je ne comprends pas le monde qui nous heberge...
vivons nous dans la 4eme dimension ?
plutot que de corriger son navigateur internet, microsoft decide que ca sera aux utilisateurs et au concepteurs de sites de modifier leurs habitudes...
on ne pourra plus se logguer sur un site de la maniere suivante sur un site
http://mon_login:mon_passwd@mon_site(...)
car cela pose un probleme avec IE....
souvenez vous... l'adresse invisible...
pour plus d'info...
ma source :
http://www.theregister.co.uk/content/55/35253.html(...)
je cite
The problem is compounded by an unpatched security vulnerability which could be exploited to display a fake URL in the address and status bars of IE.
Rather than fix that specific flaw, which first emerged almost two months ago, Microsoft is ditching an entire approach.
Microsoft is giving advanced notice of the changes to allow Web designers a chance to review Web site code.
# Re: internet et microsoft...
Posté par mcjo . Évalué à 1.
Ou c'est juste les serveurs IIS qui vont les ignorés.
Moi je pene que microsoft a raison, d'ailleur il faudrait interdire les pieces jointe par mail...
Bizzarement avec Notes (LOTUS), jamais un virus...
[^] # Re: internet et microsoft...
Posté par pasBill pasGates . Évalué à 2.
[^] # Re: internet et microsoft...
Posté par astennu . Évalué à 2.
Ouais mais en attendant, c'est pas du côté des navigateurs que ça devra changer, donc que modifie-t-on alors? Si c'est pas le serveur web, je donnes ma langue au pingouin ...
Parce que modifier les habitudes des utilisateurs et des concepteurs de sites web sans toucher au navigateur ni au serveur, c'est même plus de l'utopie à ce niveau là...
[^] # Re: internet et microsoft...
Posté par pasBill pasGates . Évalué à -1.
[^] # Re: internet et microsoft...
Posté par mcjo . Évalué à 2.
[^] # Re: internet et microsoft...
Posté par Gniarf . Évalué à 1.
et ça prouve également leurs immenses compétences techniques - vu que d'autres navigateurs n'ont pas ce problème, ou encore mieux indiquent qu'il se passe quelque chose de louche (Opera).
Que dire ? c'est comme si Renault constatait que beaucoup d'accidents étaient dûs aux gens qui ne font pas attention en sortant de leur voiture, et décident de supprimer les portières gauches de leurs nouveaux modèles.
ou encore mieux, toutes les portières, pour forcer les gens à sortir par le toit ouvrant (une option facturée comme étant devenue obligatoire), comme ça ils seront obligés de regarder la rue avant de quitter leur véhicule.
[^] # Re: internet et microsoft...
Posté par pasBill pasGates . Évalué à 3.
C'est bien vrai, et je trouves ca con aussi, mais ca sera pas la 1ere connerie faite par le team IE, ils ont pris la 1ere place au team IIS depuis un moment dans le classement des teams qui nous gonflent en sustained engineering.
[^] # Re: internet et microsoft...
Posté par mcjo . Évalué à 1.
PS : rien a voir, la nouvelle version de Konqueror intègre un correcteur pour le mandrake cooker
[^] # Re: mcjo écrit: " Avec LOTUS: Jamais un virus" : Pour mémoire en 1999 - la NSA Key de Lotus
Posté par Wharf . Évalué à 1.
Voici 4 failles de LOTUS publièes en 2003:
http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-068/index.html.2.h(...)
http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-049/index.html.2.h(...)
http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-047/index.html.2.h(...)
Ceci repose encore une fois la même question, pourquoi les développeurs de virus ne se sont ils pas interessé à IBM LOTUS, mais préférent cibler Outlook (car ce n'est pas plus complexe de faire un virus pour l'un ou pour l'autre, à partir du moment ou la faille est publiée, dans les 2 cas les utilisateurs gèrent aussi mal leurs patches)
A qui profite le crime ?
De plus, le piratage (qui exploite aussi les failles connues) n'est il pas plus dangereux que les virus ? (voir Tux family..)
2/ Si tu utilise Lotus avec un client outlook, tu es rigoureusement exposé au même danger de virus que si tu avais un autre serveur de messagerie avec le même Outlook.
Il n'existe pas non plus de virus connu pour Exchange, le pb est lié aussi au poste client Outlook.
3/ souvenez vous de Lotus qui distribuait en Europe une version de Lotus Notes qui contenait officiellement une NSA Key.
En 1999, ca avait fait couler de l'encre au parlement européen
http://www.heise.de/tp/english/inhalt/te/2898/1.html(...)
Le pb était simple, pour exporter de la crypto plus forte que ne le permettait la loi, ils avaient contourné le pb avec une Key dont la NSA avait le code !!!
Seul point positif, c'était clair et officiel: Visitors to the security pages on Lotus's website are now told that the export version of Lotus Notes uses "a system approved by the US government called "Workgroup Differential" and "encrypt(s) information using 64 bit keys".
The name "Workgroup Differential" is meaningless. The correct title is "Differential Workfactor Cryptography". The "differential workfactor" means that the US National Security Agency can break the code on Lotus Notes private messages 16 million times faster than anyone else.
Just for fun: C'est la version qu'utilisait la DGA à l'époque !!
# Re: internet et microsoft...
Posté par Gniarf . Évalué à 6.
non, sérieusement, ça fait des années que vouloir surfer avec Internet Explorer est un signe ostentatoire de masochisme, voire de connerie profonde.
peut être que le jour où un employé mécontent placera une bonne blague bien destructive sur un des portails du TOP 10 mondial (yahoo, google ou CNN...) et que des millions de machines sous Windows morfleront, le monde changera ses habitudes. car la mauvaise excuse "oh vous savez, on ne trouve ces ActiveX dangeureux que sur des sites louches" ne tiendra plus.
ce n'est qu'une question de temps.
[^] # Re: internet et microsoft...
Posté par pudcy . Évalué à 0.
On a lancé une comparaison il n'y pas longtemps entre IE+plugins et Firebird+plugins, et on a pas été capables de choisir un vainqueur. Pourtant chaque parti tenait a avoir raison. Mais je ne veux pas relancer un troll... J'avais juste 2 remarques à faire :
1°/ par défaut IE te demande ton avis avant d'exécuter un ActiveX. Après tu assumes, si tu veux pas prendre de risques tu désactives complètement. Ce n'est pas fait par défaut car les Active X sont très utiles et utilisés, notamment sur les intranet d'entreprises.
2°/ Microsoft n'a pas sorti de patch. Mais rappelons la politique récente de Microsoft : on ne fournit les correctifs qu'une fois par mois. Je ne sais pas pourquoi ils font comme ça, je ne comprends pas, mais en tous cas attendons avant de hurler au loup.
[^] # Re: internet et microsoft...
Posté par Gniarf . Évalué à 1.
On a lancé une comparaison il n'y pas longtemps entre IE+plugins et Firebird+plugins, et on a pas été capables de choisir un vainqueur. Pourtant chaque parti tenait a avoir raison. Mais je ne veux pas relancer un troll... J'avais juste 2 remarques à faire :
je parle de IE "de base" et comparable avec Opera Mozilla ou Firebird de base, c'est à dire avec les 3-4 plug-ins courants (Flash) installés, mais ... lire la suite.
1°/ par défaut IE te demande ton avis avant d'exécuter un ActiveX. Après tu assumes, si tu veux pas prendre de risques tu désactives complètement. Ce n'est pas fait par défaut car les Active X sont très utiles et utilisés, notamment sur les intranet d'entreprises.
non-non-non. il y a plusieurs blagues qui se moquent éperduement de ces réglages de sécurité et passent au travers.
accès en lecture/écriture à la base de registre, écriture de fichiers où on veut, remplacement du explorer.exe... sans la moindre demande de confirmation par l'utilisateur. j'ai eu du mal à le croire quand je l'ai constaté, même sur une machine avec un IE configuré en mode paranoïaque.
il y a eu des trous via com.ms.java, par XML... qui ensuite lançaient un objet Windows Shell qui lui avait accès complet au système.
et surtout, c'est endémique, systématique. de nouvelles fonctionnalités ? de nouveaux trous. et ça dure depuis des années.
Il y a un problème de sécurité à la base, non ? depuis Internet Explorer 4 en 1997, et la volonté de faire exécuter du code natif (Windows) directement dans le navigateur (technologie ActiveX), c'est la guerre.
ça fait juste 6 ans que ça dure.
2°/ Microsoft n'a pas sorti de patch. Mais rappelons la politique récente de Microsoft : on ne fournit les correctifs qu'une fois par mois. Je ne sais pas pourquoi ils font comme ça, je ne comprends pas, mais en tous cas attendons avant de hurler au loup.
bien sûr. et si c'était grave, et des mises à jour annuellles, attendons aussi, béats, la bouche ouverte.
[^] # Re: internet et microsoft...
Posté par pudcy . Évalué à 1.
Comme je l'ai dit, je ne comprend pas cette politique de sortie de maj à dates fixes. Pour le reste (ActiveX etc.), ok ca a des désavantages, mais pas uniquement, et ca se bloque si on veut alors... Certes il y a eu une jolie collection de failles, mais jusqu'ici elles ont été corrigées. Nouvelles fonctionnalités = nouveaux trous ? oui, comme presque à chauque fois pour tous logiciels.
Je ne veux pas prendre la défense de MS, ils se sont plantés, et leur politique nous fait attendre les correctifs. Simplement faut pas tout mélanger et dire IE SAPU juste à cause de ça... Quant à leur page d'info, certes elle prête à rire, mais quels autres choix avaient-ils s'ils souhaitaient s'en tenir à leur politique de sorties de maj ? Donc faut taper, mais pe pas trop fort...
[^] # Re: internet et microsoft...
Posté par Gniarf . Évalué à 1.
Internet Explorer est là depuis des années, ses problèmes aussi. de là à dire que Internet Explorer pue, ben, oui, niveau sécurité du système, c'est même plus puer, là, c'est la lèpre.
[^] # Re: internet et microsoft...
Posté par Gniarf . Évalué à 1.
http://news.com.com/2100-1002_3-5151957.html?tag=nefd_top(...)
Microsoft trouve le problème "grave" et décide de faire une mise à jour de Internet Explorer en dehors de leur cycle de patchs mensuels.
(et la vraie question est, vais-je faire confiance à Internet Explorer après cette mise à jour ? toujours pas.)
[^] # Re: internet et microsoft...
Posté par pudcy . Évalué à 1.
[^] # Re: internet et microsoft...
Posté par pudcy . Évalué à 1.
[^] # Re: internet et microsoft...
Posté par Gniarf . Évalué à 1.
mais j'insiste sur le fait que ce n'est qu'une partie du problème. d'autres failles plus ou moins similaires existent, c'est donc l'ensemble qui pose problème.
par exemple des variantes du JS.Exception.Exploit n'utilisaient pas directement ActiveX. mais au final, oui.
(en fait ActiveX est un terme assez fourre-tout, il faudrait être bien plus précis. les meilleures blagues (utilisation de failles de navigateurs, exploitz si vous préférez) utilisent plusieurs (3) créations d'objets pour rentrer, par exemple)
cf aussi : http://www.symantec.com/avcenter/venc/data/js.exception.exploit.htm(...)
http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/(...)
et ceci qui est extrait d'un vieux mail :
"tout cela par la JVM trouée de Microsoft, qui permet
d'invoquer des ActiveX (on vous le disait bien que ca
allait etre la fiiiin du monde) et 2-3 'objets'
ActiveX de scriptage d'utilité douteuse que chaque
utilisateur de Windows a déjà sur sa machine.
J'insiste, le navigateur ne télécharge que la page
HTML et du Javascript dedans, pas de code 'hostile'
sous forme d'applets ou d'ActiveX vu qu'il est déjà
sur la bécane, le code hostile..."
cette machine était configurée en mode parano (entre autre pour ne pas subir de popup-up de pubs, ni de pubs en flash)
évidement, en 2004, les blagues de 2001 ne fonctionnent plus forcément sur des navigateurs corrigés depuis. mais toutes les machines ne sont pas patchées, et d'autres blagues apparaissent régulièrement.
[^] # Re: internet et microsoft...
Posté par pudcy . Évalué à 1.
En 2001, des failles on en trouvait à la pelle dans tous les navigos, que ce soit moz ou IE.
A l'heure actuelle, j'attend toujours qu'on me démontre qu'IE est moins secure que moz, malgré toutes les personnes qui me l'ont affirmé :(
Toutes les attaques par l'intermédiaire d'une page web relevées (a ma connaissance) depuis 2 ans sur IE supposaient soit que les activeX étaient acceptés par défaut, soit que l'exécution de VBscript était acceptée par défaut. Dans le cas contraire elles ne passaient pas. Mais bon je ne suis pas au courant de tout... Je voudrai bien un exemple concret, une faille qui me permette d'exécuter du code en ayant désactivé scripting+ActiveX sur une machine mise à jour.
Il y a bien eu pendant un temps la possibilité d'exécuter du code via javascript en utilisant je ne sais plus quelle combinaison de classes, mais ca a rapidement été patché.
# Re: internet et microsoft...
Posté par bad sheep (site web personnel) . Évalué à 2.
http://support.microsoft.com/default.aspx?scid=kb;%5Bln%5D;833786(...)
Si c'est pas du foutage de gueule...
[^] # Re: internet et microsoft...
Posté par Ennio . Évalué à 2.
Non je pense pas. Ils se sont limités à une page de 33 ko. Ils auraient pu en faire un bouquin vendu super cher chez Microsoft Press.
;-)
[^] # Re: internet et microsoft...
Posté par pasBill pasGates . Évalué à 2.
Il fait pas bon etre dans le team IE depuis plusieurs mois, vaut mieux dire que t'es cuisinier si tu veux eviter qu'on se moque de toi.
# Re: internet et microsoft...
Posté par littlebreizhman . Évalué à 6.
Le moyen le plus efficace pour vous protéger des liens hypertexte nuisibles consiste à ne pas cliquer dessus. Tapez plutôt vous-même l'URL de votre destination déterminée dans la barre d'adresses. En tapant manuellement l'URL dans la barre d'adresses, vous pouvez vérifier les informations utilisées par Internet Explorer pour accéder au site Web de destination. Pour ce faire, tapez l'URL dans la barre d'adresses, puis appuyez sur ENTRÉE.
Bon, la démarche logique avec IE c'est d'éditer le code source de la page. Regarder l'adresse et la taper avec ses petites mains. La souris ne servant donc plus qu'à cliquer sur l'icone qui lance explorer ;o)
Ridicule à souhait !!
[^] # Re: internet et microsoft...
Posté par Ano nyme (site web personnel) . Évalué à 6.
[^] # Re: internet et microsoft...
Posté par Aurélien Bompard (site web personnel) . Évalué à 4.
Mais à quoi ça rime ?
[^] # Re: internet et microsoft...
Posté par ewasx . Évalué à 2.
Enfin, c'est le debut de leur fin, y'a pas de mal, puis ils vont redescendre peut etre, mais avec tout le fric qu'ils ont, ils reagiront, et remonteront en part.
En attendant ce genre de comportement ne fait qu'aider leur concurrence, et c'est pas moi qui m'en plaindrait.
[^] # Re: internet et microsoft...
Posté par pudcy . Évalué à 1.
[^] # Re: internet et microsoft...
Posté par pudcy . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.