Dropmyrights: pas de restriction des droits si IE/Firefox est deja lance

[Th.A.C]

Bonjour,

--------------------
je précise avant tout qu'il faudrait faire d'autres test sur d'autres
machines.
--------------------

J'ai remarqué (sur ma machine en XP Pro), que si Firefox ou IE est déja
lancé(sans DropMyRights), une nouvelle instance lancée avec DropMyrights
garde les droits de l'application déjà lancée.

Un test simple à faire:
- lancer IE ou Firefox
- menu 'Fichier'/'Ouvrir', puis 'clic-droit'/'nouveau dossier'
à faire dans un dossier ou on ne devrait pas pouvoir écrire
si l'application a été lancée avec DropMyRights
par exemple:
C:\Documents and Settings\All Users\Bureau

Normalement, on a le message 'accès refusé' sauf si j'ai déjà lancé
l'application sans DropMyrights

Autre test:
- IE ou Firefox ne se lancent pas avec l'option 'C' sauf si j'ai déjà
lancé l'application sans DropMyrights

[Pascal Hambourg]

Salut,

Th.A.C a écrit :

>
> J'ai remarqué (sur ma machine en XP Pro), que si Firefox ou IE est déja
> lancé(sans DropMyRights), une nouvelle instance lancée avec DropMyrights
> garde les droits de l'application déjà lancée.

Probablement parce qu'il s'agit toujours de la même instance.
Lorsqu'on lance à nouveau l'application, elle vérifie qu'une instance
existe déjà et lui demande d'ouvrir une nouvelle fenêtre - qui a donc
les même droits que la première.

[Az Sam]

"Th.A.C" <aenleve...@free.fr.invalid> a écrit dans le message de
news:4fc0f293$0$6452$426a...@news.free.fr...

>
> J'ai remarqué (sur ma machine en XP Pro), que si Firefox ou IE est déja
> lancé(sans DropMyRights), une nouvelle instance lancée avec DropMyrights
> garde les droits de l'application déjà lancée.

pour quoi un truc qui s'appelle "laisse tomber mes droits" ou "Fais tomber
mes droits" serait il sécurisé ?

--
Cordialement,
Az Sam.

[Michel__D]

Bonjour,

Th.A.C a �crit :
> Bonjour,
>
> --------------------
> je pr�cise avant tout qu'il faudrait faire d'autres test sur d'autres
> machines.
> --------------------
>
> J'ai remarqu� (sur ma machine en XP Pro), que si Firefox ou IE est d�ja
> lanc�(sans DropMyRights), une nouvelle instance lanc�e avec DropMyrights
> garde les droits de l'application d�j� lanc�e.
>
> Un test simple � faire:

> - lancer IE ou Firefox
> - menu 'Fichier'/'Ouvrir', puis 'clic-droit'/'nouveau dossier'

> � faire dans un dossier ou on ne devrait pas pouvoir �crire
> si l'application a �t� lanc�e avec DropMyRights

> par exemple:
> C:\Documents and Settings\All Users\Bureau
>

> Normalement, on a le message 'acc�s refus�' sauf si j'ai d�j� lanc�
> l'application sans DropMyrights

Chez moi (XP SP3) j'ai bien le comportement attendu c'est � dire que je lance
IE normalement puis je lance IE avec DropMyRights et j'ai l'acc�s refus� avec
l'IE restreint et l'acc�s normal � cette m�me ressource avec l'IE normal.

Avec Process Explorer j'ai bien 2 processus diff�rent avec des valeurs diff�rentes
dans l'ongle s�curit�.

[Th.A.C]

c'est ce que je pensais, mais comme on a aucun message d'avertissement
c'est inutilisable....

[Th.A.C]

recommence pas à troller STP....

je fais des tests pour mettre en place un navigateur un peu mieux
protégé chez des amis.

Je sais très bien que la meilleur sécurité c'est un utilisateur sans
pouvoir, mais je sais que ca ne durera pas longtemps...

[Th.A.C]

Le 26/05/2012 20:26, Michel__D a écrit :

>
> Chez moi (XP SP3) j'ai bien le comportement attendu c'est à dire que je
> lance
> IE normalement puis je lance IE avec DropMyRights et j'ai l'accés refusé
> avec
> l'IE restreint et l'accés normal à cette même ressource avec l'IE normal.
>
> Avec Process Explorer j'ai bien 2 processus différent avec des valeurs
> différentes
> dans l'ongle sécurité.

Juste pour être sur, tu as bien 2 x IE lancés en même temps (un normal,
un avec DMR)?

est-ce que tu as utilisé une astuce pour bien avoir un navigateur avec
sa propre instance à chaque fois que tu le lances?

Si oui laquelle?

Merci :-)

Thierry

P.S:j'ai regardé sur une autre machine, même résultat...

[Th.A.C]

Le 26/05/2012 21:01, Th.A.C a �crit :

>
> est-ce que tu as utilis� une astuce pour bien avoir un navigateur avec
> sa propre instance � chaque fois que tu le lances?
>
> Si oui laquelle?

par exemple :
http://astuces.microcoms.net/internet/ie/02.html

???

[Dominique ROUSSEAU]

Le sam., 26 mai 2012 at 18:52 GMT, Th.A.C <aenleve...@free.fr.invalid> a écrit :
[... les posts d'avant ...]

>
> c'est ce que je pensais, mais comme on a aucun message d'avertissement
> c'est inutilisable....

Ben tu lances un navigateur pour l'usage normal, et un dfférent avec ton
"DropMyRights". Non ?

[Th.A.C]

regarde ma réponse à AZ Sam.

Pour moi ca ne pose pas trop de problème.
Mais quelqu'un d'autre qui ne fera pas attention ...

[Stéphane Catteau]

Th.A.C devait dire quelque chose comme ceci :

> je fais des tests pour mettre en place un navigateur un peu mieux
> protégé chez des amis.

Pourquoi ne pas utiliser directement sandboxie ? Bien que la gestion
des droits ait fait de gros progrès sous Windows, un bac à sable reste
une solution beaucoup plus sûre pour l'utilisateur. En effet, ta
méthode le prémunit contre les failles du logiciel, mais pas contre
celle de l'utilisateur lui-même. Une fois le fichier présent sur le
disque dur[1], celui-ci se retrouve de nouveau aussi exposé que si tu
n'avais rien fait.
Or, entre les redirections au niveau du serveur et les différents
langages côté serveur, il n'est pas difficile de faire cliquer pour
prétenduement voir une image, et d'envoyer en réalité un exécutable
reconnu comme tel par le système. Evidement cela demande que
l'utilisateur confirme le téléchargement, mais si tu en viens à
utiliser dropmyrights, c'est que tu considères que l'utilisateur est
capable de faire ce genre de bétises.
Avec la seule solution dropmyrights, dans quelques semaines
l'utilisateur ne saura plus trop à quoi correspond cet exécutable,
cliquera dessus pour voir... et boum. Sandboxie par contre maintient le
bac à sable pour tous les fichiers présent dans son répertoire ; dans
sa version payante[1] la protection s'étend à tout répertoire signalé
comme sensible.

C'est à toi de voir évidement, mais personnellement je pense que ce
serait une meilleure solution. Deux ans que je l'utilise à la maison et
même les enfants n'ont pas réussi à foutre la merde, pourtant ils
essayent :D


[1]
Pour 29€ tu as une license à vie qui te permet d'installer le logiciel
sur autant d'ordinateur que tu veux, tant qu'ils appartiennent à la
personne ayant acheté la license. C'est pas si cher que ça, surtout vue
ce qu'il y a derrière.


--
17/06/1969 - 18/01/2011

Repose en paix mon amour :'(

[Dominique ROUSSEAU]

Le sam., 26 mai 2012 at 23:12 GMT, Th.A.C <aenleve...@free.fr.invalid> a ￜcritￜ:
>> Ben tu lances un navigateur pour l'usage normal, et un dffï¿œrent avec ton
>> "DropMyRights". Non ?
>
> regarde ma rￜponse ￜ AZ Sam.
>
> Pour moi ca ne pose pas trop de problï¿œme.

> Mais quelqu'un d'autre qui ne fera pas attention ...

Le prï¿œalable me semble ï¿œtre qu'il faut qu'ils aient compris "pourquoi", ce que
ï¿œa change. Qu'ils sachent faire aussi la diffï¿œrence entre IE, Chrome ou FF.

[Michel__D]

Bonjour,

Th.A.C a écrit :

> Le 26/05/2012 20:26, Michel__D a écrit :
>
>>
>> Chez moi (XP SP3) j'ai bien le comportement attendu c'est à dire que je
>> lance
>> IE normalement puis je lance IE avec DropMyRights et j'ai l'accés refusé
>> avec
>> l'IE restreint et l'accés normal à cette même ressource avec l'IE normal.
>>
>> Avec Process Explorer j'ai bien 2 processus différent avec des valeurs
>> différentes
>> dans l'ongle sécurité.
>
> Juste pour être sur, tu as bien 2 x IE lancés en même temps (un normal,
> un avec DMR)?

Oui, avec dans l'ordre, IE normal puis IE DMR.

> est-ce que tu as utilisé une astuce pour bien avoir un navigateur avec
> sa propre instance à chaque fois que tu le lances?

A priori aucune astuce.

> P.S:j'ai regardé sur une autre machine, même résultat...

PS: Testé sur 2 systèmes différents l'un avec IE 6.0 et l'autre avec IE 7.0 (machine virtuelle).

[Michel__D]

Bonjour,

Th.A.C a écrit :
> Le 26/05/2012 21:01, Th.A.C a écrit :
>
>>
>> est-ce que tu as utilisé une astuce pour bien avoir un navigateur avec
>> sa propre instance à chaque fois que tu le lances?

>>
>> Si oui laquelle?
>
> par exemple :
> http://astuces.microcoms.net/internet/ie/02.html

Non cette clé de registre n'est pas positionnée.

[Th.A.C]

Le 27/05/2012 10:35, Michel__D a �crit :

>> est-ce que tu as utilis� une astuce pour bien avoir un navigateur avec
>> sa propre instance � chaque fois que tu le lances?
>
> A priori aucune astuce.
>
>> P.S:j'ai regard� sur une autre machine, m�me r�sultat...
>
> PS: Test� sur 2 syst�mes diff�rents l'un avec IE 6.0 et l'autre avec IE
> 7.0 (machine virtuelle).

bon, je ne sais pas ce que tu as de diff�rent par rapport � moi...

j'ai aussi essay� dans une machine virtuelle et avec stripmyrigghts.
J'ai bien le comportement d�crit dans mon premier message.

Merci pour tes tests. :-)

Thierry

[Th.A.C]

Le 27/05/2012 01:12, Stéphane Catteau a écrit :
> Th.A.C devait dire quelque chose comme ceci :
>
>> je fais des tests pour mettre en place un navigateur un peu mieux
>> protégé chez des amis.
>
> Pourquoi ne pas utiliser directement sandboxie ?

j'ai aussi prévu de le tester.

mais, par expérience, mettre en place des trucs un peu compliqués à vite
fait d'énerver la personne en cas de problème.
Même si c'est bien ficelé...

chez moi, pas de souci, je peux intervenir rapidement.

Merci

[Michel__D]

Re,

Th.A.C a écrit :
> Le 27/05/2012 10:35, Michel__D a écrit :
>
>>> est-ce que tu as utilisé une astuce pour bien avoir un navigateur avec
>>> sa propre instance à chaque fois que tu le lances?
>>
>> A priori aucune astuce.
>>

>>> P.S:j'ai regardé sur une autre machine, même résultat...
>>

>> PS: Testé sur 2 systèmes différents l'un avec IE 6.0 et l'autre avec IE
>> 7.0 (machine virtuelle).
>
> bon, je ne sais pas ce que tu as de différent par rapport à moi...
>
> j'ai aussi essayé dans une machine virtuelle et avec stripmyrigghts.
> J'ai bien le comportement décrit dans mon premier message.

>
> Merci pour tes tests. :-)

De rien, voici l'image pour confirmation :

http://cjoint.com/?0EBm2NurvUK

[Th.A.C]

Le 27/05/2012 12:58, Michel__D a écrit :

>
> De rien, voici l'image pour confirmation :
>
> http://cjoint.com/?0EBm2NurvUK

Merci :-)

juste un truc que je n'arrive pas à reproduire dans ta copie écran:
ton premier 'IE' est en sous-processus de 'Explorer.EXE' qui est
lui-même en sous-processus de 'Explorer.EXE'.

Chez moi, IE est directement sous le premier explorer.exe et je n'ai
qu'un seul 'explorer.exe' (ce qui me semble normal)

[Michel__D]

Re,

Th.A.C a écrit :

Sous l'Explorateur de fichier, menu "Outils" puis "Options des dossiers", dans l'onglet
"Affichage" il faut cocher "Ouvrir les fenêtres des dossiers dans un processus différent"

[Stéphane Catteau]

Th.A.C devait dire quelque chose comme ceci :

> mais, par expérience, mettre en place des trucs un peu compliqués à vite
> fait d'énerver la personne en cas de problème.

Justement, je pense qu'il y aura moins de problèmes pour l'utilisateur
final avec Sandboxie qu'avec dropmyrights, puisque justement
l'utilisateur n'est limité en rien. Par contre cela demande de passer
plus de temps à bosser la configuration et il faut la version payante
pour avoir totalement la paix.
Mais la contre partie peut réellement en valoir le prix. Du temps où
j'avais des problèmes avec mon système (Windows se comportait comme si
le lecteur de DVD était en no-exec), il n'y avait que Sandboxie qui me
permettait d'installer des applications depuis un CD/DVD et il m'est
même arrivé d'installer des jeux entiers directement dans le
bac-à-sable et d'y jouer alors qu'ils étaient un sous-processus de
Sandboxie. A l'époque j'avais encore la version gratuite d'ailleurs.
Du coup, sauf si tu destines cela à des personnes qui comptent pirater
tous les jeux du moment, auquel cas ils peuvent éventuellement souffrir
de l'exécution dans un bac-à-sable, je doute qu'ils se rendent même
compte que quelque chose a changé. Ils pourront télécharger tous les
gadgets/logiciels qu'ils veulent, les installer, les configurer à leur
guise, les exécuter aussi souvent qu'ils le désirent, et cela sans que
Sandboxie leur demande quoi que ce soit et, évidement, sans risques au
final.

> chez moi, pas de souci, je peux intervenir rapidement.

Plus d'un an que la version payante tourne sur tous les ordinateurs de
la maison, quasiment en configuration par défaut pour ceux des enfants,
et je n'ai pas eu à intervenir une seule fois.

Cela étant dit, c'est évidement toi qui voit au final, puisque c'est
toi qui connait les personnes qui utiliseront l'ordinateur. Je ne dis
tout cela que pour te donner l'avis d'un utilisateur plus que satisfait
d'avoir, pour une fois, mis la main au porte-monnaie.

[Th.A.C]

Le 28/05/2012 15:15, Stéphane Catteau a écrit :

> ...

> Cela étant dit, c'est évidement toi qui voit au final, puisque c'est
> toi qui connait les personnes qui utiliseront l'ordinateur. Je ne dis
> tout cela que pour te donner l'avis d'un utilisateur plus que satisfait
> d'avoir, pour une fois, mis la main au porte-monnaie.
>

je te remercie pour tous ces détails.

A mon avis, mon principal problème est la distance (400Km dans mon cas).
Même si j'ai un CD de boot permettant la prise de main à distance, les
interventions à distances trouvent vite leur limites...

Je le garde quand même dans un coin de ma tête :-)

Thierry