Malgré la volonté de Billou, Microsoft et sécurité ne font visiblement pas bon ménage.
En effet, la firme de Redmond vient de boucher un trou qui permettait très simplement de voler les mots de passe d’utilisateurs Passport grâce à une URL malformée.
Où ça devient marrant, c’est que Microsoft utilise ce service pour stocker les numéros de CB de ses clients.
Forcément, tout ca fait un peu tâche, mais ils commencent à avoir l’habitude. 
Source : www.winbeta.org.
Quand on voit qu’un simple click droit pendant un transfert de fichier peut faire bugguer le systeme (http://www.clubic.net/n/n8760.html) et qu’aucun patch ne sortira dans l’immediat. Plus rien n’est etonnant. C’est pas la premiere et pas la derniere grosse faille de securité de windows. Il y a plusieurs pas semaines en moyenne dans windows update.
Vive linuxSurtout que cette grosse bourde d’un programmeur de passport n’a strictement rien a voir avec Windows…
Ce message a été édité par GloP le 11/05/2003
Et oui, mais fallait suivre la logique de majinboo :
Une petite erreur s’est glissee ds ce post, saurez-vous la trouver ?
Je voullais pas putiser sur winwdows xp. Je voullais juste remarquer que ce systeme était plus vulnerable et bugué que les systemes linux que j’utilise. Par contre, force est de constater que windows xp est bien moins bugué que ses redesseurs.
Ca me fait quand meme flipper d’installer toutes les semaines des patchs du style : mise à jour crtitique : ce patch corrige l’exploit trucmuche qui permet à un utilisateur mal intentionné de prendre le controle du systeme.
Le bug du click droit est assz revelateur. Le pire, c’est que certains exploits sont referencés pendant un moment dans la base de connaissance avant qu’un patch sorte. Exemple : la faille dans sql server (on s’éloigne un peu mais j’ai pas été cherché pour windows xp) a été référencée plusieurs mois avant que le patch sorte.
[quote]Surtout que cette grosse bourde d’un programmeur de passport n’a strictement rien a voir avec Windows…[/quote]Je ne savait pas , pour moi le passport a été lancé avec windows xp et je pensait que c’était les memes programmeurs. Mea Culpa
[quote]Le pire, c’est que certains exploits sont referencés pendant un moment dans la base de connaissance avant qu’un patch sorte. Exemple : la faille dans sql server (on s’éloigne un peu mais j’ai pas été cherché pour windows xp) a été référencée plusieurs mois avant que le patch sorte.
Non seulement c’est faux, mais en plus mentir ehontement comme ca, c’est relativement bas et mesquin…
[quote]Le bug du click droit est assz revelateur[/quote]Revelateur de quoi? Qu’il y a des bugs a la con qui valent pas la peine d’etre corriges avec un hotfix et qui peuvent attendre un service pack pour pas prendre le risque de causer des problemes de regression? Oui, en effet c’est assez revelateur.
[quote]Je voullais pas putiser sur winwdows xp. Je voullais juste remarquer que ce systeme était plus vulnerable et bugué que les systemes linux que j’utilise.[/quote]Si c’est l’impression que tu en as tant mieux, mais viens pas avancer des faits sans preuves bases sur ton impression uniquement puisque tu avoues toi meme ne pas l’utiliser… Maintenant, et meme si je trouve ca debile et sans aucun interet pratique, on peut aussi parler des chiffres de SecurityFocus sur les exploits impliquants les distribs linux comparees a windows xp… Putiserais tu a l’insu de ton plein gres?
[quote]Ca me fait quand meme flipper d’installer toutes les semaines des patchs du style : mise à jour crtitique : ce patch corrige l’exploit trucmuche qui permet à un utilisateur mal intentionné de prendre le controle du systeme.[/quote]Le fait qu’ils soient tous centralises et bien visibles a chacun ne signifie pas qu’il y en a moins sur les autres systemes… Juste qu’il est plus facile de pas en rater un seul. Un simple apt-get qui fait la mise a jour toute les semaines prouve qu’il y a autant de patch sur debian. Et je parle meme pas des distribs basees sur la redhat… Allez pour le plaisir de jouer au con et de rentrer dans ta logique du qui a le plus gros zizi:
2003-05-07: GNOME libgtop_daemon Remote Buffer Overflow Vulnerability
2003-05-07: Konqueror Embedded Common Name Certificate Validation Vulnerability
2003-05-07: PHP SafeMode Arbitrary File Execution Vulnerability
2003-05-07: OpenSSL CBC Error Information Leakage Weakness
2003-05-06: OpenSSL ASCII Representation Of Integers Buffer Overflow Vulnerability
2003-05-06: OpenSSL SSLv2 Malformed Client Key Remote Buffer Overflow Vulnerability
2003-05-05: Samba ‘call_trans2open’ Remote Buffer Overflow Vulnerability
… a l’infini j’ai la flemme de faire plus de copy/paste…
J’ai pris que les packages qui avaient un equivalent immediat qui etait fournit en standard avec windows (et je vois venir la classique de la guerre de chapelle interne a un produit “ouai mais gnome c’est de la merde, xyyyxyxz c’est trop mieux”). Pour peu qu’on installe des outils pour faire qqch de son OS, il y en a toute une ribambelle (sous win comme sous *nix d’ailleurs). Cela dit je fais pas ca pour demontrer que machin est plus securise que bidulle ou que truc est indeniablement superieur a chose. Je fais ca pour demontrer que ca ne veut strictement RIEN dire. C’est completement stupide ce genre de comparaisons, ca du niveau d’un concour de gros zizi . Et ce qui est encore plus stupide c’est de balancer des “veritees” a l’emporte pieces bases sur des impressions et/ou la vindicte populaire, au choix.
Le pire c’est que il y a pas a denfendre Microsoft sur la connerie qu’ils ont fait avec le site Passport. C’est une grosse bourde et c’est un gros trou de securite. Oui ils ont fait une connerie, qu’ils corrigent, et vite. Est ce qu’on peut en tirer des conclusions sur la securite d’un OS basee sur la securite d’un site web ? Non. Est ce qu’on peut juger la securite d’un produit quelconque (MS, linux, ou autre) sur les x failles de securite decouvertes sans avoir ete exploitees avant leur decouverte dans les y mois precedents? Meme pas. On mediatise a mort les problemes de securite de MS, ok, c’est merite, chaque trou de securite merite qu’on en parle autant qu’on peut pour que tout le monde puisse se proteger. Mais ne sombrons pas dans l’application de deux poids, deux mesures.
Ce message a été édité par GloP le 11/05/2003
Ce que tu dis Glop est vrai mais ne doit-on pas être plus exigeant avec un produit que l’on a payé ? C’est quand même marquant de constater que Linux tout en étant gratuit est parvenu à la hauteur de Windows (au dessus ou en dessous peu importe ) !
Ca m’enerve, on va a pas jouer à celui qui fait le plus de mauvaise de foi pour defendre son os. Je gagnerais pas car je connais pas si bien que ça linux.
On peut faire dans les coups bas si tu veux : la faille de securité la plus exploitée et quia pertubé internet pendant plusieurs jours était sous windows (http://www.linuxfr.org/2003/01/25/11146.html) C’est bas mais pas beaucoup plus que le post precedent.
Le bug du click droit est quand meme assez revelateur. Oui je réitère mes propos. Pas pouvoir faire un click droit pendant un transfert de fichier qui peut etre long (ouais j’utilise des vieux dd en ultradma 33) c’est quand meme limite.
La plupart des failles que tu cites concernent des versions depassées des logiciels ( j’ai juste regardée celle de gnome et de php) L’utilisateur aurra donc en plus de la correction de la faille, des corrections de bug et n’aurra peut etre jamais été vulnerable si il aviat la derniere version avant que la faille soit decouverte. La faille gnome touche beaucoup de debians mais je doute que beaucoup de personnes utilisent gnome sur leur debian. La version de gnome fournie est dépassée (mais vraiment dépassée) et beaucoup d’utilisateur de cette distrib sont des fervents adeptes de la console. Pour PHP, okay t’a une faille sur les versions jusqu’à la 4.2.2 mais ils en sont à la 4.3.1 et PHP n’a pas d’equivalent fourni avec windows. Dans ce cas là, on pourrait aussi citer les failles d’office xp.
Quand on installe linux, on un message (en tout ca sur les mandrakes) qui dit que certains packages sont suseptible de contenir des failles de securité. Sur windows, on est nullement prevenu.
De plus windows est payant alors que les distrib linux sont gratuites, on est donc en droit d’en attendre un peu plus de windows. On pourrait dans cet optique comparer windows à d’autres systemes tels que les *BSD ( 8 failles seulement rreferencée en presque 4 ans sur securityfocus)
edit : je sais que la faille mssql a été réparé par un patch longtemps avant l’apparition du vers mais les admins windows n’ont jamais eu de message les avertissant que le serveur pouvait contenir des failles et qu’ils fallaient qu’ils se tiegnent imformés
Ce message a été édité par majinboo le 11/05/2003
En même temps, la faille de MSSQL dont il est question était corrigée depuis
des lustres, si mes souvenirs sont bons. Un nombre considérable d’environnements n’étaient tout simplement pas à jour.
(Ce qui permettrait éventuellement de rebondir sur un troll méchant sur les compétences comparées des admins NT et Unix,
mais je passe mon tour cette fois ci ;o) )
pour aller dans le sens de Glop, et pourtant c’est pas mon habitude, chaque fois qu’apple signale une faille de sécurité, on a aussi droit a un concert de grand cris…
“on avait pas ces problémes avant osX, c’est de la merde…”
pourtant, a ma conaissance, aucun systeme apple n’a encore été “cassé”.
mais comme apple communique largement ces failles, lorsqui’l sortent un patch, tous le “landerneau” est au courant et en parle.
ps : la guerre des os (le miens est meilleur que le tiens) ca fait 15 ans que je vis avec (apple inside) et ca fait 10 ans que j’ai aretter de comparé, ou de vouloir faire changer quelqu’un contre son gres (meme si je fais reguliérement des migrations pour les personnes qui me le demande).
Oui, GloP a raison, c’est un concours du plus gros zizi… Mais toujours est-il que je préfère qu’on crache sur Goliath plutôt que sur David.
[quote]. Mais ne sombrons pas dans l’application de deux poids, deux mesures.[/quote]Heu on pourrait sombrer un petit peu quand même. Mon Windows, je le paye. Y’a des failles dedans, ca me fait chier. Le Linux, boarf … on crie pas rembourser quand le spectacle est gratuit.
Tiens, j’ai envie de rentrer dans le débat !
Moi je reproche aussi à Microsoft de ne pas avertir les utilisateurs que leurs services sont susceptibles de contenir des trous de sécurités. Mais dans ce cas là, je pense que les utilisateurs auront peur de se servir de la technologie Passport. De toute facon, pour moi, il est hors de question que je donne mes mots de passe et mon numéro de carte bleu à une machine distante et encore plus lorsque elle est a microsoft.
Maintenant, pour Linux, GloP a raison, Linux n’est pas aussi sécurisé que ca si on ne fait pas les maj correctement, j’en ai eu la preuve à l’IUT, un de mes potes s’est connecté en root sur une debian qui n’avait pas été mise à jour grace à un bug de kernel. Pour ca, rien de plus simple que de télécharger un source de quelques ko, on compile, on exécute et c’est bon on est en root sur le réseau.
Maintenant, c’est vrai que sous Linux, à la fin de l’installation, on nous préviens qu’il est très conseillé de faire les maj régulièrement, il y a juste un problème de communication avec Microsoft, pas de programmation.
Bon, c’est navrant les concours de gros zizi, c’est la meme chose que
les benchmarks, et mon windows, il est mieux, naaaan c’est linux qui
roxor sa maman avec apache.
Je reprend l’exemple d’en haut et je le demonte: Comparer la debian et
XP, c’est comme comparer un motor home et un C5. Attention, je dis pas
que le C5 est tout pourri, nan, mais juste que c’est vide.
XP, c’est juste un systeme d’exploitation. Une distribution Linux
contient tout un fatras de logiciels, pas necessairement tous utiles
d’ailleurs.
Du coup, une distrib Linux, ca a forcement plus de trous de secu (tout
cumule) que XP (puisqu’il y a plus de logiciels). Donc on arrete de
dire des conneries, merci.
Nombreux ici gagneraient en experience s’ils faisaient l’effort de
s’inscrire aux mailing list de securite de Red Hat ou de Debian. Vous
constaterez qu’il y a des security fixs, PLEIN meme. Et c’est le cas
pour tous les logiciels, faut pas rever. Je rappele que la debian
potato en etait a son 2.2r6 et qu’actuellement, on est en 3.0r1 (un peu
l’equivalent des SP sous win)
Un peu le meme genre d’effort que les admin windows qui n’appliquent
pas les patchs de secu MSSQL…
Pour moi, le choix Windows/Linux, ca doit etre soit financier, soit
ideologique (open source tout ca), mais certainement pas une question
de nombre de trous de secu (parce que c’est completement subjectif
comme arguement, et ca depend comment on compte… J’avais lu un
article qui comptait TOUS les bugs de TOUTES les distribs, donc y avait
des SA en triple ou quadruple…)
Ah ouais, un truc aussi: Lisez le cluf de windows. Ouais, c’est long,
ouais, c’est chiant, mais y a bien marque “no warranty”. Ok, c’est en
tout petit alors que les logiciels libres, c’est ecrit en gros. Mais au
final, c’est No WARRANTY tout pareil.
Sinon, ouais, gnome pour un debianneur, c’est quand meme un peu la
honte
LoneWolf
FVWM2 rulez.
Bon franchement j’ai super hesite a repondre parceque ca fait pas avancer le debat et au final ca sert a rien si ce n’est a faire petit fight a la con Mais bon c’est le week end et moi je trouve ca assez fun. Alors hop!
[quote]On peut faire dans les coups bas si tu veux : la faille de securité la plus exploitée et quia pertubé internet pendant plusieurs jours était sous windows.[/quote]La premiere attaque DOS d’echelle mondialle qui avait mis par terre les sites yahoo, ibm et d’autres avait pour origine des machines unix. Est ce qu’on en a profite pour cracher sur unix ou sur le fleau que peut etre une attaque DOS? Encore une fois, a cote de la plaque.
[quote]Le bug du click droit est quand meme assez revelateur. Oui je réitère mes propos. Pas pouvoir faire un click droit pendant un transfert de fichier qui peut etre long (ouais j’utilise des vieux dd en ultradma 33) c’est quand meme limite.[/quote]Il te plait celui la, c’est le premier bug de windows qui gene plus les utilisateurs de linux que les utilisateurs de XP huhu Je comprend meme pas pourquoi tu t’acharnes dessus c’est un bug minable et je suis pas sur que t’ai vraiment saisi quand le bug se produit ou si t’as juste lu la description. Y a clairement un probleme, ok, mais c’est franchement pas genant a moins d’etre de mauvaise foi, ou de le faire expres.
[quote]La plupart des failles que tu cites concernent des versions depassées des logiciels ( j’ai juste regardée celle de gnome et de php) blablablablablabla…[/quote]Ha ben alors si il suffit d’installer la version 39479.23.2 a, si on a la 214.342.2 beta 963… Donc en fait ce que t’essaye de dire c’est qu’il suffit d’etre a jour de toute les mises a jour? Ha oui c’est interessant comme concept. Tu vas rigoler c’est exactement pareil sous windows, suffit de lancer un truc qui s’appelle windows update. Ha oui… y en a un par semaine… un peu comme de nouvelle version de gtk.orhnytorinque 3.313.27b. Enore une fois: tout pareil.
[quote]Quand on installe linux, on un message (en tout ca sur les mandrakes) qui dit que certains packages sont suseptible de contenir des failles de securité. Sur windows, on est nullement prevenu.[/quote]Ha ben si on est prevenu alors…
[quote]De plus windows est payant alors que les distrib linux sont gratuites, on est donc en droit d’en attendre un peu plus de windows. On pourrait dans cet optique comparer windows à d’autres systemes tels que les *BSD ( 8 failles seulement rreferencée en presque 4 ans sur securityfocus)[/quote]Pas comparable. *BSD est un systeme qui se tient volontairement plusieurs mois en arriere sur les avancees logicielles pour etre 100% sur qu’il n’y aura pas de failles. On peut aussi comparer a Solaris, HP-UX ou autres. Ils sont tous tres comparables dans la frequences des patchs et des mises a jour de securite. Encore une fois le concour du plus gros zizi est non seulement stupide mais en plus il n’apporte pas grand chose d’autre que du ridicule a ceux qui s’y adonnent.
[quote]edit : je sais que la faille mssql a été réparé par un patch longtemps avant l’apparition du vers mais les admins windows n’ont jamais eu de message les avertissant que le serveur pouvait contenir des failles et qu’ils fallaient qu’ils se tiegnent imformés[/quote]Sans deconner? C’est un metier administrateur? Merde alors je croyais que ca consistait a attendre dans son bureau en buvant des cafe qu’on recoive des mails de microsoft qui detaille pas a pas ce qu’il faut faire de sa journee… Ca alors! Scandaleux.
Enfin tout ca pour dire que j’en ai un peu marre du proselitisme avec les OS qu’on ressort a la moindre occasion, a la moindre faille, au moindre bidulle. Non seulement c’est penible mais a part une demonstration d’hypocrisie ou de fanatisme ca apparte rien a aucun des camps. Utilisez l’OS qui vous va bien, si il vous va pas, changez et contactez le “fabriquant” pour dire pourquoi vous changez. C’est tout. Pas la peine d’essayer de convaincre le monde entier que vous avez raison.
Ce message a été édité par GloP le 11/05/2003
pour le bug decouvert recement sous XP avec le clic droit, je l’avais jamais remarqué avant que je le lise sur le net … et franchement c’es pas genant, suffit de faire un clic gauche sur le fichier pour pas que ca “bug”
[quote]edit
: je sais que la faille mssql a été réparé par un patch longtemps avant
l’apparition du vers mais les admins windows n’ont jamais eu de message
les avertissant que le serveur pouvait contenir des failles et qu’ils
fallaient qu’ils se tiegnent imformés[/quote]
En même temps, un administrateur réseau qui ne se tient pas informé
des patchs et des failles de sécurité, c’et un peu un gros con qui ne
mérite pas son salaire, disons le clairement. Il y a suffisemment de
moyens de se tenir au courant des failles et de leur remède pour éviter
d’être pris au dépourvu. Donc dans le cas de la faille mssql, vu que MS
avait informé et mis à dispo un correctif longtemps avant, la faute en
revient entièrement à une tripotée de branleurs qui auraient plus leur
place dans un service courrier d’une administration quelconque que
d’avoir la charge de la sécurité d’un réseau d’entreprise.
C’est pourtant pas dur de s’abonner au Security Notification Service.
Si une partie des admins sous Windows sont des incapables tout juste
bons à presser un bouton on va pas en vouloir à Microsoft non plus.
C’est rigolo un temps le côté R3B3LZ anti-MS, mais à la longue, ça
commence à les briser menu.
Edit:
Oups GloP, il est plus rapide !
Ce message a été édité par Plissken le 11/05/2003
[quote]pour le bug decouvert recement sous XP avec le clic droit, je l’avais jamais remarqué avant que je le lise sur le net … et franchement c’es pas genant, suffit de faire un clic gauche sur le fichier pour pas que ca “bug”[/quote]moi je l’avaut déjà eu plusieurs fois sans jamais pensé que ça venait du click droit et je trouve ça ridicule de devoir rbooter pour un simple click droit.
[quote]Quand on voit qu’un simple click droit pendant un transfert de fichier peut faire bugguer le systeme (http://www.clubic.net/n/n8760.html)
et qu’aucun patch ne sortira dans l’immediat. Plus rien n’est etonnant.
C’est pas la premiere et pas la derniere grosse faille de securité de
windows. Il y a plusieurs pas semaines en moyenne dans windows update.
Vive linux[/quote]Ce “bug” précis ne se produit pas avec Windows 2000 et antérieurs …
[quote]moi je l’avaut déjà eu plusieurs fois sans jamais pensé que ça venait du click droit et je trouve ça ridicule de devoir rbooter pour un simple click droit.[/quote]On doit vraiment pas parler du meme bug alors Parceque meme si l’utilisation CPU saute a 100%, un click gauche pour sortir du menu contextuel et ca retombe a 0%… meme sur un vieux PII 400 de daube. Mais bon si tu preferes rebooter chacun sa methode
, ca marche aussi j’imagine.