
je connais le monstre.
Je ne suis que pour les standards, source d'avenir pour l'internet.
IE ne les supporte pas ? Qu'il crève. Il y a des logiciels de
navigations qui les supportent, et dont la part de marché est croissante.
Et il faut être réaliste car IE ne profite de sa position dominante que
grace :
1) A son imbrication croissante dans Windows, au pointe qu'il sera
indissociable du Windows Longhorn
2) A la puissance de feu de MS sur le plan financier
3) Au merdissime NS 4.x
Alors, la merde que tu as sur les yeux, il faudrait que tu l'enlèves.
>>> Si tu veux, je t'en écris 50 qui passeront inaperçu
>>> chez Opera, Mozilla et cie...
>> Sérieusement ?
> Si tu veux, je t'envoie un petit programme (just a proof of concept) qui
> permet d'injecter du code directement dans un programme (pas une dll
> injection) : tu choisis n'importe quel browser et tu renseignes son PID et
> il phone home.
> Le trojan GOD2 se fout royalement aussi du browser que tu utilises je crois
> pour injecter son code dans le process et faire gentiment son boulot : il
> envoie un mail en utilisant le browser.
Lynx sous FreeBSD, ça ira pour la démonstration ?
JFB
--
"Has anyone had problems with the computer accounts?"
"Yes, I don't have one."
"Okay, you can send mail to one of the tutors ..."
-- E. D'Azevedo, Computer Science 372
Il paraît que c'est surtout l'administration Deubelyou qui a tout fait
pour éviter des ennuis à Microsoft. Bush, toujours copain des grandes
entreprises. :-(
DoubleYou - outre le fait que ce soit un "born-again" (donc hypocrite et
intégrise) -, est aussi un fanatique de l'ultra-libéralisme...
Et de la puissance de feu des entreprises américaines.
Il est clair que MS aurait souffert sous une administration démocrate
comme celle d'Al Gore.
Pareil.
> IE ne les supporte pas ? Qu'il crève. Il y a des logiciels de
> navigations qui les supportent, et dont la part de marché est croissante.
Pas mieux.
> Et il faut être réaliste car IE ne profite de sa position dominante que
> grace :
>
> 1) A son imbrication croissante dans Windows, au point[] qu'il sera
> indissociable du Windows Longhorn
>
> 2) A la puissance de feu de MS sur le plan financier
>
> 3) Au merdissime NS 4.x
Exactement.
> Alors, la merde que tu as sur les yeux, il faudrait que tu l'enlèves.
Ça, c'était de trop, et ça ne fait pas avancer le débat. Reste factuel,
cela suffit pour attaquer les défauts d'IE. Passer sur le mode « flame
war » ne peut que risquer de discréditer ton discours, ce qui serait
dommage car tu as raison sur le fond.
Hum :-}
> même eu le gouvernement fédéral et 10 états sur le dos.
19 états. Et il fallait bien étrangler le méchant Netscape qui avait
environ 70% des parts de marchés en 1997, date de sortie d'IE4.
Win98 étant fourni avec IE 4.01. Le dit windows 98 qui devait s'appeller
windows 97 à l'origine, tout comme Windows 2000 qui devait s'appeller
NT5 et sortir en 1998.
>
> Ils se sont plus ou moins arrangés entre eux, soit mais c'est
> l'utilisateur qui paye maintenant les pots cassés.
Mauvais navigateur, changer navigateur !
>
>> même eu le gouvernement fédéral et 10 états sur le dos.
>
>
> 19 états.
C'est comme les trous de IE, on ne compte plus :-)
Roland Garcia
:-D
>
>>IE ne les supporte pas ? Qu'il crève. Il y a des logiciels de
>>navigations qui les supportent, et dont la part de marché est croissante.
>
> Pas mieux.
>
Sans compter ses 18 failles non corrigées, ou encore les fonctionnalités
basiques manquantes de nos jours = onglets, tueur de pop-ups, bloqueur
de pubs, etc...
>
>
>>Et il faut être réaliste car IE ne profite de sa position dominante que
>>grace :
>>
>>1) A son imbrication croissante dans Windows, au point[] qu'il sera
>>indissociable du Windows Longhorn
>>
>>2) A la puissance de feu de MS sur le plan financier
>>
>>3) Au merdissime NS 4.x
>
> Exactement.
>
Merci.
>
>>Alors, la merde que tu as sur les yeux, il faudrait que tu l'enlèves.
>
> Ça, c'était de trop, et ça ne fait pas avancer le débat. Reste factuel,
> cela suffit pour attaquer les défauts d'IE. Passer sur le mode « flame
> war » ne peut que risquer de discréditer ton discours, ce qui serait
> dommage car tu as raison sur le fond.
>
Je ne faisais que répondre en employant le /taux de mauvaise foi et
d'hypocrisie/ de mon interlocuteur.
Exactement. On peut reprocher à Microsoft son comportement, mais si
Netscape s'est fait défoncer c'est en partie dû à la qualité exécrable
de la version 4.
A propos de cassage d'utilisateur, un petit article sur Newsforge
(désolé c'est en anglais !)
http://newsforge.com/newsforge/03/06/16/1552233.shtml
"De vrais amis ne permettent pas à leurs amis d'utiliser Outlook
Express," avec argumentation à l'appui.
Je sens arrivé la sempiternelle attaque de Jceel, tiens.
Il suffit d'aller sur un site qui les comptabilise, comme
http://www.pivx.com/larholm/unpatched/
"24 June 2003: There are currently 19 unpatched vulnerabilities."
La dernière en date :
"24 June 2003: Added align buffer overflow by Digital Scream"
http://msgs.securepoint.com/cgi-bin/get/bugtraq0306/170.html
Avec code à l'appui pour vérifier cette faille de dépassement de tampon
qui permet de faire n'importe quoi ou presque sur le disque de
l'utilisateur.
Pauvre Internet Explorer... Si c'est pas malheureux d'être plus troué
qu'une tranche de gruyère :-\
Eh bien il a eu tort. Et toi aussi. S'il continue il aura encore plus
tort. Et toi aussi. On arrête ici la course aux armements ?
NS 4.x a été la version horrible... NS 6.0 ? No comment !
Hello,
Je te parle de browsers alternatifs sous Windows.
JacK
C'est aussi le plus répandu, donc le plus visé.
> > Je dis seulement qu'il a aussi pas mal de qualités et de fonctionnalités
> > que les autres n'ont pas, d'une part,
>
> Microsoft est un spécialiste reconnu des fonctionnalités que les autres
> n'ont pas et des trous que les autres n'ont pas, par exemple les
> ActiveX:
> http://www.k-otik.com/bugtraq/06.23.Symantec.php
Ben oui, l'un va avec l'autre. Qui ne fait rien ne risque rien, ici comme
ailleurs.....
Moins le navigateur en fait, moins il risque les failles et les attaques.
> > et d'autre part que la plupart des
> > utilisateurs n'en changeront pas, quoi que vous leur conseilliez.
>
> Je n'en doute pas une seconde, la plupart des utilisateurs se
> contre-fichent également de la sécurité.
Oui, mais pas toujours : il y a des utilisateurs qui mettent à jour leur
soft mais ne veulent pas changer de soft.
__
F.
J'avoue que j'ai eu envie de le remettre à sa place ainsi. J'ai eu tort
et je l'admets.
Mais tu sais, j'ai un problème : il faut que je réponde avec le même
niveau que l'interlocuteur utilise :-\
--
Frédéric Béziès - frederi...@free.fr
Informatique loufoque : http://www.infoloufoque.com/
Terragen : http://frederic.bezies.free.fr/
Site Perso : http://www.chez.com/fbezies/
Weblog : http://frederic.bezies.free.fr/weblog/
Le fait d'être le plus visé n'aurait aucune importance s'il n'y avait
pas de failles...
> Ben oui, l'un va avec l'autre. Qui ne fait rien ne risque rien, ici comme
> ailleurs.....
> Moins le navigateur en fait, moins il risque les failles et les attaques.
Tout à fait, mais avons-nous réellement besoin de ActiveX et compagnie?
Ah ? Je ne me souviens pas qu'à l'époque de NS majoritaire, il y avait
autant d'attaque.
>
>>>Je dis seulement qu'il a aussi pas mal de qualités et de fonctionnalités
>>>que les autres n'ont pas, d'une part,
>>
>>Microsoft est un spécialiste reconnu des fonctionnalités que les autres
>>n'ont pas et des trous que les autres n'ont pas, par exemple les
>>ActiveX:
>>http://www.k-otik.com/bugtraq/06.23.Symantec.php
>
> Ben oui, l'un va avec l'autre. Qui ne fait rien ne risque rien, ici comme
> ailleurs.....
;-P
> Moins le navigateur en fait, moins il risque les failles et les attaques.
>
Si on veut... Mais Mozilla/NS et Opera en font autant (et parfois plus)
que IE !
>
>>>et d'autre part que la plupart des
>>>utilisateurs n'en changeront pas, quoi que vous leur conseilliez.
>>
>>Je n'en doute pas une seconde, la plupart des utilisateurs se
>>contre-fichent également de la sécurité.
>
> Oui, mais pas toujours : il y a des utilisateurs qui mettent à jour leur
> soft mais ne veulent pas changer de soft.
Tant qu'il bouche les trous, c'est toujours mieux que rien.
S'il ne veulent pas des tueurs de pop-ups ou des avantages de la
navigation par onglets, tant pis pour eux.
--
Frédéric Béziès - frederi...@free.fr
Désolé, je ne dois pas savoir lire...
"Là tu nous fais une crise de mauvaise foi. Quelle argumentation
technique ??? Menée par des antikro de première ? MDR ! Quelle
démonstration de trojan ? Si tu veux, je t'en écris 50 qui passeront
inaperçu chez Opera, Mozilla et cie... Allons, redevenons sérieux !"
J'ai du mal comprendre, je suis trop con.
> Je ne sais pas de quelle conférence tu parles
Tu prends le post de Joke0. Tu as un lien qui en parle.
> ???? Heu c'est quoi ce délire ? Où je crache sur le travail de nicob
> ???? Je ne l'ai même pas cité !
Non, effectivement, tu as juste avancé que sur ce thread, auquel il a
participé, et dans lequel son travail est cité, dès le premier post
d'ailleurs, puisque c'est un article qui décrit son travail qui sert de
point de départ à notre dialogue de sourd, aucun argument technique n'a
été avancé. Juste ça.
> oui, je suis un pro microsoft. primaire ? Accusation gratuite !
C-O-M-P-L-E-T-E-M-E-N-T
> J'ai dix ans de plus que toi et j'en ai testé et trituré des OS,
> crois-moi ! Du premier Linux à BSD en passant par NextOS ou Be. J'ai
> fait mon choix. Pourquoi primaire ?
Primaire parce que ce tu emploies exactement le même type d'arguments que
les gens que tu décries (cf. au dessus : "aucun argument", "discours
primaire", "je te fais la même chose avec tes trucs", etc.). Mais
rassure-toi, je sais que tu n'es pas primaire, il m'arrive de lire tes
interventions. C'était juste de la provoc.
> Tu sais très bien qu'avec createremotethread() et writeprocessmemory()
> on peut quasiment faire faire n'importe quoi à n'importe qui. Au
> besoin, on passera par driver...
Je sais, mais c'est moins souple, et en plus on peut l'interdire, d'une
part en ne développant pas avec des moufles, c'est à dire en produisant
des applications qui posent des restrictions d'accès à ces méthodes, et
d'autre part en limitant les droits des utilisateurs (privilèges de debug
en particulier). Pour ce qui est du driver, ça demande tout de même les
droits superutilisateur, ce qui revient à considérer soit qu'on opère
sur un truc qu'on ose appeler un OS (i.e. Win9x/Me) ou un OS configuré et
utilisé par un novice (typiquement WinXP Family dans sa configuration de
base). Dans le cas d'uns station de travail un tant soit peu travaillée
au sein d'un domaine bien maîtrisé, c'est déjà nettement moins
évident.
Alors, oui, j'ai fait ma tête d'âne en te prenant au premier degré. Que
tu veuilles utiliser IE, grand bien t'en fasse. D'ailleurs, il est vrai
que sous Windows, les autres font pâle figure à côté. Mais ton
discours m'a vraiment dérangé dans la mesure où il frise vraiment avec
le primaire, pour dénoncer les primaires d'en face ;) Non ?
Allez hop, viens enterrer la hache de guerre et prendre une bière, on
pourra en discuter plus sereinement.
--
en effet, j'ai fait une erreu. (...) Desoler
-+- RV in Guide du Neneu Usenet : Tout le trompe peut se monder -+-
Lancé par un utilisateur sans les droits de debug ?
--
> ces deux adresses sont à consulter dans l'ordre inverse
.inconsciemment marquer me dû a ça et ,HP calculette une utilisé
ai j' ,longtemps a y Il
-+- JFB in Guide du Fmblien Assassin : "fr.* ou pl.* ?" -+-
Cet argument ne tient pas, IE est tout simplement mal conçu. On ne
patche pratiquement jamais Win 98.
Roland Garcia
S'il n'y a que ça qui dérange dans IE, suffit de décocher ;)
Ce n'est malheureusement pas le cas.
Personne ne t'oblige à utiliser les fonctionnalités dont tu n'as pas
l'usage.
Bien pratique parfois cependant mais effectifement sujet à goufres de
sécurité.
JacK
Si tu as une bécane sous WinXP (pas prévu pour OS non NT) je te l'envoie et
tu vois par toi-même.
JacK
Ça boume !
--
AMcD
http://arnold.mcdonald.free.fr/
(still in fossilization progress but now in english, thus the whole
world can see my laziness)
Ca s'appelle la notation polonaise inverse, il y a t-il une notation
polonaise "normale" ? :-)
Roland Garcia
> Mais tu sais, j'ai un problème : il faut que je réponde avec le même
> niveau que l'interlocuteur utilise :-\
MDR ! Sérieux, tu te prends pour qui ?
Par pitié, mets-moi dans la liste des intervenants dont tu ne souhaites pas
lire les messages. Ce sera un honneur. Et reviens m'insulter quand t'en
seras à 200-300 K lignes d'ASM (moi aussi je epux faire dans le
désagréable).
Pas pour toi, car je ne suis pas à ce point désespéré.
>
> Par pitié, mets-moi dans la liste des intervenants dont tu ne souhaites pas
> lire les messages. Ce sera un honneur. Et reviens m'insulter quand t'en
Et tu veux me priver de ta mauvaise foi congénitale ?
> seras à 200-300 K lignes d'ASM (moi aussi je epux faire dans le
> désagréable).
Après avoir programmé en ASM Z80, j'ai été vacciné à vie contre l'ASM.
> C'est aussi le plus répandu, donc le plus visé.
Ça tombe bien puisque c'est le plus troué.
Coïncidence troublante ;-)
> Oui, mais pas toujours : il y a des utilisateurs qui mettent à jour leur
> soft mais ne veulent pas changer de soft.
Oui, disons (généreusement) que 3% des utilisateurs mettent à jour leurs
softs (preuve de conscience), et que 5% d'entre-eux n'en changent pas même
s'il y a mieux (preuve d'obscurantisme).
Nous parlons donc ici de 0.15 % (0.03 x 0.05) de la population
informatisée (et autonome devant sa machine, car il faut évidemment
exclure les parcs machines avec administrateur) ?
Wahou ! Ça fait peur.
Allez, revenons sur les 99.85 % restants !
--
o laisser la ligne contenant la mention de la personne à qui on répond,
o ne citer que le strict nécessaire, mais citer quelque chose,
o répondre point par point, en dessous du texte cité,
o répondre sur usenet:<http://www.giromini.org/usenet-fr/repondre.html>.
> Si on veut... Mais Mozilla/NS et Opera en font autant (et parfois plus)
> que IE !
Et parfois mieux.
Car, qu'on ne parle surtout pas (à nouveau) de IE qui respecte les
standards alors que c'est l'un de ceux qui les respectent le moins.
Certes, tout est lisible avec IE, parce que tout développeur de site Web
est _obligé_ de rester compatible avec les "standards" propriétaires de
IE.
Je ne me suis jamais autant arraché les cheveux que depuis que je suis
sous Linux, que je n'utilise plus IE systématiquement pour tester mes
sites, que je code selon les standards et les normes, et que lors d'un
test inopiné avec IE, plus rien ne fonctionne comme il se doit !
> Tant qu'il bouche les trous, c'est toujours mieux que rien.
Si ça pouvait être vrai...
Seulement parfois ?
> Car, qu'on ne parle surtout pas (à nouveau) de IE qui respecte les
> standards alors que c'est l'un de ceux qui les respectent le moins.
Ne pas confondre l'exécrable IE PC avec le meilleur IE Mac.
> Certes, tout est lisible avec IE, parce que tout développeur de site Web
> est _obligé_ de rester compatible avec les "standards" propriétaires de
> IE.
Tiens, encore un sac à vomi à remplir.
>
> Je ne me suis jamais autant arraché les cheveux que depuis que je suis
> sous Linux, que je n'utilise plus IE systématiquement pour tester mes
> sites, que je code selon les standards et les normes, et que lors d'un
> test inopiné avec IE, plus rien ne fonctionne comme il se doit !
>
Logique ; IE ne respecte que les standards non standards ;-}
>
>>Tant qu'il bouche les trous, c'est toujours mieux que rien.
>
> Si ça pouvait être vrai...
>
C'est partiellement vrai.
--
Frédéric Béziès - frederi...@free.fr
Informatique loufoque : http://www.infoloufoque.com/
Tu critiques beaucoup, mais tu ne nous fait pas voir grand-chose ! Excepté
des interventions partiales, je n'ai jamais vu beaucoup mieux dans tes
propos. Voilà pourquoi j'ai répondu ainsi. Critiquer c'est très facile, mais
tu sais faire quoi ?
>> Par pitié, mets-moi dans la liste des intervenants dont tu ne
>> souhaites pas lire les messages. Ce sera un honneur. Et reviens
>> m'insulter quand t'en
>
> Et tu veux me priver de ta mauvaise foi congénitale ?
Je suis parfois de mauvaise foi, mais j'ai au moins le mérite de le
reconnaître.
>> seras à 200-300 K lignes d'ASM (moi aussi je epux faire dans le
>> désagréable).
> Après avoir programmé en ASM Z80, j'ai été vacciné à vie contre l'ASM.
L'ASM du Z80. Ha oui, grande expérience, tu peux largement te foutre de mon
niveau avec ça... Non, franchement, passe au mode protégé du 386, c'est
quand même autre chose. Note que si tu veux vraiment t'amuser, tu as les
SSE2 pour te détendre. Je rectifie alors mes propos, reviens quand t'en sera
à 250K lignes de C (voire de C++, je ne suis pas raciste)...
Allez, fini de faire mumuse. Bye.
Non, on trouve beaucoup de failles parce qu'il est le plus visé. Même si
j'admets qu'il en a de toute façon beaucoup.
> > Ben oui, l'un va avec l'autre. Qui ne fait rien ne risque rien, ici
comme
> > ailleurs.....
> > Moins le navigateur en fait, moins il risque les failles et les
attaques.
>
> Tout à fait, mais avons-nous réellement besoin de ActiveX et compagnie?
Rien ne vous empêche de le désactiver.
__
F
PS : je ne réponds pas à la meute anti-microsoft qui vous suit avec les
mêmes arguments :-)
On vous dit que non.
Les failles de IE ne sont même pas bouchables, chez Mozilla c'est
toujours 0 et 1 pendant quelques jours, jamais 18 trous en même temps.
Roland Garcia
Bon dites, c'est quoi cette discussion?
Et puis de toute façon le plus beau, le plus fort, le plus intelligent
et le plus modeste c'est moi. Continuez à vous battre pour la seconde
place sur le podium. ;-)
Ca, c'est un argument majeur. Vous êtes un pro, vous, au moins :-)))
> Les failles de IE ne sont même pas bouchables, chez Mozilla c'est
> toujours 0 et 1 pendant quelques jours, jamais 18 trous en même temps.
Evidemment. Il y a moins de gens pour les chercher.
__
F.
>>Les failles de IE ne sont même pas bouchables, chez Mozilla c'est
>>toujours 0 et 1 pendant quelques jours, jamais 18 trous en même temps.
>
>
> Evidemment. Il y a moins de gens pour les chercher.
Ca, c'est un argument majeur. Vous êtes un pro, vous, au moins :-)))
Roland Garcia
Non mais attends, qu'est-ce qu'il vient me chercher là ! Moi aussi je peux
jouer au h4ck3r :o).
> Et puis de toute façon le plus beau, le plus fort, le plus intelligent
> et le plus modeste c'est moi. Continuez à vous battre pour la seconde
> place sur le podium. ;-)
Oui, étant donné que moi je suis déjà hors-classe, ils ont été bien cool de
te mettre juste derrière...
> On Mon, 23 Jun 2003 19:09:30 +0200, Noshi wrote:
>
>>> Je répète : AUCUN PATCH NE SERA DISPONIBLE, VU QUE CE N'EST PAS UNE
>>> EXPLOITATION DE FAILLE DE NAVIGATEUR !
>>
>> Y'a une possibilité de désactiver ce comportement a la dure ?
>
> Probablement ...
>
> On peut déjà interdire à IE d'accéder au Net (via un firewall personnel),
> mais de là à interdire la communication basée sur les objets OLE,je doute
> fort que ce soit simple.
Ca c'est fait déjà... :) Enfin sauf pour les ojets OLE
> De toute façon, ce soft est fait pour marcher sur un réseau d'entreprise
> "standard", c'est-à-dire où au pire (pour l'attaquant) on a un pare-feu, un
> proxy, et un AV. Je pense que les gens vraiment paranos n'ont pas d'accès
> Internet, et donc la question de désactivation d'IE ne se pose pas dans
> ces cas là.
Ben la ca m'interesse plutot pour chez moi ... Bien que je ne risque pas
grand chose
> Nicob
--
Noshi
> Roland Garcia wrote:
>
>> En résumé le fil de discussion était "IE à jeter définitivement à la
>> poubelle?", il y a eu une bonne argumentation technique y compris la
>> démonstration qu'un trojan pouvait utiliser IE toutes failles
>> corrigées.
>
> Là tu nous fais une crise de mauvaise foi. Quelle argumentation technique
> ??? Menée par des antikro de première ? MDR ! Quelle démonstration de trojan
> ? Si tu veux, je t'en écris 50 qui passeront inaperçu chez Opera, Mozilla et
> cie... Allons, redevenons sérieux !
Ok... j'attend le trojan qui passera a travers mozilla.
mon adresse mail est valide.
>> La réponse devrait être OUI, si on ne peut pas garantir un logiciel
>> sans faille on peut toujours faire un logiciel de conception saine.
>
> Non. La réponse est que IE est un excellent navigateur. Malheureusement, de
> conception lourde et possédant de failles pas toujours corrigées en temps et
> en heure. Toutefois, au moins des efforts sont faits... Mais les autres n'en
> sont pas exempts non plus de bogues et de failles ! Chacun utilise celui que
> bon lui semble, mais il ne faut pas raconter d'âneries non plus. Moi, j'ai
> vite laissé tomber la concurrence qui ne respecte pas souvent le standards
> (c'est sûr, ça permet d'afficher plus vite...) et je n'ai jamais eu de
> problème avec IE. Jamais. Ni virus, ni cheval de Troie où je ne sais quoi
> d'autre ! Certes, quelques pages refusent de s'afficher parfois. Cela arrive
> également avec Mozilla (que j'utilise pour tester mes sites) aussi hein!
> Franchement à part pour les popups, pourquoi passerai-je à autre chose (t'as
> déjà écrit des sites CSS pour NN, Opera et consort , bon courage...) ??? Vie
> IE !
IE gère très mal les CSS...
Les "concurrents" ont au moins l'avantage d'etre presque CSS compliant.
Avec la palme pour Opéra.
> Non mais...
--
Noshi
>> Quelle démonstration technique veux-tu ? Encore un "je ne crois que si
>> je vois !", c'est ça ? Pour avoir lu certains de tes écrits je te
>> pensais plus objectif !
>
> Mon point d'objectivité se base sur le fait que j'ai vu la conférence,
> et lu le papier qui va avec. À ce titre, je pense même pouvoir dire que
> je suis plus objectif que toi, au moins sur la valeur technique des
> arguments avancés. En outre, dans la mesure où on a travaillé à Cartel
> sur un projet similaire, mais étendu à tous les navigateurs. La
> conclusion de ce travail reste certainement que les choses sont
> _nettement_ plus simples et accessibles avec IE.
Vous avez publié un truc sur votre travail ou ca reste privé a Cartel ?
[...]
>> Je le suis...
>
> Si tu es capable de faire la même chose avec d'autres navigateurs, et là
> je veux bien te croire puisqu'on l'a presque fait, effectivement, je
> demande à voir, parce que le niveau de souplesse demandé est assez
> difficile à atteindre, en particulier en terme de récupération de
> configuration pour les accès authentifiés au réseau, que IE permet en
> toute transparence pour l'application, pour peu qu'une instance soit déjà
> lancée (ce qui se détecte facilement).
Faudrait lui apprendre la signification de : just do it :)
--
Noshi
>>> Quelle démonstration technique veux-tu ? Encore un "je ne crois que
>>> si je vois !", c'est ça ? Pour avoir lu certains de tes écrits je te
>>> pensais plus objectif !
>>
>> Mon point d'objectivité se base sur le fait que j'ai vu la conférence,
>> et lu le papier qui va avec. À ce titre, je pense même pouvoir dire
>> que je suis plus objectif que toi, au moins sur la valeur technique
>> des arguments avancés. En outre, dans la mesure où on a travaillé à
>> Cartel sur un projet similaire, mais étendu à tous les navigateurs. La
>> conclusion de ce travail reste certainement que les choses sont
>> _nettement_ plus simples et accessibles avec IE.
>
> Je ne sais pas de quelle conférence tu parles et je ne connais pas les
> activités de Cartel Sécurité. Oui, sans doute est-il plus simple d'attaquer
> IE que d'autres navigateurs. Mais ont peu également attaquer les autres.
Il parle d'une conférence sur la sécurité informatique. Et Cartel Sécurité
est une boite spécialisée dans la ... euh ? Sécurité informatique.
Et comporte quelques personnes de qualité dont les interventions sont
toujours pointues et respectueuses des OS malgré leurs préférences.
>> Et ? Ça ne t'autorise pas à cracher sur le travail de Nicob. J'ai le
>> droit d'apprécier Linux, j'ai le droit de ne pas aimer Windows, mais
>> je ne crois pas que les gens qui ont _argumenté_ ici, à opposer
>> effectivement à pas mal de bruit, aient sombré dans l'anti-MS
>> primaire, ni d'ailleurs, dans le pro-MS primaire comme tu viens de le
>> faire.
>
> ???? Heu c'est quoi ce délire ? Où je crache sur le travail de nicob ???? Je
> ne l'ai même pas cité ! Je répète que je voulais signifier à Roland qu'il
> aurait du être plus précis, parce que certaines "démonstrations" du thread
> n'étaient rien d'autre que du bruit comme tu dis. oui, je suis un pro
> microsoft. primaire ? Accusation gratuite ! J'ai dix ans de plus que toi et
> j'en ai testé et trituré des OS, crois-moi ! Du premier Linux à BSD en
> passant par NextOS ou Be. J'ai fait mon choix. Pourquoi primaire ?
Relis toi. Tu annonces que tu es capables d'écrire 50 trojans qui profitent
de failles. Et quand on te dit. Fais le. Tu t'ecrases.
>> Alors oui, tu as des arguments techniques, on peut discuter.
>> Malheureusement, pour le moment, je n'en ai pas vu.
>
> Tu sais très bien qu'avec createremotethread() et writeprocessmemory() on
> peut quasiment faire faire n'importe quoi à n'importe qui. Au besoin, on
> passera par driver...
Petit exemple ?
>> Si tu es capable de faire la même chose avec d'autres navigateurs, et
>> là je veux bien te croire puisqu'on l'a presque fait, effectivement,
>> je demande à voir, parce que le niveau de souplesse demandé est assez
>> difficile à atteindre, en particulier en terme de récupération de
>> configuration pour les accès authentifiés au réseau, que IE permet en
>> toute transparence pour l'application, pour peu qu'une instance soit
>> déjà lancée (ce qui se détecte facilement).
>
> Je n'ai jamais dit qu'IE n'avait pas de failles, dont certaines
> effectivement lamentables. Je ne dis pas non plus qu'attaquer les autres
> navigateurs est une promenade de santé. J'intervenais pour dire qu'il faut
> raison garder et arrêter de toujours taper sur les mêmes. Je pense que
> roland, lui, m'avait compris.
Erf.
--
Noshi
> Il parle d'une conférence sur la sécurité informatique. Et Cartel
> Sécurité est une boite spécialisée dans la ... euh ? Sécurité
> informatique.
> Et comporte quelques personnes de qualité dont les interventions sont
> toujours pointues et respectueuses des OS malgré leurs préférences.
Certes. Mais moi je en parlais pas de ça. On s'est compris depuis. C'est
bien car je tiens C. Blancher en haute estime et j'aurai mal compris qu'il
ne soit pas capable de detecter des quiproquos.
> Relis toi. Tu annonces que tu es capables d'écrire 50 trojans qui
> profitent de failles. Et quand on te dit. Fais le. Tu t'ecrases.
MDR. Sache que je ne parle jamais dans le vide. Si je te dis que c'est
faisable c'est que ça l'est. Sur un autre thread je donne même une méthode,
par exemple via createremotethread(). Il y en a d'autres. C'est pénible ce
"je ne crois que si je vois" qui pollue les NG français. D'autant plus qu'il
faut faire attention avec les publications de code malveillant. Certains
imbéciles peuvent s'en servir sans avoir besoin de comprendre...
>> Tu sais très bien qu'avec createremotethread() et
>> writeprocessmemory() on peut quasiment faire faire n'importe quoi à
>> n'importe qui. Au besoin, on passera par driver...
>
> Petit exemple ?
Non. Et quoi que tu puisses en penser, je m'en tape. Je ne te dois rien.
> Erf.
Eh oui, il m'avait compris, lui. Je te rassure, il y a plein d'intervenants
ici qui me comprennent et avec qui je correspond régulièrement. Certes mon
style rentre-dedans fait parfois des éclaboussures, mais bon, on ne peux pas
plaire à tout le monde.
Tout à fait. J'ai des arguments qui sont parfois partagés.....
Quelques exemples :
http://z0rglub.com/piratage/index.php?part=6&sous_part=3 (1er paragraphe).
"Tous les navigateurs (ainsi que les clients de messagerie) possèdent des
failles de sécurité. La plupart du temps c'est Internet Explorer, le
navigateur de Microsoft dont la popularité est très controversée, qui est la
cible d'attaques par exploitation de ses failles. Ce n'est pas seulement
parce qu'Internet Explorer est mal programmé, c'est surtout parce qu'il est
le navigateur le plus utilisé sur la planète et donc l'exploitation d'une
faille d'Internet Explorer aura plus de conséquence que l'exploitation d'une
faille de Mozilla ou Opéra."
http://www.01net.com/article/205758.html
"En effet, Internet Explorer étant le navigateur le plus répandu, il est la
cible privilégiée des attaques en tout genre."
http://terroirs.denfrance.free.fr/p/internet/attaque/internet_explorer.html
"Il faut aussi dire que les observateurs estiment Internet Explorer a 96%
des parts du marché : c'est donc aussi le plus attaqué, hijacké etc. ... "
Je cherche en vain des références d'articles qui utilisent "on vous dit que
non" comme argument....;-))
__
F.
Dans ta BAL un proof of concept inoffensif qui fonctionne uniquement sur
WinXP.
Testé sur Opera (mon browser par défaut). Je n'utilise pas Mozilla.
Pourrais-tu donner le résultat ?
TIA
JacK
> Tout à fait. J'ai des arguments qui sont parfois partagés.....
> Quelques exemples :
>
> http://z0rglub.com/piratage/index.php?part=6&sous_part=3 (1er paragraphe).
> "Tous les navigateurs (ainsi que les clients de messagerie) possèdent des
> failles de sécurité. La plupart du temps c'est Internet Explorer, le
> navigateur de Microsoft dont la popularité est très controversée, qui est la
> cible d'attaques par exploitation de ses failles. Ce n'est pas seulement
> parce qu'Internet Explorer est mal programmé, c'est surtout parce qu'il est
> le navigateur le plus utilisé sur la planète et donc l'exploitation d'une
> faille d'Internet Explorer aura plus de conséquence que l'exploitation d'une
> faille de Mozilla ou Opéra."
Ce n'est pas uniquement une question de conséquences et de gravité,
c'est aussi et surtout une question de *quantité*, cette dernière
étant plus élevée chez IE que chez les autres.
Et si pas un chat n'utilisait IE ces failles seraient là quand-même.
Distinguez bien:
1. l'exploitation de failles
d'une part et
2. l'existence et la quantité des failles
On se fiche éperdument du fait que les failles soient exploitées, car
cela n'est qu'une conséquence de l'existence même de ces failles et de
leur quantité. C'est ça la racine du problème, et pas le nombre
d'utilisateurs.
> http://www.01net.com/article/205758.html
> "En effet, Internet Explorer étant le navigateur le plus répandu, il est la
> cible privilégiée des attaques en tout genre."
>
> http://terroirs.denfrance.free.fr/p/internet/attaque/internet_explorer.html
> "Il faut aussi dire que les observateurs estiment Internet Explorer a 96%
> des parts du marché : c'est donc aussi le plus attaqué, hijacké etc. ... "
>
> Je cherche en vain des références d'articles qui utilisent "on vous dit que
> non" comme argument....;-))
On cherche aussi en vain des tests d'antivirus compétents, alors vous
savez...
> Noshi wrote:
>
>> Il parle d'une conférence sur la sécurité informatique. Et Cartel
>> Sécurité est une boite spécialisée dans la ... euh ? Sécurité
>> informatique.
>> Et comporte quelques personnes de qualité dont les interventions sont
>> toujours pointues et respectueuses des OS malgré leurs préférences.
>
> Certes. Mais moi je en parlais pas de ça. On s'est compris depuis. C'est
> bien car je tiens C. Blancher en haute estime et j'aurai mal compris qu'il
> ne soit pas capable de detecter des quiproquos.
Sous entendu tu a raison et tout le monde a tort ?
>> Relis toi. Tu annonces que tu es capables d'écrire 50 trojans qui
>> profitent de failles. Et quand on te dit. Fais le. Tu t'ecrases.
>
> MDR. Sache que je ne parle jamais dans le vide. Si je te dis que c'est
> faisable c'est que ça l'est. Sur un autre thread je donne même une méthode,
> par exemple via createremotethread(). Il y en a d'autres. C'est pénible ce
> "je ne crois que si je vois" qui pollue les NG français. D'autant plus qu'il
> faut faire attention avec les publications de code malveillant. Certains
> imbéciles peuvent s'en servir sans avoir besoin de comprendre...
Je peux t'en citer plein des "je sais le faire mais je vous montrerais pas
que je sais vous avez qu'a me croire sur parole." Et la plupart des gens
qui disent ca ont 14 ans et chattent sur caramail (parfois irc mais ca fait
longtemps que j'en ai plus croisé...).
En ce qui concerne Cédric et Nicob. Je sais que ce qu'ils disent est
correct parce que j'ai lu leurs interventions. J'ai lu certain articles de
Cédric. Je connais la boite ou il travaille. Clairement ca pose un autre
niveau que tes affirmations gratuites alors je me crois en droit pour me
faire une idée de savoir si ce que tu racontes est correct ou si c'est du
pipo destiné a epater la gallerie et faire se taire les anti microsoft.
>> Petit exemple ?
>
> Non. Et quoi que tu puisses en penser, je m'en tape. Je ne te dois rien.
je n'ai pas dit que tu me devais quelque chose. J'ai dit que ton
argumentation manquait d'exemple.
>> Erf.
>
> Eh oui, il m'avait compris, lui. Je te rassure, il y a plein d'intervenants
> ici qui me comprennent et avec qui je correspond régulièrement. Certes mon
> style rentre-dedans fait parfois des éclaboussures, mais bon, on ne peux pas
> plaire à tout le monde.
Je n'ai pas dit que je n'avais pas compris. J'ai montré mon amusement.
--
Noshi
> Et puis de toute façon le plus beau, le plus fort, le plus intelligent
> et le plus modeste c'est moi.
Ts ts ts ts.....
C'est MELMOTH....
Melmoth - sexuellemenransmissible
>> Ok... j'attend le trojan qui passera a travers mozilla.
>>
>> mon adresse mail est valide.
> Hello,
>
> Dans ta BAL un proof of concept inoffensif qui fonctionne uniquement sur
> WinXP.
> Testé sur Opera (mon browser par défaut). Je n'utilise pas Mozilla.
>
> Pourrais-tu donner le résultat ?
> TIA
Je n'utilise pas XP...
Et je resterais avec mon bon vieux W2k le plus longtemps possible.
> JacK
--
Noshi
Et bien, il est clair les articles que j'ai cités n'abondent pas dans votre
sens. Le "on" est donc abusif ;-)
__
F.
Cherches et tu trouveras.
> des interventions partiales, je n'ai jamais vu beaucoup mieux dans tes
Je ne fais que te cloner sur ce point.
> propos. Voilà pourquoi j'ai répondu ainsi. Critiquer c'est très facile, mais
> tu sais faire quoi ?
>
Plein de choses !
>
>>>Par pitié, mets-moi dans la liste des intervenants dont tu ne
>>>souhaites pas lire les messages. Ce sera un honneur. Et reviens
>>>m'insulter quand t'en
>>
>>Et tu veux me priver de ta mauvaise foi congénitale ?
>
> Je suis parfois de mauvaise foi, mais j'ai au moins le mérite de le
> reconnaître.
>
Prétendrais-tu que je suis un menteur ? Ou une personne qui ne reconnait
pas ses torts ?
>
>>>seras à 200-300 K lignes d'ASM (moi aussi je epux faire dans le
>>>désagréable).
>
>>Après avoir programmé en ASM Z80, j'ai été vacciné à vie contre l'ASM.
>
> L'ASM du Z80. Ha oui, grande expérience, tu peux largement te foutre de mon
> niveau avec ça... Non, franchement, passe au mode protégé du 386, c'est
Quand j'ai vu un listing d'ASM i386, j'ai été courrir aux toilettes pour
vomir.
> quand même autre chose. Note que si tu veux vraiment t'amuser, tu as les
> SSE2 pour te détendre. Je rectifie alors mes propos, reviens quand t'en sera
> à 250K lignes de C (voire de C++, je ne suis pas raciste)...
C ? C++ ? Pourquoi parler de langages informatiques qui ont le don de
filer de l'urticaire ?
>
> Allez, fini de faire mumuse. Bye.
>
Mumuse ? Ah, bon !
D'après toi ?
> Et puis de toute façon le plus beau, le plus fort, le plus intelligent
> et le plus modeste c'est moi. Continuez à vous battre pour la seconde
> place sur le podium. ;-)
Je te laisse le podium. J'ai horreur des podiums par ailleurs.
Non car nous sommes au moins deux.
Des articles je peux vous en citer d'autres:
"Une attention particulière doit être portée à certains logiciels de
Microsoft comme Outlook, Outlook Express ou Internet Explorer. Ce sont
ceux qui présentent le plus de failles et sont les plus susceptibles de
par leur grande diffusion de subir des attaques virales"
http://www.cnrs.fr/Infosecu/Revue.html N°38
En fait la grande diffusion explique les attaques virales par la
catégorie des utilisateurs concernés. Microsoft dans sa grande
connaissance du marché a même fait un XP grand public avec lequel la
plupart des utilisateurs restent avec des droits d'administrateur, les
mêmes sur Linux resteront en root et cliqueront également sur tout ce
qui bouge.
Ceci dit IE cumule en plus le fait d'avoir et de loin le plus de
failles, ajoutez au reste et vous comprendrez les épidémies Klez et
Bugbear.
Roland Garcia
Tu peux préciser les versions des logiciels, STP ?
<COPY>
if ((window.opera) && (parseInt(navigator.appVersion)<6))
{
if (navigator.userAgent.indexOf("Opera") != "0") alert("Déjà que OPERA est
une catastrophe pour les développeurs, si en plus vous le faites passer pour
ce qu'il n'est pas, vous ne risquez pas de bénéficier de menus dynamiques ou
de présentations toutes en CSS ! \n\n 'Fichier' => 'Préférences' => 'Réseau'
\(ou 'Connexions'\) => 'Identification du navigateur' => et mettez 'OPERA'
!!! \n\n GGGRRRRRR !")
</COPY>
En clair, jusqu'à la V6, Opera était une cata pour les développeurs ! Bien
pire qu'IE !!!
@+
--
Jean-Paul Boussac, HTLM-Kit en français, tutorial et description détaillée :
http://boussac.online.fr/Windows/HTML-Kit.html