Salut Jordan !
J'ai pas l'impression que beaucoup de monde parle des virus qui semblent s'en prendre méchamment aux téléphones chinois sous Android.
Sachant qu'Android est un dérivé de la quenelle Linux, on est alors tenté de dire « ouaip, ben sous linux aussi, y a des virus. » Apparemment, ça envoie des données personnelles et passe des coups de fil à l'insu du plein gré de l'utilisateur, ce qui, tu l'avoueras, n'est pas très sympa à l'égard de l'utilisateur.
Je me pose deux^Wtrois questions :
1/ DLFP se tait-il, de peur de faire de la mauvaise pub de linux ?
1bis/ Ai-je raté un autre journal qui parlait de ça ?
2/ La sécurité des unices, en fait, c'est de la merde, non ?!
Développement du point^troll 2/
On dit souvent (et moi aussi) « c'est vachement sûr, et si un utilisateur a un virus, ça n'impacte pas les autres. » Et c'est quand même un discours de BOFH, ça. Je suis seul à avoir un compte sur ma machine, et si j'ai un virus dessus, ça touche 100% des utilisateurs de ma machine ; et c'est exactement le cas de ces téléphones. Alors, certes, l'admin système, s'il y en a un, il dit « LOL, » il fait rm /home/user-vérolé && mkdir /home/user-vérolé puis le problème est réglé, mais pense-t-on à l'utilisateur ?
On fait l'apologie de la sécurité globale du système, mais il est important de se rappeler que la sécurité locale (à l'échelle de l'utilisateur) est tout de même standard (donc nulle). Et ça, ça pue (mais on n'y peut pas grand chose).
Alors, les moules, vous en pensez quoi de cette affaire ?
Plus d'infos :
http://www.google.com/search?q=android+china+virus
http://www.reuters.com/article/idUSTRE6BT4HZ20101230
# Mauvais admin, changer admin.
Posté par Grunt . Évalué à 10.
rm: impossible de supprimer « /home/user-vérolé/ »: est un dossier
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Mauvais admin, changer admin.
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 10.
alias rm='rm -rf'
dans son .zshrc, car c'est un vrai BOFH.[^] # Re: Mauvais admin, changer admin.
Posté par JGO . Évalué à 4.
Il avait qu'a pas avoir des binaires exécutables, s'il programme il a qu'à recompiler.
[^] # Re: Mauvais admin, changer admin.
Posté par Grunt . Évalué à 7.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Mauvais admin, changer admin.
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 10.
Moi non plus, car c'est mal. Je n'ai jamais fait de rootkit uniquement en utilisant les fichiers de conf du compte d'un ami. Et il n'a jamais su que c'était moi, vu que c'était pas moi, je suis innocent, je l'ai dit. Je n'avais pas non plus modifié le code source des logiciels qu'il développait pour recharger le root-kit au cas où.
[^] # Re: Mauvais admin, changer admin.
Posté par JGO . Évalué à 0.
[^] # Re: Mauvais admin, changer admin.
Posté par Grunt . Évalué à 2.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Mauvais admin, changer admin.
Posté par JGO . Évalué à 2.
# Je cite Reuters
Posté par Diagonale de Cantor (site web personnel) . Évalué à 10.
Donc oui, si on installe des logiciel à partir de dépot dans lesquelles on a pas confiance, on a toutes les chances de se choper la vérole, et ce quelque soit la sécurité du système.
Si je te passes un paquet « pigeon.deb », tu l'installes ?
Un virus, c'est quand le programme malvaillant se répand de lui même. Là c'est pas un virus, c'est juste un programme malvaillant.
[^] # Re: Je cite Reuters
Posté par Diagonale de Cantor (site web personnel) . Évalué à 7.
Le fabricant d'antivirus précise que Geinimi se diffuse uniquement via certaines applications – des jeux pour la plupart - disponibles sur une plateforme de vente d’applications chinoise. En revanche, les versions disponibles sur Android Market, la plateforme officielle gérée par Google aux 200.000 applications, seraient épargnées par ce grand méchant virus.
http://blog.lefigaro.fr/crequy/2010/12/geinimi-un-virus-nouv(...)
Donc oui, c'est la faute du dépot, pas du système Android.
[^] # Re: Je cite Reuters
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à -5.
Faudra quand même sans doute revoir l'argument « c'est linux, donc il n'y a pas de virus ! » qui fait croire un peu facilement que tout est garanti sûr.
Car bon, vu le déploiement du cheval de troie, j'imagine qu'on peut facilement dumper un vrai virus ou un vers qui se propage, même si plus difficilement que sous windows. Vu que le logiciel peut téléphoner, il peut très bien s'envoyer à tes contacts, non ?
Et si tu m'envoies pigeon.deb, je ne l'ouvrirai probablement pas. Mais si je le forwarde à ta voisine de pallier, en rajoutant « mdr, trop drôle ! Ce que c'est idiot un pigeon ! » je suis certain que ça va marcher.
[^] # Re: Je cite Reuters
Posté par 2PetitsVerres . Évalué à 9.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Je cite Reuters
Posté par Diagonale de Cantor (site web personnel) . Évalué à 4.
Sur tous les Unix, ce code lancer en root est malveillant. Et faire un paquet qui le lance au démarrage est trivial !
#!/bin/sh
echo "I 4m 4 H4X3R"
rm -rvf /
De même si tu tapes avec un marteau sur un machine Linux, ben ça marche plus... Mais ça n'a rien à voir avec des virus.
Un virus, c'est quand le programme a en plus une fonction de contamination d'ordinateur à ordinateur (ce qui n'est pas le cas ici).
[^] # Re: Je cite Reuters
Posté par Florence Birée (site web personnel) . Évalué à 5.
Sur mon GNU/Linux, faut faire un :
#!/bin/sh
echo "I 4m 4 H4X3R"
rm -rvf --no-preserve-root /
(sinon, un rm -rvf /*, ça marche aussi)
Dois-je en conclure ma Debian n'est pas un Unix ? (en même temps, GNU's Not Unix... j'aurais dû m'en douter !)
[^] # Re: Je cite Reuters
Posté par neologix . Évalué à 7.
Non, dans ce cas c'est un ver.
Un virus se contente d'infecter d'autres fichiers.
Faudra quand même sans doute revoir l'argument « c'est linux, donc il n'y a pas de virus ! » qui fait croire un peu facilement que tout est garanti sûr.
Jette un oeil aux travaux de Cohen par exemple, ça fait environ 30 ans qu'on a des résultats théoriques sur les virus, en gros tu peux en écrire pour n'importe quelle machine de Turing, et la détection est un problème indécidable.
Il n'y a qu'un idiot pour prétendre que Linux est immunisé aux virus et autres saloperies, par contre il est vrai qu'il y a moins de risques d'exploits, virus, vers, etc. Après si l'utilisateur exécute tout ce qui circule, et bien il ne faut pas pleurer...
[^] # Re: Je cite Reuters
Posté par Lucky Seven . Évalué à -1.
Le seul virus qui n'a pas de fonction de contamination est le virus belge : http://www.centrale3d.com/IMG/jpg/Virus_belge.jpg
[^] # Re: Je cite Reuters
Posté par tiot (site web personnel) . Évalué à 5.
Ou sinon il faut le faire à la Apple : « Mac OS X n'est pas victime des virus PC. » [http://www.apple.com/fr/macosx/security/]
[^] # Re: Je cite Reuters
Posté par zebra3 . Évalué à 0.
Ça dépend, tu parles de quelle distribution ?
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Je cite Reuters
Posté par totof2000 . Évalué à 2.
Non, ça c'est un ver.
Un virus a une fonction de contamination, mais en local.
[^] # Re: Je cite Reuters
Posté par fearan . Évalué à 8.
Si tata Trino décide d'elle même d'installer le virus je peux rien pour elle.
Si demain je fais une campagne dans toutes les boites au lettres pour dire que mettre du sucre dans le réservoir fait faire des bruits super marrant au moteur, et que des cons décident de le faire, je peux rien pour eux.
Faut arrêter avec les connerie. Utiliser un outils, surtout s'il est complexe ça s'apprend.
Et je crois justement qu'on explique que c'est parce qu'on a le système de dépôt des distributions ou le code source si on compile soi même qu'on est protégé. Si on décide de s'affranchir de la protection (oui c'est possible), il est évident qu'il faut redoubler d'attention; et excuse moi, mais l'ajout d'un dépôt chinois fait parti de ce que je cataloguerai comme une boulette.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Je cite Reuters
Posté par Grunt . Évalué à 4.
À condition de lire le code source dans le deuxième cas.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Je cite Reuters
Posté par jfmartin . Évalué à 0.
Pour la version source, tu vérifie le checksum et l'éventuel signature gpg du tarball.
[^] # Re: Je cite Reuters
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 2.
Euh, un virus est justement une appli— ou plutôt un bout de code d'une appli —qui a besoin d'une action utilisateur pour se dupliquer. Traditionnellement, l'action, c'est « lancer un logiciel infecté. » Mais tu avais déjà il y a 20 ans des variantes à base d'« insérer une disquette infectée. »
C'est cette action de l'utilisateur qui déclenche la réplication du virus, à la différence d'un vers qui va utiliser des failles logicielles pour s'installer tout seul, et se propager sans que l'utilisateur le sache (de préférence).
[^] # Re: Je cite Reuters
Posté par fearan . Évalué à 3.
Quand le système demande le mot de passe root, a moins d'avoir un UAC complètement stupide, tu es généralement au courant que tu es en train de faire un truc qui nécessite des droits admins.
Quant à ceux qui sur leur ordinateurs font tout sans cloisonner tant pis pour eux.
Sur mon pc actuel (où je suis le seul utilisateur) j'ai 3 comptes
1 pour l'utilisation standard
1 pour ce que les gens n'ont pas forcément besoin de savoir (légèrement chiffré) C'est le coté travail de la bête
1 pour l'exécutions de trucs d'origine plus ou moins douteuse.
Ce cloisonnement, il est faisable par tous!!!
Ensuite les extra comme monter le /home et /tmp en noexec c'est juste un plus (oui le user qui teste des trucs a la con, y a une partoche montée manuellement ou un remount du home)
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Je cite Reuters
Posté par totof2000 . Évalué à 4.
Un virus se propage en local à l'insu de l'utilisateur, et reste caché le plus longtemps possible.
Un vers se répand d'une machine à une autre via réseau. L'utilisation d'une faille n'est qu'un moyen.
[^] # Re: Je cite Reuters
Posté par zebra3 . Évalué à 4.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Je cite Reuters
Posté par grid . Évalué à 0.
Et donc, ta proposition inverse est "si on a confiance dans les dépots, tu as moins de chance de te faire véroler ?"
Désolé, mais c'est un argument très fallacieux.
- Sur quoi tu bases ta confiance ?
- Quels sont les dépôts Androïd qui méritent notre confiance ?
»»» Si je te passes un paquet « pigeon.deb », tu l'installes ?
Si j'ai confiance en toi oui. C'est mal ?
De plus, un virus peut avoir plus vecteur de contamination, certains autonomes, d'autres pas.
[^] # Re: Je cite Reuters
Posté par Diagonale de Cantor (site web personnel) . Évalué à 2.
Ben oui, j'ai plus confiance en un paquet téléchargé sur le dépôt officiel debian ou sur le site officiel d'un projet sérieux (OOo, Firefox...) qu'un paquet récupérer sur un dépôt du Parti Communiste Chinois. C'est grave ?
Après pourquoi j'ai confiance en Debian ? La transparence, le nombre de contributeur bénévole venant de monde différent (et pas d'une seul entreprise), la sécurité des dépôts.
Après je suis d'accords, ce n'est pas garanti à 100%, mais en pratique pour l'instant ça reste correct.
[^] # Re: Je cite Reuters
Posté par grid . Évalué à 2.
[^] # Re: Je cite Reuters
Posté par lolop (site web personnel) . Évalué à 2.
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
[^] # Re: Je cite Reuters
Posté par grid . Évalué à 3.
Je préférerais une politique plus strict et plus automatique. Un système de signature permettant d'identifier qui a fait quoi. des ACL permettant de connaître, et d'interdire l'accès à certaines informations et des audits de code.
La sécurité est à ce prix, et la confiance n'a rien à voir.
Note que je ne connais pas Androïd, peux-être que cela existe déjà.
[^] # Re: Je cite Reuters
Posté par Diagonale de Cantor (site web personnel) . Évalué à 2.
Ce que j'essaye de t'expliquer, c'est que le niveau de confiance n'a rien à voir avec la probabilité de te faire viroler.
Pour toi la probabilité de te faire vérolé est la même entre une iso openBSD téléchargé sur le site officiel et une version d'openBSD, sans le code source, modifié et distribuée par les Chinois ?
Il y a un juste milieu entre dire que la confiance fait tout (ce que je n'ai jamais dit) et la confiance ne sert à rien en terme de sécurité (ce que tu es en train de dire).
Après c'est sûr, la confiance est dur à gagner (transparence, possibilité de recompiler...).
[^] # Re: Je cite Reuters
Posté par pasBill pasGates . Évalué à 10.
[^] # Re: Je cite Reuters
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 2.
C'est pas OpenBSD, mais c'est pas mal non plus : http://forums.unrealircd.com/viewtopic.php?t=6562
La probabilité n'est pas la même, mais je suis certain que pas mal de gens essayent de hacker les serveurs d'OpenBSD et ceux d'Android. Surtout Android, d'ailleurs, vu le nombre d'utilisateurs plus conséquent, et moins qualifiés.
[^] # Re: Je cite Reuters
Posté par phoenix (site web personnel) . Évalué à 6.
Oui. Il faut lui demander les sources.
[^] # Re: Je cite Reuters
Posté par lolop (site web personnel) . Évalué à 6.
Ben, si je suis colombophile, oui.
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
[^] # Re: Je cite Reuters
Posté par Maclag . Évalué à 10.
Par contre, hotbabe.deb, ça a eu un certain succès...
[^] # Re: Je cite Reuters
Posté par Gniarf . Évalué à 2.
[^] # Re: Je cite Reuters
Posté par JGO . Évalué à 2.
La remarque que tu commentes se base sue le fait que :
1) il y a plus d'hommes que de femmes dans le libre ( http://lwn.net/Articles/417952/ )
2) connaissant le public, une application (potentiellement vérolée) a plus de chances d'être installée si elle est nommée « hot-babe.deb » et implémente un moniteur système que si elle s'appelle « pigeon.deb » et implémente un système de suivi de pigeons voyageurs.
Il est vrai que faire des blagues pourries qui mettent les femmes mal à l'aise contribuent à les éloigner du libre. L'article de lwn commente le sujet : il y a peu de femmes qui viennent aux conférences sur le libre, si une femme et seule dans une salle pleine de jeunes frustrés et que l'orateur fait ce genre de blagues, elle sera mal à l'aise et ne reviendra plus. En revanche, là, je ne vois pas en quoi la remarque que le paquet hot-babe a eu du succès pourrait mettre mal à l'aise une femme lisant linuxfr et l'inciter à ne plus revenir.
[^] # Re: Je cite Reuters
Posté par Juke (site web personnel) . Évalué à 4.
[^] # Re: Je cite Reuters
Posté par yellowiscool . Évalué à 0.
Envoyé depuis mon lapin.
[^] # Re: Je cite Reuters
Posté par daimrod . Évalué à 2.
[^] # Re: Je cite Reuters
Posté par Gniarf . Évalué à 2.
[^] # Re: Je cite Reuters
Posté par bubar🦥 (Mastodon) . Évalué à 2.
bullshit
femmes connaissent hommes
hommes connaissent femmes
en dehors de ça, c'est bullshit (ou alors femme pas connaitre homme)
> L'article de lwn commente le sujet : il y a peu de femmes qui viennent aux conférences sur le libre, si une femme est seule dans une salle pleine (...)
autre chose, rien à voir. Phénomène de groupe, avec sous groupe minoritaire, différenciable facilement, et impactant naturellement l'autre groupe. On peux prendre n'importe quel autre exemple, l'armée en est un bon, assez proche, et présentant des caractéristiques similaires (à raisons différentes, certes) : l'intégration d'une femme dans un groupe d'hommes militaires n'est pas facile et demande un effort de compréhension, et d'attitude, de tout le monde. Mais ceci n'a rien à voir avec la première phrase : il s'agit là d'être dans un groupe. Et non d'être.
[^] # Re: Je cite Reuters
Posté par bubar🦥 (Mastodon) . Évalué à 2.
pffu ça y est j'ai mal au crane ;-) moikikroyaikonetaitpareil
[^] # Re: Je cite Reuters
Posté par Gniarf . Évalué à 4.
[^] # Re: Je cite Reuters
Posté par JGO . Évalué à 2.
« Connaitre les hommes » ne veut pas dire supporter leurs vannes débiles. J'ai beau connaitre les défauts des gens autour de moi, quand ils font des blagues pourries sur mon apparence physique ou mon appartenance à un groupe, je me barre. (Et ça arrive, beaucoup moins souvent quand on prend du grade, mais ça implique de supporter pendant plusieurs années et tout le monde n'a pas envie.)
> autre chose, rien à voir.
> Phénomène de groupe, avec sous groupe minoritaire,
Ben oui c'est évident que c'est une histoire de groupes minoritaires. Sauf qu'il n'y a pas de raison profonde pour que l'informatique libre soit à ce point masculinisée, et que quand ton sous-groupe est très minoritaire et très régulièrement vanné, c'est désagréable. (Le cas de l'armée est différent.)
Dans mon domaine (pas l'info), il existe des groupes de soutien de femmes lors des conférences, j'imagine que ça aide à supporter la pression de quitter la profession.
[^] # Re: Je cite Reuters
Posté par fearan . Évalué à 7.
> Sauf qu'il n'y a pas de raison profonde pour que l'informatique libre soit à ce point masculinisée,
En même temps rien ne les empêchent de participer. Sur les forums infos je vois bien plus de vannes sur les geek que des vannes sur les femmes; si tous les geeks se barraient à la première vanne sur eux, y'aurait plus grand monde pour faire avancer les choses.
Si on ne peut plus faire de blague sur des traits imaginaires d'autre groupes, on va en virer un tas
* plus de blague belge
* plus de blague sur les geek
* plus de blague sur les centraliens,normaliens, polytechniciens, pont et chausséessens...
* plus de blague sur la différence entre un poisson et un avocat
* plus de blague (assez nuls en général) sur des personne de nationalité différentes se retrouvant dans des situation plus ou moins absurde (piscine, avions...)
* plus ce vannes sur les mecs/nanas
* plus de vannes sur les curés/rabins/imams (bon alors c'est l'histoire de 3 hommes de religions différentes qui parlent de la répartition de la collecte de fond de leur organisme religieux...)
...
enfin bref la liste est très longue.
Sur linuxFR, les vannes sexistes surviennent surtout lorsque quelqu'un la ramène pour dire que puisqu'on est des geek on fait pleins de vannes sexistes (ce qui est déjà un joli préjugé qui demande réparation!!!). Or n'importe qui qui fréquente la tribune saurait que c'est les le dégarnis qui s'en prend pleins la gueule :D (et les canard mais ça c'est normal \_o< *Coin* )
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Je cite Reuters
Posté par JGO . Évalué à 2.
La définition est floue, le geek c'est toujours l'autre.
> elle ne se font pas plus vanner que les autres;
Dans un contexte amical ou au travail, quand on connait les personnes et on sait jusqu'où on peut aller, c'est une chose. Dans une salle bondée d'inconnus qui font des vannes à deux balles, ça peut saouler.
Je ne dis pas de plus faire de vannes, je dis qu'il faut avoir conscience des conséquences. Si je vanne un centralien/normalien/*, ben rien ne se passe, il sera chef de toute façon, il en a rien à fiche. Quand je vanne une étudiante dans une conf, elle se dit que si ça va être comme ça pendant 40 ans, autant choisir un autre métier.
Et si tu relis les commentaires plus haut, en fait je dis qu'il n'y a pas de problème, la vanne initiale ne me choquait pas du tout. Quelqu'un d'autre disait que c'était choquant. Moi je parle des conférences.
[^] # Re: Je cite Reuters
Posté par Moogle . Évalué à 4.
Pas vraiment. Le geek a même tendance à devenir "hype" et beaucoup s'en revendique même sans vraiment l'être. En tout cas sur un forum d'info, je doute qu'on trouve beaucoup de personnes qui pensent ne pas être geek.
[^] # Re: Je cite Reuters
Posté par totof2000 . Évalué à 6.
[^] # Re: Je cite Reuters
Posté par pasScott pasForstall . Évalué à 2.
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Je cite Reuters
Posté par zebra3 . Évalué à 3.
Ben moi, j'en rajoute. Ça fait marrer tout le monde dont moi (comme ça j'en profite), et on change vite fait de sujet.
Par contre, à te barrer dès qu'on te sort une blague sur toi te fais vite passer pour un associal et incite les autres à continuer, voire jusqu'à dire du mal et ce dans ton dos.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Je cite Reuters
Posté par téthis . Évalué à 6.
Ça arrivera très rapidement parce qu'il leur tourne le dos en se barrant. Sauf si il s'en va en marche arrière, dans ce cas ça risque d'être une situation très étrange.
The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein
[^] # Re: Je cite Reuters
Posté par JGO . Évalué à 2.
C'est bien, c'est aussi une attitude possible qui concourt au but recherché. Certains disent que cette attitude conduit à banaliser les blagues sexistes/racistes/quoi que se soit dont tu es victime/ et à pérenniser les jugements de valeur qu'elles impliquent. Moi je préfère faire sentir qu'il y a des choses qu'il ne fait pas faire, à propos de moi ou à propos des autres.
[^] # Re: Je cite Reuters
Posté par zebra3 . Évalué à 2.
Assimiler des blagues à des jugements de valeur ancrés, je trouve c'est un peu rapide. Si on est sur un ton léger, j'avoue que je peux oublier mes principes et placer un bon mot, ce qui ne m'empêche pas d'en avoir le reste du temps. Et je n'ai jamais eu de problèmes avec quiconque malgré ça.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Je cite Reuters
Posté par j_m . Évalué à 3.
Ce genre de contacts est anxiogène. En maintenant une certaine distance avec ces gens là on peut garder des rapport cordiaux sans se retrouver dans des situations désagréables. Que je leur paraisse distant ne me dérange pas.
Mais faire semblant d'être amis en participant aux mauvaises blagues, c'est pas du tout la façon dont je conçois une relation profitable.
[^] # Re: Je cite Reuters
Posté par zebra3 . Évalué à 5.
On peut parfaitement s'amuser des mêmes blagues sans être proches, ça fait aussi partie de la cordialité.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Je cite Reuters
Posté par bubar🦥 (Mastodon) . Évalué à 2.
Quant à son commentaire, il est probable (?) qu'il soit à double sens, et un peu vrai dans les deux cas, premier et humour.
[^] # Re: Je cite Reuters
Posté par Elfir3 . Évalué à 4.
[^] # Re: Je cite Reuters
Posté par eastwind☯ . Évalué à 2.
[^] # Re: Je cite Reuters
Posté par JGO . Évalué à 2.
[^] # Re: Je cite Reuters
Posté par eastwind☯ . Évalué à 1.
je suis pile poil dedans (:))
Haaaa les Bellaminettes , ca fait du bieeen
[^] # Re: Je cite Reuters
Posté par zebra3 . Évalué à 2.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Je cite Reuters
Posté par windu.2b . Évalué à 10.
Si tu rajoutes qu'il s'agit de l'implémentation de la RFC 1149, ça peut passer...
# Google-opérateurs-utilisateurs
Posté par Altor . Évalué à 4.
Un autre problème est bien sûr la politique des opérateurs qui restreignent énormément les possibilités de mise à jour sur "leurs" terminal.
Et enfin l'interface chaise-machine. Les gens installent n'importe quoi sur leurs mobiles sans lire les conditions d'utilisation grâce au formatage dû à un certain système ou l’installation se passe à la vitesse de la lumière : suivant, suivant, j'accepte (sans lire, car le jargon est incompréhensible), suivant, ok, terminé.
My 2 cents
[^] # Re: Google-opérateurs-utilisateurs
Posté par chmduquesne . Évalué à 10.
Cette partie de ton commentaire me semble techniquement fausse et lourde de raccourcis. Ayant développé sous Android, je me permet de corriger.
Je vais passer rapidement sur l'affirmation "Google vend les données personnelles des utilisateurs", car je ne dispose pas de preuves de leur honnêteté. D'après leurs conditions générales d'utilisation, s'ils utilisent bien ces données personnelles pour cibler leurs pubs, ils ne sont pas sensés commercialiser ces données.
C'est surtout la deuxième phrase qui me fait tiquer: "Du coup, sur Android ils sont obligés de laisser un accès à ces données à certaines applications". L'article dit: "they transmit information on the device's location, its hardware ID and SIM card back to the remote computer". Le fait que ces informations soient disponibles aux applications n'a rien à voir avec la politique de Google vis à vis des données personnelles, il a plus à voir avec le bon fonctionnement de celles-ci. Si une appli a besoin de la position GPS du téléphone, il faut bien que l'OS le permette. Cette application fait ensuite ce qu'elle veut de cette position GPS et malheureusement ici, elle en fait une utilisation malveillante. Mais encore une fois, ça n'a rien à voir avec les conditions d'utilisation de Google.
[^] # Re: Google-opérateurs-utilisateurs
Posté par Jérôme (site web personnel) . Évalué à 2.
Après, il est clair qu'à l'heure actuelle, le "Android Market" est très mal géré par Google : c'est un peu la foire. Il n'y a quasiment pas de "surveillance" ni de suivi de ce coté, et nombreuses sont les applications qui ne sont que applications piratés d'applications légitimes. Et c'est sur ce genre d'applications, souvent populaires, que que des virus sont "greffés".
[^] # Re: Google-opérateurs-utilisateurs
Posté par Altor . Évalué à 1.
Lorsque je parle de vendre des informations, je voulais dire qu'ils vendent des prestations basées sur nos données personnelles. En effet ils ne vendent pas directement la liste de leurs utilisateurs, leurs sms …
Ce qu'ils font, et ce que je soupçonne de faire les applications basées sur les publicités et qui établissent des profils pour mieux cibler la clientèle, c'est d’émettre ces données. Or, comme l'émission de ces données fait partie de la politique de google, ce n'est donc pas forcement dans leur avantage de fermer le système.
Par exemple, un jeu ne devrait pas pouvoir envoyer des données sur le net (ou très peu pour publier le score).
De même, tout ce qui permet d'identifier l'utilisateur (hardware ID and SIM card) devrait être confidentiel.
[^] # Re: Google-opérateurs-utilisateurs
Posté par chmduquesne . Évalué à 4.
Celle-ci permet de contrôler son téléphone via jabber: tu en fais un de tes contacts (tu lui crées un compte au préalable) et tu peux, en discutant avec, le commander à distance (envoi/récupération de sms, position gps, état de la batterie etc...). C'est super utile de pouvoir agir à distance sur le téléphone, mais quand tu réfléchis cette appli agit de la même manière qu'un troyen. Quelques modifications suffiraient à la camoufler pour donner un accès presque total et invisible au téléphone à quelqu'un de malveillant. Dans la même veine, l'accès à la carte SIM et au hardware ID peuvent être utile si on vole le téléphone (par exemple HTC permet sur son site de rendre inutilisables les téléphones déclarés volés, je pense qu'il est possible qu'ils utilisent cela).
Que veux-tu faire vis à vis de cela? Si tu empêches de le faire, mon application n'existe plus. Si au contraire tu le permets, tu ouvres la porte aux programmes malveillants. Google choisit d'ouvrir plus de possibilités. Personnellement je ne m'en plains pas, je préfère plus de liberté même si cela implique plus de risques. Aux utilisateurs de ne pas installer n'importe quoi et aux développeurs de gagner leur confiance.
[^] # Re: Google-opérateurs-utilisateurs
Posté par Altor . Évalué à 1.
Le mieux, amha, serait même de créer un utilisateur, avec des droits restreints, par catégorie et il n'y a que lui qui puisse installer sa catégorie. Comme ça on a pas besoin des droits root pour installer et il ne risque pas d'y avoir une "escalade" des privilèges à l’installation.
Après, c'est sûr que ton application serait dans la catégorie contrôle total du téléphone et aurait très peu de restrictions.
[^] # Re: Google-opérateurs-utilisateurs
Posté par zebra3 . Évalué à 2.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Google-opérateurs-utilisateurs
Posté par tiot (site web personnel) . Évalué à 3.
[^] # Re: Google-opérateurs-utilisateurs
Posté par Gniarf . Évalué à 4.
[^] # Re: Google-opérateurs-utilisateurs
Posté par chmduquesne . Évalué à 3.
Toi, tu voudrais imposer en plus des catégories dont les droits sont restreints par défaut. À première vue, ça limite aussi: Pour reprendre ton exemple, si je fais un jeu multi-joueur basé sur un échange de sms, j'ai plus le droit de le classer dans la catégorie "jeux", c'est dommage. Mais l'idée me plait, je me permet de la décliner: une possibilité serait que Google ajoute une propriété obligatoire dans le Manifest.xml (genre applicationType) et que le processus d'installation notifie l'utilisateur si une application d'une certaine catégorie utilise des permissions suspectes, avec un pop-up du style: "Cette application utilise des permissions peu habituelles pour sa catégorie. Il vous est recommandé d'être vigilant à son égard. Annuler/Continuer".
[^] # Re: Google-opérateurs-utilisateurs
Posté par Altor . Évalué à 1.
Par contre, je pense que si il multiplication des permissions suspectes les gens se contenteront de cliquer sur OK d'où l'idée d'un signal émis vers google pour qu'il puisse valider ou non le système.
[^] # Re:Google-opérateurs-utilisateurs
Posté par daimrod . Évalué à 2.
Et hop tout le monde hurle, don't be evil qu'ils disaient…
# PEBKAC?
Posté par StreakyCobra . Évalué à 4.
[^] # Re: PEBKAC?
Posté par pasBill pasGates . Évalué à 10.
# Quelques idées sur les virus Android
Posté par ashram4 . Évalué à 10.
http://developer.android.com/reference/android/Manifest.perm(...)
Selon le besoin du développeur on peut penser que certaines permission sont nécessaires comme accéder à internet pour une application de streaming. Le problème c'est que les applications que je vois sous Android demande systématiquement plus de permissions que ce qui parais nécessaire, le carnet d'adresse est très souvent requis alors que je ne vois pas l'intérêt pour un petit jeux. Comme personne ne regarde les permissions à l'installation il y a un risque d'application malicieuse. Les applications avec accès au carnet d'adresse et internet sont légions déjà la n'importe quel développeur malhonnête peut récupérer des informations à l'insu de l'utilisateur.
Toutes les permissions listées sur la page Android ne sont pas disponible au niveau applicatif sous Android, le droit d'installer des packages ou d'accéder au framebuffer ne sont disponible qu'au système mais pas à l'utilisateur. Sur la seule tablette chinoise que j'ai utilisé "l'Apad" l'utilisateur est "Root" donc n'importe quel programme peut demander n'importe quel permission et là on peut craindre le pire. C'est peut être ce qui arrive.
Si j'ai un conseil à donner avec Android c'est d'avoir un système sur lequel on est pas root et regarder si les applications que vous installez ne demande pas de permission extravagante.
Bien sûr il reste la possibilité d'un virus qui contourne les permissions même sur un système non rooté et sans déclarer de permission douteuse mais c'est quand même plus complexe qu'écrire un petit programme en java qui fait ce qu'il veut sur le téléphone.
[^] # Re: Quelques idées sur les virus Android
Posté par thamieu . Évalué à 3.
Comme tu le dis toi-même, les utilisateurs sont informés et ont la responsabilité d'accorder ou non l'accès à diverses informations. Si on demande à l'utilisateur d'accéder à la liste de ses contacts, il devrait se douter que la liste de ses contacts sera utilisée. La récupération des informations n'a donc dans le cas présent pas lieu à l'insu de l'utilisateur. S'il choisi d'autoriser sans lire, il n'a certainement pas conscience de l'impact de ses choix, ou s'en contre-fout auquel cas il ne peut s'en prendre qu'à lui-même.
Faire n'importe quoi sans tenir compte des avertissements, ça me rappelle quelqu'un, dont on dirait que les protestations à l'encontre de sa politique ont lieu à son insu : "j'écoute, mais j'tiens pas compte".
[^] # Re: Quelques idées sur les virus Android
Posté par Alex . Évalué à 2.
Une appli d'envoi de sms peut avoir légitimement accès à la liste de contacts, mais les dévoilés frauduleusement à une seconde application qui elle, n'a pas les privilèges nécessaires.
De même sous 1.6 (et peut être encore maintenant) il était possible de récupérer des informations par les intents envoyés en broadcast.
# Vivre dans un monde meilleur...
Posté par Defre . Évalué à 1.
À vrai dire je ne peux qu'être d'accord (et comme dit ci-dessus, en choisissant une définition adaptée et erronée de "virus", tout système semble est faillible).
Donc je me demande, avez-vous une idée pour améliorer cette sécurité locale ? Que voudriez-vous à la place ?
(C'est de la curiosité, et aussi pour avoir une vision de ce vers quoi les 'modèles de sécurité' pourraient évoluer).
[^] # Re: Vivre dans un monde meilleur...
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 4.
Dans la mesure où le téléphone n'est pas critique, la solution est « on laisse comme ça. »
La sécurité est toujours au dépend de l'accessibilité. Un système très sûr est relativement facile à concevoir (imposer l'utilisation de langages qui empêche les buffers overflows pour le développement d'application, demander le mot de passe à chaque fois qu'on désire passer un appel ou envoyer un SMS, isoler chaque logiciel et les empêcher de communiquer, demander que tout logiciel installable soit certifié par un organisme autoritaire, chiffrer toutes les données et demander la clef à chaque lecture, etc).
Avec ça, tu réduis *drastiquement* les problèmes. Et le nombre d'utilisateurs aussi. Alors on tranche : tant pis pour la sécurité, et vive l'utilisabilité.
[^] # Re: Vivre dans un monde meilleur...
Posté par El Titi . Évalué à 3.
Ca me parait quand même un peu critique, moins qu'une appli qui piloterait une centrale nucléaire mais quand même.
[^] # Re: Vivre dans un monde meilleur...
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 2.
Si tu penses à ce que je pense, c'est pas une carte bleue, c'est un porte-monnaie électronique. Impossible d'acheter une télévision ou un voiture avec. Je suis certain que la quantité d'argent que tu peux utiliser/charger est limitée. Et ça passe par un contact physique avec un borne, comme du RFID, quoi. T'as pas envie qu'on te vole 10 €, certes, mais ce n'est tout de même pas un système_critique.
[^] # Re: Vivre dans un monde meilleur...
Posté par lolop (site web personnel) . Évalué à 10.
Tout verrouiller, infantiliser l'utilisateur, lui ôter le contrôle de sa machine, choisir ce qu'il a le droit d'utiliser ou de voir...
Ah, zut, c'est déjà breveté par Apple.
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
[^] # Re: Vivre dans un monde meilleur...
Posté par eastwind☯ . Évalué à 1.
# Plus de détails techniques
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 2.
http://www.symantec.com/security_response/writeup.jsp?docid=(...)
Bon, c'est un apparemment cheval de Troie basique, et facile à nettoyer.
"The Trojan arrives on the device as part of repackaged versions of legitimate applications."
Je sais pas comment marche android, mais vu qu'il accède à la liste des contacts, s'il pouvait se forwarder, il aurait un impact bien plus élevé. Peut-on envoyer une « application.jpg.sh » d'un android à un autre, et tromper l'utilisateur en face comme sur outlook dans les années 90 ?
[^] # Re: Plus dedétailstechniques
Posté par moules . Évalué à 3.
[^] # Re: Plus dedétailstechniques
Posté par zebra3 . Évalué à 3.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Plus de détails techniques
Posté par Zarmakuizz (site web personnel) . Évalué à 2.
Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/
# Trop gros
Posté par Moonz . Évalué à 4.
Ben non, même en mono-user tu en as l’utilité : ça signifie que root n’est pas impacté, et que tu n’as pas à réinstaller tout le système si ton compte est vérolé.
À la glorieuse époque de Windows XP où n’importe quel programme pouvait modifier les fichiers systèmes, tu pouvais jamais être sûr d’avoir éliminé un ver même si tu supprimais entièrement le profil d’un utilisateur (en sauvegardant ses document auparavant évidemment) : le virus pouvait très bien s’être caché au fin fond du FS du système, et bonne chance pour le retrouver. Sous Linux, un ver qui infecte mon système, j’ai la garantie qu’il est soit dans home, soit dans /var/spool/{cron,mail} – ça simplifie quand même énormément le travail d’éradication. D’autant plus que ~/.urk32.so est déjà vachement plus suspect que C:\Windows\System32\wrk32.dll.
De plus, ça m’étonnerait vraiment que tu n’aies qu’un user sur ta machine :
$ wc -l /etc/passwd
16 /etc/passwd
Avec dedans des trucs comme hal, dbus, postfix qui ne pourront jamais infecter le système entier ou même mon utilisateur si jamais ils sont vérolés.
[^] # Re: Trop gros
Posté par zecrazytux (site web personnel) . Évalué à 1.
[^] # Re: Trop gros
Posté par nono14 (site web personnel) . Évalué à 1.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: Trop gros
Posté par DLFP est mort . Évalué à 8.
ainsi que le calcium !
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Trop gros
Posté par Infernal Quack (site web personnel) . Évalué à 5.
Sous Windows XP (je ne connais pas les versions supérieures), tu peux te brosser pour savoir à quelle application appartient tel ou tel fichier, surtout dans C:\Windows
L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire
[^] # Re: Trop gros
Posté par DLFP est mort . Évalué à 2.
Bon bref c'est pas la même chose mais il y avait un début d'idée.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Trop gros
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 4.
Si mon compte est compromis, tout mon travail l'est. Pas forcément l'OS, mais après avoir perdu mon /home, le reste du système, j'en ai plus grand chose à faire, hein…
C'est *ça* qui est important…
[^] # Re: Trop gros
Posté par lolop (site web personnel) . Évalué à 5.
Parce que, même sans vérole, le matériel ça peut tomber en panne.
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
[^] # Re: Trop gros
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 2.
Après, je ne connais pas assez Android pour savoir ce qu'on peut sauvegarder ou pas quand on est un utilisateur de base.
[^] # Re: Trop gros
Posté par bubar🦥 (Mastodon) . Évalué à 4.
Blague à part, ce type de matériel met en exergue, me semble t il, le renversement de situation / de politique depuis *nix serveur jusqu'à la popoche de michu. Dans la popoche de michu, ce qui est important c'est pas le système mais les données utilisateurs. En tant que michu ce qui m'importe c'est mon carnet d'adresse, l'historique de mes 'com, et les applis tierces installées. (le reste, audio ou même vidéo posées pour le confort / le fun, m'en fiche, une copie depuis le disque de mon pc et "là voilà")
Ca tombe bien, tout ce qui est important est sauvé dans le grand ternet, sur les nuages de google.
Du coup l'opération de ré-installer son téléphone devient simple et presque sanitaire. On récupère toutes ses données de contacts et d'historiques des appels (mais pas les sms, historiquement dans la sim) et toutes les applis sont ré-installées automatiquement avec le gestionnaire de paquet, vu que la liste (et éventuelles autorisations d'accès) est aussi sauvée chez google.
Comme toute boite l'a revée en fait, et dépensé cher pour ça, google le file, et ça marche impecc.
C'est vrai que cet usage est un exemple frappant du renversement de l'ordre d'importance historique : système et données.
(quant aux "as tu fais une sauvegarde ?" j'aurai tendance à répondre "pas depuis la mise en réseau, je veux pas sauvegardé un rk32.so dans le lot" -> donc spa mal d'avoir un tiers pour ça ...) Et donc, ouhaip les distrib qui proposent un service de sauvegarde de fichier de conf du ~, des carnets d'adresses, de l'historique, et autres petits fichiers à plat mais tellement importants, de manière facile et automatique (click sauve, garantie propre et le reste, ré-install sys : ré-install auto) ça serait... sympa. Quant aux "gros fichiers super méga importants" ben si c'est "super méga important" gère le !
[^] # Re: Trop gros
Posté par tiot (site web personnel) . Évalué à 2.
Bon déjà tu n'es pas obligé d'avoir un compte google, ensuite lorsque tu as un compte tu décides ce qui est synchronisé (contacts, google reader, gmail, picassa web et agenda) et tu peux même désactiver la synchronisation automatique.
Tout ce qui n'est pas explicitement synchronisé est perdu lorsque tu réinstalles le système.
Alors je ne sais pas comment tu as fait mais chez moi je n'ai pas du tout récupérer ma liste d'appels et la liste d'applications installées.
[^] # Re: Trop gros
Posté par bubar🦥 (Mastodon) . Évalué à 2.
Bug dans la liste des contacts : si facebook utiliser sur ce téléphone, et contacts en doublon (même nom prénom, info différentes : une facebook et une autre avec n° de tel, etc...) : pas de remise en place de ces contacts.
La liste des applis : option dans "Confidentialité" et non dans "Comptes et synchro", et uniquement à partir de 2.1 il me semble.
Reste les sms, à tarballer avant ré-install, si nécessaire.
[^] # Re: Trop gros
Posté par khivapia . Évalué à 2.
Est-ce qu'il y a un moyen simple d'exporter ses données (notamment son carnet d'adresse) soi-même vers son PC ou autres, ou bien est-ce que les données doivent essentiellement sortir via google ?
[^] # Re: Trop gros
Posté par tiot (site web personnel) . Évalué à 6.
Après tu peux complètement te passer d'un compte google sur android. En plus il faut savoir que les logiciels googles sont fermés (gmail,android market, gtalk, youtube, google maps, google navigation, google reader etc.) c'est pour cela que cyanogen mod propose un système android libre mais fournit les applications google à part. Le système fonctionnant sans les applis google bien entendu.
[^] # Re: Trop gros
Posté par khivapia . Évalué à 3.
Donc en résumé, même si on est fortement incité à avoir un compte google et à y déposer nombre d'informations personnelles, il est possible de ne pas le faire.
Super ça !
[^] # Re: Trop gros
Posté par bubar🦥 (Mastodon) . Évalué à 3.
Par exemple ne déposer aucune information personnelle sur un compte google, mais quant même vouloir utiliser leur intégration de services. google : la recherche, les cartes, la navigation, et l'annuaire, sont utilisables de manière anonymes.
Parceque Google c'est quant même : tu lui dis, à l'oral : "l'aubrac" et seulement ça, il trouve 'restaurant l'aubrac, rue de la colombette, toulouse". Et il te sors son adresse, son numéro de téléphone, affiche la carte, les photos satellites, les infos traffics, d'un click sur une popup il compose le numéro du restau, et calcule l'itinéraire pour t'y emmener, avec guidage cartes, 3d, et streetview, le tout avec assistance vocale... Et ça, franchement, s'en passer c'est dommage de nos jours ;-)
[^] # Re: Trop gros
Posté par bubar🦥 (Mastodon) . Évalué à 2.
[^] # Re: Trop gros
Posté par moi1392 . Évalué à 2.
sauf s'il y a d'autres homes des autres utilisateurs de la machine. genre tes frères et soeurs, parents, femme, enfants.
Dans ce quand là, c'est quand même un peu mieux d'en avoir perdu que un plutôt que tous.
[^] # Re: Trop gros
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 1.
T'as combien d'utilisateurs humains avec chacun un compte sur ton téléphone Android ?
[^] # Re: Trop gros
Posté par Moonz . Évalué à 4.
Et encore une fois, le multi utilisateur, c’est pas toi, root et ta sœur, mais toi, root, ta sœur, hal, dbus, avahi, postfix, etc… ce qui offre une protection supplémentaire (ça fait plein de point d’entrée qui ne peuvent compromettre ni ton home, ni ton système).
# La sécurité android
Posté par Jetto . Évalué à 1.
Il se peut que certaines des affirmations qui suivent soient faussent car je suis tout débutant dans l'univers d'android.
Déjà il est vrai que les contributions au sujet d'android sont rares. Mais linuxfr est généraliste et il y à déjà quantité de sites spécifiques à android pour discuter de ce sujet particulier.
Ensuite à vu de nez les programmes en question ne sous pas des virus mais des applications malveillantes. Je ne pense pas quelles se dupliquent ou qu'elles dissimulent un autre programme à l'utilisateur.
Si on installe une application depuis l'android market on a une indication des droits que doivent avoir les applications pour fonctionner. Si on la télécharge via une autre source il faut se débrouiller seul pour avoir ces informations (je ne pense pas que ce soit demandé à l'installation lorsque l'on ne passe pas par le market).
On remarque que toute les applications gratuites qui utilisent la publicité, réclament un accès total à internet. Il me semble que cela est exagéré. Dans la mesure où c'est un système de publicité google, les requêtes de publicité devraient être transmises à une application dédier de l'android qui elle a l'accès à internet. (le problème est qu'avec le système de sécurité d'android, 2 applications qui ne se connaissent pas ne peuvent pas échanger d'informations).
Ensuite, il y a le problème du compte Unix qui fait tourner les applications. En gros toutes les applications Java sont lancées dans des machines virtuelles indépendantes et ces machines virtuelles fonctionnent avec uid aléatoires (je ne sais comment sont géré les permissions sur les fichiers dans ces conditions). Pour faire cohabité des applications ou pour qu'elles puissent communiquer il faut qu'elles soit signées par le même développeur.
Pour les application native je ne sais pas comment sont gérés les droits.
[^] # Re: La sécurité android
Posté par houra . Évalué à 1.
pas moi. :)
Il se peut que certaines des affirmations qui suivent soient faussent car je suis tout débutant dans l'univers d'android.
faut voir.
Déjà il est vrai que les contributions au sujet d'android sont rares. Mais linuxfr est généraliste et il y à déjà quantité de sites spécifiques à android pour discuter de ce sujet particulier.
Les contributions sont, semble-t-il inversement proportionnelles aux parts de marchés respectives. :) ainsi, dorénavant, Microsoft dispose de plus de journaux qu'Android. ( Bon, je mets pas la balise troll , hein , c'est juste une boutade ).
Ensuite à vu de nez les programmes en question ne sous pas des virus mais des applications malveillantes. Je ne pense pas quelles se dupliquent ou qu'elles dissimulent un autre programme à l'utilisateur.
Ces applis n'infectent pas d'autres fichiers. Je ne sais pas si elles pourraient le faire, je pense que oui. mais c'est pas le débat.
Un programme qui " contient un autre programme ", c'est juste un programme. faut pas se faire une fausse idée d'une suite de 1 et 0 . L'IHM, c'est la façon dont le programme apparait à l'utilisateur. Le contenu peut faire tout ce que l'userland lui permet de faire, une fois installé.... Il n'a pas besoin de " validations " .
Dans l'absolu, charger un executable qui rajoute des fichiers executables dans toute la hiérarchie à laquelle il a accès, c'est tout à fait faisable. C'est pour ça :
- 1 Que l'utilisateur doit avoir conscience qu'on n'est maître que de ce qu'on connait
- 2 Que l'utilisateur ne doit pas charger d'applis sur des sites sans confiance
- 3 Que l'utilisateur doit sauvegarder le contenu de sa machine .
- 4 que ce qu'écrit Anxioplase est complètement naïf, et hors sujet. :) Marrant pour un sujet à lui non ?
Si on installe une application depuis l'android market on a une indication des droits que doivent avoir les applications pour fonctionner.
Peut-être pour l'android market, non pour Fedora , Debian, Ubuntu, Mandriva, et tous les autres. Inutile en général, sauf si l'éditeur tiers cache ce qu'il fait et refuse qu'on parle de son produit. -> Les "markets" vs les " gestionnaires de paquets ".
Si on la télécharge via une autre source il faut se débrouiller seul pour avoir ces informations (je ne pense pas que ce soit demandé à l'installation lorsque l'on ne passe pas par le market).
Si tu "télécharges une application via une autre source" , alors 2 choses :
1- Tu connaît personnellement dans la vie réelle la personne qui a fait ce machin, tu as vu comment il l'a fait , tu as contrôlé son paquet une fois fini. Alors gogogo, de toutes façons, s'il t'a mis un virus, un grand coup de masse derrière la tête devrait lui faire comprendre facilement qu'il a fait une connerie.
2- Tu ne connaît pas le développeur:
Pourquoi tu veux installer ce paquet ? C'est débile.
On remarque que toute les applications gratuites qui utilisent la publicité, réclament un accès total à internet. Il me semble que cela est exagéré. Dans la mesure où c'est un système de publicité google, les requêtes de publicité devraient être transmises à une application dédier de l'android qui elle a l'accès à internet. (le problème est qu'avec le système de sécurité d'android, 2 applications qui ne se connaissent pas ne peuvent pas échanger d'informations).
A mort la pub.
Ensuite, il y a le problème du compte Unix qui fait tourner les applications. En gros toutes les applications Java sont lancées dans des machines virtuelles indépendantes et ces machines virtuelles fonctionnent avec uid aléatoires (je ne sais comment sont géré les permissions sur les fichiers dans ces conditions). Pour faire cohabité des applications ou pour qu'elles puissent communiquer il faut qu'elles soit signées par le même développeur.
Pour les application native je ne sais pas comment sont gérés les droits.
Je dirais 2 choses :
- 1 Tu t'interresses au fonctionnement d'Android, c'est bien. Mais faut garder à l'esprit que c'est pas parce que tu penses connaître un système que t'es à l'abri des cons.
Au contraire.
Regarde les forums Windows...
Une seule chose: n'installe sur ton " téléphone " que les applis dont tu as des témoignages de leur bon fonctionnement, la même version de ces applis, et fait des sauvegardes.
Sedullus dux et princeps Lemovicum occiditur
# le probleme c'est pas forcément Linux
Posté par totof2000 . Évalué à 4.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.