10 failles de sécurité dans la suite Mozilla

Discussion dans 'Windows' créé par Bingo, 16 Septembre 2004.

Statut de la discussion:
Fermée.
  1. Offline
    theodorus ex membre
    Mac OS X n'à rien à voir avec GNU/Linux, comme je le dis d'ailleurs dans mon post. Si tu croyais trouver un ptit neuneu extrémiste Linux, pas de bol.

    Je suis pas contre un bon gros troll, mais, sérieusement, les attaques personelles nuisent souvent à une argumentation.
    theodorus, 17 Septembre 2004
    #41
  2. Offline
    theodorus ex membre
    theodorus, 17 Septembre 2004
    #42
  3. Offline
    theodorus ex membre
    Arrête de râler et viens avec nous, on s'amuse comme des petits fous ;) .
    theodorus, 17 Septembre 2004
    #43
  4. Offline
    Araubas Mr Usant
    Changeons de sujet .... et si on parlais du code volé à SCO :)
    Ca serait la cerise sur le gato nan ?
    (et franchement aussi intellectuel que ce thread).
    Araubas, 17 Septembre 2004
    #44
  5. Offline
    theodorus ex membre
    Moi je crois ce que Saint Linus a dit: c'est le Père Noël et la petite souris qui se sont servis de lui comme couverture pour eux, les vrais auteurs du noyau Linux!

    Amen.
    theodorus, 17 Septembre 2004
    #45
  6. Offline
    titloup Elite
    LoL mes conaissances vont au delà de ton imagination :D

    J'aimerais bien être certifié Microsoft :p au moins j'aurais un boulot... :wink:

    Non mais, tu parles pour dire quoi?... que le OPEN SOURCE est plus sûr qu'un programme payant et testé par des millions d'utilisateurs tous les jours? Que les programmes OPEN SOURCE sont sûrs et que le WAREZ n'existe pas? :roll:

    Quand on connait le code, on sait comment le bidouiller... comment tu crois qu'il y a des versions de emule crackées qui uploadent pas?

    Je ne suis pas pour microsoft, mais je dis qu'un programme qui a son code qui traine partout est vite penetrable si un hacker veut bien passer son temps dessus... l'avantage des logiciels "payants" c'est justement que ce code n'existe pas pour nous...

    Tu vas me sortir qu'on sait voir le code machine? Oui et alors? Tu sais combien de lignes et lignes un bête programme peut avoir en code machine? Tu sais le temps que ça prends à décrypter? Sans parler des connaissances nécessaires pour le compreendre!

    Maintenant tu prends un programme en ASM et tu prends le même programme en OO et on verra qui compreends le plus vite :p :D

    Et si tu sais programmer tu compreendras que ce n'est pas le OO que fait un BUG ou pas mais bien la logique de ceux qui programment...
    titloup, 20 Septembre 2004
    #46
  7. Offline
    La Poubelle Elite
    Comme le dit l'adage du programmeur :

    Le bug se situe le plus souvent entre la chaise et le clavier

    :D
    La Poubelle, 20 Septembre 2004
    #47
  8. Offline
    RBC9 Elite
    j'ai un méchant doute sur la manière dont je doit comprendre cette phrase ....

    mais pas de prob , m'en souviendrai le moment voulu.
    RBC9, 20 Septembre 2004
    #48
  9. Offline
    medleouf Touriste
    :D ca va seignnnnnneerrrrrrrrrrrr
    medleouf, 20 Septembre 2004
    #49
  10. Offline
    titloup Elite
    LoL connaissait pas :p :xmas:
    titloup, 20 Septembre 2004
    #50
  11. Offline
    theodorus ex membre
    T'as raison, il y a déjà les fautes d'orthographe qui pleuvent
    theodorus, 20 Septembre 2004
    #51
  12. Offline
    theodorus ex membre
    En clair: un troll sans arguments techniques qui veulent rien dire c'est fade et c'est d'un niveau cour de récré. Allez, je suis sûr que tu peux sortir plus que ça :)
    theodorus, 20 Septembre 2004
    #52
  13. Offline
    theodorus ex membre
    Hum mon imagination n'est peu-être pas un endroit que tu voudrais connaître :)

    Ben économise un peu et bonne chance.

    Bon je reprends mon dernier post qui apparement est illisible: (note qu'en voulant éviter les généralisations peu objectives je ne parlerai que de logiciels libres -GPL et BSD en majorité-, et pas de tout le mouvement open-source)

    -en général: UNIX a débuté en tant que programme open-source. Son principal "concurrent", BSD, qui était une extension de UNIX, lui aussi était open-source. Cet OS et ces extensions sont à la base de tous les "UNIX" actuels (sans compter TCP/IP), et BSD a des descendants bien vivants de nos jours. L'open source à toujours existé, il est à la base de l'informatique actuelle, point final. Les profs d'unif ne s'amusaient pas à se cacher leurs codes sources entre eux.

    -Les troyens dans les logiciels libres et le warez: Il n'y a pas de warez de logiciels libres. Quel crétin irait faire du warez avec des programmes redistribuables librement. Quand aux troyens, je suis d'accord qu'on peut modifier le code source. Mais maintenant il te faut trouver un imbécile qui va le prendre chez toi (où tout autre emplacement non-officiel), et pas sur les serveurs officiels super rapides. Tu devras attaquer les serveurs. Mais c'est pas fini: le type qui reçoit le code source vérifie la signature de ton fichier avec celle qu'a donnée l'auteur du programme originel: pouf, alerte générale, et tu viens sans doute de perdre un 0-day.

    -Le fait qu'un programme payant est testé par bcp de gens: Et Apache, GNU/Linux, vsftpd, OpenBSD,etc... ils ne sont pas utilisées par des quantités énormes de gens? Tu pourrais dire que ça vaut pas pour les programmes moins connus: ben c'est pareil pour les logiciels propriétaires moins utilisés aussi.

    -Le code source "traîne" partout: Eh ben oui, un pirate peut essayer de chercher des failles en regardant le code. Dans la même logique, un programmeur peut chercher des failles et changer le code en fonction. Comme je ne vois aucune raison à ce qu'un pirate sois plus doué qu'un programmeur, ils sont à pied d'égalité, à part le fait que c'est les programmeurs qui mène la dance (ben oui, c'est eux qui écrivent le code à cracker.) Tu peux aussi compiler ton prgramme avec une version spécialement patchée de gcc (ou autre) -stackguard, etc..-, et là le code source n'est plus vraiment représentatif du programme (résultat des protections diverses) final: hop, il ne reste plus qu'à se tourner vers le code machine, ce qui nous amène à:

    -"L'assembleur c'est dur": pas à partir d'un certain niveau. Va faire un tour du côté de Phrack et dis-toi qu'il y a encore bien plus balèze. Tu peux aussi faire un tour chez rootkit ou 29a, tu verras que c'est pas trois lignes assembleur qui vont leur faire peur. En fait, l'ingénierie inverse est sans doute la première chose qu'un pirate windowsien dois apprendre.

    Tu veux dire quoi par "OO"?
    theodorus, 20 Septembre 2004
    #53
  14. Offline
    titloup Elite
    Je ne parle pas de Warez, je parle de piratage, comme hacker un PC par exemple... que ce soit libre ou pas, un hacker cherche toujours les failles...

    Quand on a le source et qu'on compile tout un autre programme différent de l'original, même interface mais un comportement caché, je ne pense pas que les signatures puissent faire quelque chose... 90% des gens qui utilisent un PC ne connaissent pas autre chose à part ce qu'on leur a dit de faire, ou de ce qu'ils font d'habitude!

    J'ai des doutes que quand on télécharge quelque chose, on va passer le temps à vérifier des signatures... :? ils se font contaminer la plupart du temps... parce que quand le téléchargement est lent on va le chercher ailleurs!

    La différence entre un programmeur et un pirate, c'est que le programmeur fait ce qu'on lui demande dans un espace de temps le plus court possible... il ne sait pas se spécialiser dans une dizaine de domaines différents... le but du pirate par contre, est de chercher les failles, il est donc spécialisé et a beaucoup plus de connaissances qu'un programmeur dans ce domaine!


    Code:
    .MODEL SMALL
    .STACK 100h
    
    .DATA
    
    INTER DB 10,13,10,13,'$'
    INFO  DB  '¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯',10,13 
          DB  '¯  TAPEZ "0" POUR FINIR  ¯',10,13
          DB  '¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯',10,13,10,13,10,13,'$'  
    CAR   DB  '  CARACTERE A CONVERTIR:  ','$'
    ASC   DB  '  MODE ASCII  (DECIMAL):  ','$'
    DIX   DW  10
    
    .CODE
    
            MOV AX,@DATA
            MOV DS,AX
            SUB AX,AX
    
            MOV AX,0B800h
            MOV ES,AX
            SUB AX,AX
            
    ENCORE:
            MOV AH,0
            MOV AL,3
            INT 10h
    
            MOV DX,OFFSET INTER
            MOV AX,DX
            MOV AH,09h
            INT 21h
    
            MOV DX,OFFSET INFO
            MOV AX,DX
            MOV AH,09h
            INT 21h
            
            MOV DX,OFFSET CAR
            MOV AX,DX
            MOV AH,09h
            INT 21h
    
            SUB AX,AX
            SUB BX,BX
            MOV AH,1
            INT 21h
            MOV BL,AL
            
            MOV DX,OFFSET INTER
            MOV AX,DX
            MOV AH,09h
            INT 21h
                    
            MOV DX,OFFSET ASC
            MOV AX,DX
            MOV AH,09h
            INT 21h
    
            SUB DX,DX
            SUB AX,AX
            MOV AX,BX
            DIV DIX
            ADD AX,48
            MOV AH,0Eh
            INT 10h
            SUB AH,AH
            ADD AX,0E00h
            MOV ES:[2000],WORD PTR AX
            
            SUB AX,AX
            MOV AX,DX
            ADD AX,48
            MOV AH,0Eh
            INT 10h
            SUB AH,AH
            ADD AX,0E00h
            MOV ES:[2002],WORD PTR AX
    
            MOV ES:[1836],WORD PTR 81C9h
            MOV ES:[1838],WORD PTR 81CDh
            MOV ES:[1840],WORD PTR 81CDh
            MOV ES:[1842],WORD PTR 81CDh
            MOV ES:[1844],WORD PTR 81CDh
            MOV ES:[1846],WORD PTR 81BBh
    
            MOV ES:[1996],WORD PTR 81BAh
            MOV ES:[2006],WORD PTR 81BAh
    
            MOV ES:[2156],WORD PTR 81C8h
            MOV ES:[2158],WORD PTR 81CDh
            MOV ES:[2160],WORD PTR 81CDh
            MOV ES:[2162],WORD PTR 81CDh
            MOV ES:[2164],WORD PTR 81CDh
            MOV ES:[2166],WORD PTR 81BCh
    
            MOV DX,OFFSET INTER
            MOV AX,DX
            MOV AH,09h
            INT 21h
    
            MOV AH,1
            INT 21h
                    
            CMP BL,'0'
            JE  FIN
            JMP ENCORE 
    
    FIN:             
            MOV AH,0
            MOV AL,3
            INT 10h
    
            MOV AX,4C00h
            INT 21h
    
    END
    Nan, l'assembleur est bien plus compliqué que ça... tout ceci pour convertir la touche que tu presses en code ASCII... Maintenant faut imaginer des centaines de millier de lignes pour tout un programme :shock:

    Le OO c'est le Orienté Objet, ce sont des langages comme le C++, Delphi, Java,...
    titloup, 22 Septembre 2004
    #54
  15. Offline
    Helyopses Touriste
    Baaastonnnnn !!

    Moi ce qui me fait marer c'est que l'on tape tout le temps sur la gueule a microsoft sans jamais reconnaitre leur mérite. :?

    Je ne suis pas pro M$, loin de la mais essayez d'expliquer a vos parents comment faire fonctionner Mandrake pourquoi j'ai plus mon lecteur C ??

    Windows fait des OS comme Toyota fait des bagnoles Ca tourne relativement bien et tout le monde peux le faire fonctionner maintenant si vous préférez une ferrari ou 300l de nitro dans le coffre libre à vous de chercher votre bonheur ailleur.

    Firefox c'est bien mais IE c'est plus simple: interface épurée au possible ( tant qu'il y a pas des sales barres parasites :roll: ) donc si j'ai 10%de chance en plus d'avoir la probabilité de me faire avoir en utilisant Win mais que je dois passer 20 h a expliquer comment ça marche je prefere utiliser Win

    C'est pour ces raisons aussi que les grandes entreprises qui a priori pourraient opter pour de l'open source reste sous m$ car le recyclage de tout un personel sous linux ou bsd engendrerai une énorme perte de productivité.

    Dans ce cas ci il ne s'agit que d'un browser, qui est p-e un peux plus sur et performant mais est ce que l'interface a été conçue de manière à ce que Mr X puisse l'utiliser sans avoir besoin d'aide ? la plupart des gens que je lache sur IE s'y retrouve en 10 min, si je leur met conqueror ils ont déja du mal :?
    Helyopses, 22 Septembre 2004
    #55
  16. Offline
    theodorus ex membre
    J'ai tapé sur Miccrosoft? Je m'en fiche de Microsoft. Je veux juste qu'il me laisse tranquille, ce qui n'est sûrement pas dans son programme.

    Bon ce que tu dis est sans doute vrai en grande partie, mais comme ton raisonnement ne se base pas sur des bases solides mais juste des suppositions, il y a toujours moyen de trouver le contraire... Et puis pour le 10% seulement je suis pas très convaincu :) Si même le gouvernement Américain déconseille IE, c'est qu'il y a un sérieux problème. Mais bon, cahcun fait ses choix et les assume.
    theodorus, 22 Septembre 2004
    #56
  17. Offline
    Helyopses Touriste
    Je ne te visai pas toi spécialement :) ensuite je suppose que si je saute du 10ème étage d'un building je vais me tuer, même s'il est possible que je m'en sorte vivant.

    Si on raisonne de manière fermée rationelle alors il n'y a plus grand chose qui tienne la route. :?. Je ne dis pas que ce que je dis est exactement la réalité mais ça s'en raproche. J'ai été faire mes satge dans une boite qui utilisai une plateforme linux et possédaient une équipe de programmeur afin de l'optimiser et de la faire évoluer, he ben ils sont passé a une plateforme windows et préfèrent payer les royalities de microsoft que de déveloper leur propre applications.

    Concret ??

    Je n'ai pas la science infuse mais je pense etre logique quand même et je sais par expérience que ce qui est très facil en informatique pour moi ne l'est pas toujours pour les autres alors faut pas non plus pousser bobone dans les orties et dire "Pas assez d'argument, ça ne tient pas la route"

    Pour passer directement au morbide les rumeurs comme quoi on brulai les juifs en 40-45 on en a pas vraiment tennu compte : pas assez concret. D'un autre coté a force de chercher des choses concrètes les américain sont encore en train de chercher les ogives que sadam a du cacher dans un coin ( en vain surement ).

    Bref faut parfois relativiser. Tout ne fonctionne pas toujours avec des 1 et des 0
    Helyopses, 22 Septembre 2004
    #57
  18. Offline
    theodorus ex membre
    Les signatures sont sûres (enfin je cherche toujours de quoi tromper un système pareil mais je n'ai pas encore toruvé quoi que ce soit de convaincant.) Les gens ne savent pas ce que c'est? On peut toujours intégrer au système de package, par exemple. Mais là on parle de la connerie des gens, la sécurité reste là pour ceux qui ont pris la peine de lire le manuel.

    C'est peut-être valable... pour les programmeurs de grands logiciels propriétaires! Les logiciels libres actuels n'ont génralement aucune contrainte de temps, et encore moins au détriment de la qualité. Quand à la supériorité d'un pirate moyen sur un programmeur moyen dans le domaine de la sécurité, je ne vois pas comment tu arrives à cette conclusion. Si un pirate a l'envie de s'intéresser au domaine, pourquoi un programmeur ne le ferait-il pas? Ils ont tous les deux intérêt à s'y connaître, l'un pour construire quelque chose de solide et l'autre pour cracker. Aucun des deux n'est plus intelligent que l'autre, jusqu'à preuve du contraire, donc je ne vois pas la différence en général.
    Maintenant, il est vrai que le niveau minimum pour pouvoir coder un programme baisse de plus en plus (Java, Python, bibliothèques à tout faire, ...), mais est-ce qu'on peut toujours appeler un codeur un programmeur? Je ne crois pas. Faire du code c'est facile, programmer, non. Et puis rien n'empèche un pirate d'avoir un boulot de programmeur la journée, au contraire.

    Ooh, impressionant. Tu croyais que je ne connaissait pas l'assembleur i386? Bon, je ne vois pas pourquoi tu prends un programme DOS, d'abord, ça ne fait que compliquer les choses (exprès?) Ensuite, il passe son temps à change le mode vidéo, afficher du texte et à faire un tas d'intsructions inutiles. La prise, conversion et l'affichage du caractère ne prennent qu'une petite partie du code (puisque tu as l'air de connaître l'assembleur je suppose qu'il est inutile d'en rajouter.) Et oui, j'imagine très bien très centaines de miliers de lignes pour un programme (minuscule), il suffit d'observer les maniputlations de la pile et les jumps pour voir les formes d'organistation promitives du programme. Il y a aussi des désassembleurs qui essaient de reconstituer un code en C à partir de l'assembleur et ca aide beaucoup. Tu peux (dois) aussi débugger ton programme pour le comprendre. Rien de surhumain.

    Le OO c'est le Orienté Objet, ce sont des langages comme le C++, Delphi, Java,...[/quote]
    Je peux faire de l'orienté objet dans n'importe quel langage procédural comme le C. Rien ne n'empêche de faire des structures avec des pointeurs sur des fonctions et d'autres variables en guise de classes (c'est d'ailleurs un peu ce que le C++ fait), et roulez jeunesse. L'orienté objet est un style de programmation.
    theodorus, 22 Septembre 2004
    #58
  19. Offline
    theodorus ex membre
    Tu manques de détails dans ton explication, je ne vois pas le rapport en développer une application, et optimiser et faire évoluer un OS (ce que d'autres gens font déjà suffisament -?-)

    On peut utiliser des systèmes GNU/Linux clef en mains, il me semble.
    theodorus, 22 Septembre 2004
    #59
  20. Offline
    La Poubelle Elite
    Correction, UNIX a été crée pour un laboratoire et distribué en open source UNIXEMENT aux labos et aux unifs AMERICAINES.

    Après c'est devenu payant.

    Le risque a prendre avec Linux et qu'ils ont continué à récupérer, comme Microsoft :p , des technologies brevetés par son homologue UNIX.
    La Poubelle, 22 Septembre 2004
    #60
Statut de la discussion:
Fermée.