On vient de découvrir un malware dans un .deb sur gnome-look
Bien sûr, c'est un incident isolé, mais nos distribs ne sont pas prêtes à lutter contre ce genre d'attaque.
Pour cela, il faudrait:
A) Empêcher l'installation
Mais un script d'installation d'un .deb a tout pouvoir sur le système. Qu'il soit signé ou pas, d'ou qu'il vienne. Il n'existe pas (ou alors, de façon confidentiel) d'anti virus qui empêcherait ce genre d'attaque.
B) Permettre à l'utilisateur de s'apercevoir de l'attaque
Mais les parefeux applicatifs n'existent pas. Ainsi, un accès furtif vers l'extérieur n'est pas détecté.
C) Supprimer le malware
Aujourd'hui, on ressort des lignes de commandes de 20 lignes. Pas très user friendly. De même, il n'existe pas d'anti-malware en standard
Décidément, linux n'est pas prêt pour le desktop de madame Michu.
Que ceux qui ont déjà vérifié un paquet sur gnome-look (considéré à tort comme un site de confiance) me jette la première pierre.
http://linux.slashdot.org/story/09/12/09/2215253/Malware-Fou(...)
# Pas un problème
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 9.
Si Linux n'est pas prêt pour le bureau de Mme Michu, ce n'est pas pour cette raison. Cette brave dame n'a aucune raison d'aller sur gnome-look et d'y récupérer des paquets. Elle ferait mieux de se contenter de ce que propose sa distribution.
[^] # Re: Pas un problème
Posté par Zenitram (site web personnel) . Évalué à 9.
Et si le logiciel qu'elle cherche n'est pas dans sa distribution? Si il y est mais que la version a plus d'un an?
Tu parles de théorie bisounours "la distribution a tous les paquets du monde", Mme Michu elle, elle est dans la pratique : elle cherche un outil, et fait ce qu'il faut pour, quitte à ne pas te plaire (on lui a dit qu'il y avait plein de logiciel sous Linux, et maintenant on veut la limiter aux pauvres dépôts officiels qui ne contiennent qu'une faible partie des logiciels? Elle va vite retourner sous Windows dans ce cas, au moins la on n'essaye pas de la limiter et il y a des outils de protection)
Sacré bisounours : dit-moi ce dont tu as besoin, je te dirais comment t'en passer... Mmm Michu n'accepte pas cette réponse.
[^] # Re: Pas un problème
Posté par Etienne Bagnoud (site web personnel) . Évalué à 9.
Si elle veut donner les droits root a un malware, personne ne pourra l'en empêcher parce que la personne qui a accès physique à la machine a accès à tout. Maintenant on peut mettre en place des systèmes qui gueulent à chaque action que l'on fait ou alors faire confiance à l'utilisateur.
Il ne faut pas blâmer les distributions (et Windows aussi) dans ce cas. On ne pourra jamais rien faire contre ça, croire le contraire c'est utopique.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Pas un problème
Posté par legranblon (site web personnel) . Évalué à 5.
On ne peut pas blâmer les distribs pour ça, mais y'a quand même encore pleins de taf avant que les gens soient linux/bsd/whatever compliant.
[^] # Re: Pas un problème
Posté par Gniarf . Évalué à 4.
heureusement notre proverbiale madame Michu en est bien incapable.
[^] # Re: Pas un problème
Posté par Yusei (Mastodon) . Évalué à 3.
[^] # Re: Pas un problème
Posté par barmic . Évalué à 3.
Alors oui ça coûte 2 redémarrages mais madame Michu accepte bien les redémarrage. Et oui ça empêche l'installation de paquets par d'autre biais, mais ça c'est pas forcément un mal (et on peut imaginer un logiciel d'« installation » qui enregistre le paquet pour l'installer via le double redémarrage.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Pas un problème
Posté par phoenix (site web personnel) . Évalué à 2.
[^] # Re: Pas un problème
Posté par hervé Couvelard . Évalué à 10.
La michu va retourner sous windows parce elle peut attraper un truc pas bo en installant un logiciel qui n'est pas fournis par sa distribution ! ! !
Sous windows, sa distribution elle lui fournis tellement de logiciel, que sous windows, les sites de la distribution, c'est télécharger.com. et hack.ru alors je ne sais pas comment te le dire mais....
A force de vouloir défendre, on en arrive à dire des anneries.
[^] # Re: Pas un problème
Posté par Zenitram (site web personnel) . Évalué à -7.
Parce qu'elle peut installer un logicel connu et être protégé tout en essayant plein de logiciel, faire ce qu'elle aime : que l'ordinateur fasse ce qu'elle demande, pas qu'on l'a limite à "sa distribution" (qui ne contiendra JAMAIS tout ce qu'elle demande, du fait de licences et que le net change tous les jours).
A force de vouloir défendre, on en arrive à dire des anneries.
Je t'aide : http://www.avast.com
C'est gratuit, et ça scanne tous les installeurs, ça protège beaucoup.
Certes, ce n'est pas intégré à Windows (quoique, maintenant il y a Windows Defender), mais ça a l'intérêt d'exister.
Quand on ne connait pas une plate-forme, on évite d'en parler : il vaut mieux un Windows avec Avast qu'un Linux sans aucune protection, les malware et compagnie arriveront sous Linux dès que les parts de marché seront intéressantes, avec les mêmes problèmes que Windows (les dépôts ne résolvent pas les problèmes, ou alors il faudrait 100x plus de packageurs qui cherchent tous les petits logiciels à intégrer, qu'ils acceptent les licences non open-sources, plutôt que de proposer qu'une partie de ce qui existe. On en est très loin)
[^] # Re: Pas un problème
Posté par Etienne Bagnoud (site web personnel) . Évalué à 4.
http://www.mcafee.com/us/enterprise/products/system_security(...)
Sinon il y a clamav (et qui est très bon, un test est passé dans un Linux Mag) :
http://www.clamav.net/
Et il existe peut-être d'autres, j'en connais que deux. Mais tous les antivirus du monde ne résoudront pas ce problème. Windows a ce même problème, ce n'est pas ça qui en fait un système d'exploitation mauvais (mais le "administrateur par défaut" a été un gros souci qui est maintenant corrigé).
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Pas un problème
Posté par Zenitram (site web personnel) . Évalué à -1.
Je ne connais pas McAfee sous Linux, mais ça a l'air de mieux répondre, en effet : "continuous on-access scanning". Juste que ça a l'air payant, donc pas accessible à tout le monde, alors qu'il y a quelques noms connus sous Windows, gratuits (et qu'on a déjà la licence de Windows par la vente liée, ça ne compte pas le prix de l'OS du coup)
[^] # Re: Pas un problème
Posté par flagos . Évalué à 3.
;-)
[^] # Re: Pas un problème
Posté par Zenitram (site web personnel) . Évalué à 2.
Bon finalement, il y a de quoi sous Linux, je ne connaissais pas (mais... Aucun n'est libre eh eh eh!).
Ma réaction reste toutefois valable : les linuxiens sont plus prompt à répondre "limite-toi" plutôt qu'à essayer de comprendre pourquoi Mme Michu a essayer de sortir des limites imposées (et inacceptables pour Mme Michu) par la distribution (à voir la note du premier commentaire qui est à fond dans "limite-toi", j'en fais une généralité)
[^] # Re: Pas un problème
Posté par totof2000 . Évalué à 9.
[^] # Re: Pas un problème
Posté par Zenitram (site web personnel) . Évalué à 4.
Mme Michu est au contraire beaucoup plus utilisatrice d'applications tierces que le geek qui lui a ses outils préférés déjà dans la distrib (puisque libres et utilisés par les packageurs geeks).
L'arrivée de Mme Michu sous Linux montre au contraire les limites des dépôts : ils ne peuvent fournir des logiciels très peu utilisés et à la licence non libre, chose que Mme Michu utilise, elle.
[^] # Re: Pas un problème
Posté par Volnai . Évalué à 4.
Super. En ce qui me concerne madame Michu (tm) (r) (c) elle fait du web, du mail et de l'office. Mme Michu est au contraire beaucoup moins utilisatrice d'applications tierces que le geek.
facile non ?
[^] # Re: Pas un problème
Posté par Olorim . Évalué à 6.
[^] # Re: Pas un problème
Posté par Gniarf . Évalué à 5.
[^] # Re: Pas un problème
Posté par totof2000 . Évalué à 1.
Mme Michu elle n'est pas capable d'installer ce genre de truc elle-même. Elle allume, clique (quand elle y arrive, rappelle-toi la célèbre réplique "Mais tu sais pas cliquer !!!") sur "mails", "internet" pour acces au web, et "MSN" pour faire de la visioconférence. Mme Michu, elle ne sait même pas qu'on peut modifier l'apparence de son environnement.? Si elle le sait, elle ne le fait pas ele-même, elle demande à quelqu'un de le faire ....
[^] # Re: Pas un problème
Posté par totof2000 . Évalué à 4.
[^] # Re: Pas un problème
Posté par totof2000 . Évalué à 2.
[^] # Re: Pas un problème
Posté par morphalus . Évalué à 1.
[^] # Re: Pas un problème
Posté par psychoslave__ (site web personnel) . Évalué à 5.
[^] # Re: Pas un problème
Posté par Nitchevo (site web personnel) . Évalué à 2.
[^] # Re: Pas un problème
Posté par totof2000 . Évalué à 2.
[^] # Re: Pas un problème
Posté par Graveen . Évalué à -1.
[^] # Re: Pas un problème
Posté par Etienne Bagnoud (site web personnel) . Évalué à 8.
C'est ce qui arrive quand on attaque sur un terrain qu'on ne connaît pas.
Bon finalement, il y a de quoi sous Linux, je ne connaissais pas (mais... Aucun n'est libre eh eh eh!).
Si clamav.
Ma réaction reste toutefois valable : les linuxiens sont plus prompt à répondre "limite-toi" plutôt qu'à essayer de comprendre pourquoi Mme Michu a essayer de sortir des limites imposées (et inacceptables pour Mme Michu) par la distribution (à voir la note du premier commentaire qui est à fond dans "limite-toi", j'en fais une généralité)
Je penses que les réactions que tu vas voir ici sont des réactions de gens qui ont déjà dépanner beaucoup, beaucoup de machines et qui en ont plein l'os des utilisateurs qui vont à la hache sur le système et qui viennent pleurer ensuite.
Dès que tu rentres dans ce monde, les gens (et ceux peu importe les systèmes) mettent des limitations. Regarde un administrateur Microsoft sur son parc : GPO a plein tube.
C'est normal, soit tu limites, soit tu dépannes. Tous les systèmes d'exploitation ont une faille commune, l'utilisateur.
Si l'utilisateur clique oui sur "êtes-vous certain de vouloir installer ce virus qui va détruire ces données", puis débloquer sur "ceci est un message de votre antivirus, voulez-vous bloquer le virus qui va détruire vos données" et finalement entre le mot de passe administrateur, puis l'empreinte digital, puis ... Ben on peut rien faire, hormis dépanner.
Ensuite dans le monde des "linuxiens" les limites sont très légères parce que c'est justement un monde où on évite les limites. Regarde ce qu'est devenu Windows, un truc où il faut confirmer trente fois que tu veux bien détruire ton système. Dans les distributions actuelles tu confirmes une fois et ton système est détruit, mais faut pas venir pleurer après.
C'est surtout une question de mettre la barre à la bonne hauteur et surtout de pouvoir régler cette barre. Sur mon ordinateur personnel, je peux le détruire sans avoir rien à dire, il fait.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Pas un problème
Posté par B16F4RV4RD1N . Évalué à 4.
le compliment vaut pour toi aussi. Il me semble que tu n'utilises que windows chez toi, d'après ce que tu as pu dire ici.
ça protège beaucoup.
pourtant j'ai déjà vu et dépanné beaucoup d'ordinateurs possédant avast, avg ou genre securitoo (fsecure), pourtant vérolés, malgré l'anti virus. Et pourtant je ne connais pas non plus cette plate-forme, mais j'ai pu aider les M. et Mme Michu en question.
'Malware has been found hidden inside an innocuous 'waterfall' screensaver .deb
pourtant déjà sous windows les virus se propagent dans les économiseurs d'écran de ce type, aucune imagination ces pirates, à croire que les gens passent plus de temps à regarder leur économiseur d'écran tourner qu'à travailler sur l'ordinateur...
À quand les .deb qui ne s'installeront que dans un "bac à sable" sécurisé, pour permettre d'installer des conneries de ce genre sans risque de compromettre les données utilisateurs ou le système ?
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Pas un problème
Posté par hervé Couvelard . Évalué à 9.
Le truc de l'informatique, c'est qu'on essaye de faire croire à tout le monde que c'est super simple clic clic et que tout le monde peut faire n'importe quoi.
Ta michu avec son avast, elle peut très bien installer un truc qui n'est pas dans les signatures et le rm -r, il existe aussi sous windows. Je peux demain faire un tout petit .exe qui efface les dossiers des personnes. Il n'y a que lorsqu'il aura suffisamment prospéré qu'il sera reconnu.
Il y a deux solutions au problème :
1 - on se barde d'antivirus et autre truc, si c'est tellement simple, pourquoi il y a autant de Zombies windows ?
2 - installer une distribution et se tenir à cette distribution.
Tu renverses le problème de la non fourniture par les serveur winwin de logiciels qui peuvent s'installer facilement et qui sont 'plus ou moins' controllés. Les gens doivent installer toutes ces merdes tierces parce que winwin ne leur fournis pas des logiciels sur leur site. Parceque lorsque tu as _acheté_ winwin tu dois aller sur plein de site zarb pour avoir des trucs qui n'existent pas.
Ensuite sur les problèmes de logiciels, tu prends des grandes distributions, il y a 99,99% de chances que le logiciel qui te permettent de faire ce que tu veux existe _nativement_ dessus. Parce que, encore une fois, tu inverses le problème : parce que les gens ont pris l'habitude sous windows d'aller chercher partout un truc qui marche et qui explose pas la machine, ils devraient avoir le même comportement sous linux. NON, il y a des tonnes de logiciels dispo.
Tu vois pour faire de la gestion d'image, sous nux, il y a plein de truc cool, de plus simple aux plus complexe, pas besoin d'aller chercher sur truc.machin.org, il suffit de faire apt-get install. Il faut juste savoir qu'il existe (aptitude est vraiment bien pour cela) et ensuite d'aller voir des scrennshots sur leur site pour voir si cela te plait.
Alors oui probablement ce qu'il manque c'est un logiciel plus user-frindly eye-candy ou on peut voir le soft, un descriptif, des scrennshots etc...
Ceux qui ne sont pas open-source, et bien qu'ils ne puissent pas les avoir ne me pose aucun soucis. Les parts de marché linux et du libre vont augmenter, et il n'y aura pas autant de problèmes, même sans anti-chose.
On a trouvé un malware sur un serveur 'libre' pour linux qui ne représente que 1 du marché% ? cela veut dire que si on trouve plus de 100 malwares pour windows sur des serveurs lambda, linux gagne encore ?
Et non, le fait que avast existe ne résoud pas le problème, il y a des tonnes de machines windows infectés.
[^] # Re: Pas un problème
Posté par eastwind☯ . Évalué à 4.
Ce qu'il faudrait c'est plus de coopération et plus de moyens pour intégrer les logiciels au dépot officiel , les dépots officieux n'étant que des pis-aller .
Et sur le point de la coopération , peut etre bien que former la madame michu a la méthodologie de coopération aux communauté auxquelles sa distro appartient peut etre bien plus intéressant surtout sur le long terme .
[^] # Re: Pas un problème
Posté par Framasky (site web personnel) . Évalué à 3.
Synaptic le fait !
Tu lis la description du paquet -> descriptif
Tu cliques sur "Télécharger une capture d'écran" -> on peut voir le soft
Bon, ok, tous les logiciels n'ont pas une capture d'écran disponible mais bon, y a tellement de paquets dans Debian que ça doit mettre du temps à tout screenshoter
Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.
[^] # Re: Pas un problème
Posté par Alban Crequy (site web personnel) . Évalué à 1.
Tu lis la description du paquet -> descriptif
Et c'est traduit dans la langue de l'utilisateur ou c'est dans une langue étrangère?
[^] # Re: Pas un problème
Posté par Octabrain . Évalué à 4.
[^] # Re: Pas un problème
Posté par sadskull . Évalué à 2.
faut pas sous estimer madame Michu, même en pratiquant l'abstinence sexuelle elle serait capable de choper le sida
l'antivirus ne fera que limiter la casse, utiliser Windows même avec un antivirus c'est comme se taper une séropo avec une capote trouée
[^] # Re: Pas un problème
Posté par Pierre Tramo (site web personnel) . Évalué à 10.
T'as déjà vu Madame Michu installer une debian?
[^] # Re: Pas un problème
Posté par zebra3 . Évalué à 2.
Bon, elle a plus d'expérience que la moyenne des gens (elle a commencé sous DOS bien que n'étant pas informaticienne, car elle a suivi les formations adéquates), mais elle a découvert toute seule un système qu'elle n'avait jamais vu auparavant et il faut reconnaître que l'installation d'Ubuntu est réellement plus simple que beaucoup d'autres.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # blague
Posté par Octabrain . Évalué à 3.
Sauf que l'ubuntu-pas-dépassée l'est en fait aussi : prenons par exemple warsow, disponible en version 0.5 [http://www.warsow.net/?page=download], et bien ubuntu ne package que la 0.42 [http://packages.ubuntu.com/lucid/warsow] au risque de l'impossibilité de jouer en ligne (réduisant énormément l'intérêt du paquet) à cause de versions incompatibles (je n'ai pas testé, peut-être que c'est compatible, mais rien n'est moins sûr).
[^] # Re: Pas un problème
Posté par grid . Évalué à 9.
D'abord, ta chere distribution fournit des logiciels qui récupèrent directement des fonds écrans, écrans de veille... sur gnome-look. Donc bon.
Ensuite, si j'avais écrit un journal demandant "Comment puis-je avoir un autre écran de veille sympa?" gnome-look aurait été une réponse.
Donc, ca me parait malhonnête d'évacuer le problème en rejetant la faute sur l'interface chaise clavier,
[^] # Re: Pas un problème
Posté par mornik . Évalué à -1.
Certes ce dernier est limité mais quand même.
Donc non c'est un véritable problème. Il faudrait plus de personnes pour vérifier le contenu "artistique" et faire plus de paquets dans les distributions
[^] # Re: Pas un problème
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 1.
[^] # Re: Pas un problème
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 2.
[^] # Re: Pas un problème
Posté par grid . Évalué à 9.
Si je prends l'exemple de ma maman, elle veut avoir ces petits enfants en fond d'écran. Elle trouve rigolo d'avoir un thème avec des fenêtres rose, et elle choisit son fond d'écran depuis Windows 3.1.
Et pourtant, elle a du mal avec l'informatique.
[^] # Re: Pas un problème
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à -1.
[^] # Re: Pas un problème
Posté par Zenitram (site web personnel) . Évalué à 4.
Vous vivez ou? Il existe des centaines de sites avec des fonds d'écran qui bougent et tout et tout, le tout dans des .exe.
C'est très très utilisé par Mme Michu.
Faut sortir du monde de geek un peu!
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Pas un problème
Posté par pastro . Évalué à 2.
.. j'en connais ils en sont pas loin ...
[^] # Re: Pas un problème
Posté par totof2000 . Évalué à 4.
[^] # Re: Pas un problème
Posté par Anonyme . Évalué à 6.
Quand je veux changer de fond d'écran, j'ai une image à téléchargé sur flickr, clique droit sur le bureau et changer de fond d'écran (enfin, maintenant, je fais plus un « cp image .config/wallpaper » et je relance feh).
[^] # Re: Pas un problème
Posté par B16F4RV4RD1N . Évalué à 2.
Cela dit, c'est vrai que les économiseurs d'écrans installés de base dans certaines distributions avec gnome (vu linux mint par exemple) ne sont pas terribles, entre les 30 trucmachinGL qui nécessitent un support 3D et les 4 qui restent : écran noir, pieds gnome volants (quelle poésie), roschrack psychédélique qui pique les yeux, et défilement du dossier ~/Pictures (dommage, quand on installe un ordinateur pour quelqu'un, ce dossier image est généralement vide...).
Bref, quelques économiseurs d'écrans simples, sobres ou colorés, mais en 2D ne feraient pas de mal.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Pas un problème
Posté par gnumdk (site web personnel) . Évalué à 3.
[^] # Re: Pas un problème
Posté par B16F4RV4RD1N . Évalué à 6.
non, "il y a les forums pour cela" aurait été la réponse.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Pas un problème
Posté par CrEv (site web personnel) . Évalué à 3.
Non mais sérieux, tu crois vraiment ce que tu as écris ? ou alors il manque un smiley ...
[^] # Re: Pas un problème
Posté par Graveen . Évalué à -3.
Mme Michu a le droit d'avoir d'autres logiciels, ou de faire des mises à jour.
C'est effectivement une contrainte à intégrer.
Exactement au même titre que la contrainte d'avoir un navigateur ou un pack bureautique dans une distribution "desktop ready".
Si Linux n'est pas prêt pour le bureau, ca peut etre une cause...parmi d'autres.
[^] # Re: Pas un problème
Posté par goom . Évalué à 4.
A quoi sert un dépôt officiel si ce n'est à pouvoir disposer de mises à jour ?
[^] # Re: Pas un problème
Posté par bubar🦥 (Mastodon) . Évalué à 2.
A moins de restreindre la globalité des applications disponibles dans les dépôts officiels ?? Totalement illusoire et impossible. Il y a aura toujours des sites pour proposé des .bin et des utilisateurs pour les lancer.
C'est au système de se protéger.
Et sans vouloir troller je remplacerai bien la phrase
>nos distribs ne sont pas prêtes à lutter contre ce genre d'attaque.
par
>Debian, ubuntu et autres mandrake ne sont pas prêtes pour ce genre d'attaques
Fedora viens de jeter la première pierre : installation par l'utilisateur de paquets signés. Peut être que la seconde étape sera "installation par l'utilisateur, de paquets 'portenaouake', automatiquement pris en charge par un compte système spécifique, et installés dans un environnement sécurisé -pour le système bien sûr, mais aussi pour les documents utilisateurs, choses bien souvent oubliée par nos linux"
qui vivra vera.
[^] # Re: Pas un problème
Posté par bubar🦥 (Mastodon) . Évalué à 2.
Et d'autre part parceque l'évolution dites du système d'install de fedora n'est que pure supputations, et nullement quelque chose de réel, même pas une rumeur... juste un truc qui me semble logique (et qui est réalisé a-la-mano pas des joueurs utilisant wine souvent)
[^] # Re: Pas un problème
Posté par goom . Évalué à 3.
Mme Michu a le droit d'avoir d'autres logiciels, ou de faire des mises à jour." parce que les dépôts officiels sont là pour ajouter des logiciels et faire les mises à jour
[^] # Re: Pas un problème
Posté par Graveen . Évalué à 1.
Et on peut considérer qu'on ne trouve pas tout sur les dépots officiels.
[^] # Re: Pas un problème
Posté par .O. . Évalué à 4.
Qu’est-ce que ça gueulerait pourtant s’il ne fallait installer sur Windows que les logiciels officiellement empaquetés par M$ sur les serveurs M$.
Vouloir installer des logiciels en provenance d’ailleurs que les dépôts de sa distribution est, me semble-t-il, un besoin légitime.
[^] # Re: Pas un problème
Posté par Penseur . Évalué à 2.
C'est déjà le cas, je ne peux installer windows 7 X64 car ma carte scsi adaptec 29160 n'a pas un pilote signé.
Pour les logiciels (sous windows) Mme Michu utilise souvent que des logiciels pirates ou crackés donc .......et installés par des proches, un minimum de protection est obligatoire.
Les dépôts sous linux contiennent tellement de logiciels que Mme Michu n'en connait qu'une minorité et il me semble qu'il faut les droits administrateur pour installés certains logiciels.
Si Mme Michu a fait l'installation elle même c'est Mme Michu geek :)))))
[^] # Re: Pas un problème
Posté par pasBill pasGates . Évalué à 0.
Si tu peux, tu ajoutes ta signature dans le depot de ton systeme, tu signes le driver avec, et tu installes le driver.
[^] # Re: Pas un problème
Posté par khivapia . Évalué à 4.
[^] # Re: Pas un problème
Posté par téthis . Évalué à 2.
Dernière ligne. :)
The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein
[^] # Re: Pas un problème
Posté par Penseur . Évalué à 1.
Comment faire car je veux faire l'installation directement sur un disque scsi n'ayant pas de disque ide ou sata sur la machine ?
Adaptec n'a pas encore crée le pilote pour Windows 7 et Microsoft n'a pas mis de "générique" et je le veux pour la version X64 ;)
Suis-je le seul dans ce cas là ?
# Mais oui ...
Posté par Etienne Bagnoud (site web personnel) . Évalué à 8.
Bien entendu, les distributions n'ont pas encore mis un système qui scanne Internet à la recherche de paquets et des les contrôler pour savoir si ceux-ci contiennent des méchants virus.
Mais un script d'installation d'un .deb a tout pouvoir sur le système. Qu'il soit signé ou pas, d'ou qu'il vienne. Il n'existe pas (ou alors, de façon confidentiel) d'anti virus qui empêcherait ce genre d'attaque.
Oui bien entendu et un rm est tout aussi puissant que n'importe quel virus (quoique avec les systèmes de fichiers actuels et leur snapshot, je suis plus sûre de rien).
Rien de bien grave en somme, c'est un problème d'utilisateur qui donne les droits à n'importe quoi et n'importe comment (vas-y que je double-clique sur tous les exe que je trouve, que je dpkg tous les .deb que je trouve et que je rpm tous les rpm que je trouve n'est pas un comportement sans risque).
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Mais oui ...
Posté par Zenitram (site web personnel) . Évalué à 2.
C'est quoi ce délire? les logiciels Windows répondent bien au besoin, tu veux dire que Linux n'en est pas capable?
Ah oui : on ne demande pas de scanner tout le net, seulement le paquet qui est en cours d'installation. On sait le faire.
Oui bien entendu et un rm est tout aussi puissant que n'importe quel virus (quoique avec les systèmes de fichiers actuels et leur snapshot, je suis plus sûre de rien).
d'où l'intérêt d'outils adaptés. Et oui, Linux devient plus grand public, et on se rend compte que maintenant que les défauts de Windows ne venaient pas de Windows, mais de l'interface chaise-clavier...
[^] # Re: Mais oui ...
Posté par Etienne Bagnoud (site web personnel) . Évalué à 9.
Ah oui : on ne demande pas de scanner tout le net, seulement le paquet qui est en cours d'installation. On sait le faire.
Tous les anti-virus du monde sur Windows et toutes les pop-up d'avertissement n'ont toujours pas résolu le problème et ne le résoudront jamais. Tu sais pourquoi ? Vas derrière un utilisateur qui travail et regarde le cliquer sur "oui" sans lire ce qui est demandé (même si l'antivirus dit "gros virus énorme").
les défauts de Windows ne venaient pas de Windows
Je ne crois pas que Windows soit critiqué parce que l'utilisateur installe tout et n'importe quoi. Faut redescendre sur terre et rester un peu critique.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Mais oui ...
Posté par Thomas Douillard . Évalué à -1.
C'est pareil ici, c'est pas parce qu'on peut pas prouver qu'un programme n'est pas malicieux qu'il n'y a pas de technique qui marchent dans certains cas.
[^] # Re: Mais oui ...
Posté par pasBill pasGates . Évalué à 2.
Moi je suis un gars technique, je vais demander un truc simple: quelle est la difference technique entre un Windows et un Linux qui rendrait Windows plus vulnerable ?
Parce que bon, si c'est la faute de Windows, alors il doit y avoir un truc dans le design qui en est responsable, pure logique.
Tant que cette question n'a pas de reponse, j'en deduis que Windows n'est pas moins sur.
[^] # Re: Mais oui ...
Posté par hervé Couvelard . Évalué à 6.
2) winwin _essaye_ de faire croire à tout le monde que c'est simple et clic-clic alors que nunux explique que c'est pas si simple et qu'il faut mieux rester avec ce que l'on a, dans sa distrib ?
En fait le problème majeur de winwin c'est d'occulter que l'informatique c'est complexe, qu'il y a des concepts à comprendre, pour vendre des machines à tout le monde qui en fait n'importe quoi. et lorsque c'est tellement vérolé que ca met 10 minutes à démarrer, revendre une machine et une license winwin. Avec des techies qui viennent nous expliqué ici que techniquement winwin c'est pas forcement moins bien.
Le problème de winwin c'est bien plus le coté marketing/mafia que le coté technique.
[^] # Re: Mais oui ...
Posté par pasBill pasGates . Évalué à -1.
a) Pas un probleme technique
b) Il y a plein de sites genre download.com qui verifient ce qui est telecharge dessus
c) T'as le droit d'utiliser des LL sous Windows tu sais
d) Tu es en train de nous dire que Linux a un avantage car les gens ne savent pas installer un soft hors-distrib ? Super, la complexite devient un avantage...
2) winwin _essaye_ de faire croire à tout le monde que c'est simple et clic-clic alors que nunux explique que c'est pas si simple et qu'il faut mieux rester avec ce que l'on a, dans sa distrib ?
a) Windows indique clairement aux gens quand ils downloadent qqe chose que c'est potentiellement dangereux, donc non
En fait le problème majeur de winwin c'est d'occulter que l'informatique c'est complexe, qu'il y a des concepts à comprendre, pour vendre des machines à tout le monde qui en fait n'importe quoi
En bref, tu te plains qu'on rende l'informatique plus abordable ? Moi je vois ca comme une avancee, chacun son truc...
[^] # Re: Mais oui ...
Posté par hervé Couvelard . Évalué à 6.
>comme une avancee, chacun son truc...
Non vous ne rendez pas l'informatique plus abordable, vous faites croire que l'informatique est plus abordable, c'est différent. La preuve, il y a des millions de machines winwin infectées, la preuve que ce n'est pas plus abordable.
C'est juste plus abordable financièrement parlant, pas techniquement parlant, si cela'était les machines zombies seraient l'exception.
Faire croire que les gens peuvent installer n'importe comment, même avec un message que personne ne lit, c'est votre business model mafieux avec les 'produits' dérivés (mac afee, anti chose, firewhose, antimalware, photoshop shareware 30 jours, barre ie8 qui te farcie de pub, barre yahoo, barre truc, barre adobe...)
L'installation à la porté de tous pour mieux pourrir les machines. C'est ça votre business model et les comportements illégaux de préinstallation forcée.
[^] # Re: Mais oui ...
Posté par pasBill pasGates . Évalué à 1.
En fait AmigaOS, Windows, Mac OS, ... sont tous des mafieux, seul Linux le chevalier blanc est sans reproche.
Et notre message d'avertissement, c'est bien evidemment notre faute si les gens passent outre, faudrait en fait empecher les gens d'installer les softs qu'ils veulent, c'est ca la liberte de l'utilisateur !
[^] # Re: Mais oui ...
Posté par khivapia . Évalué à 3.
[^] # Re: Mais oui ...
Posté par pasBill pasGates . Évalué à 1.
[^] # Re: Mais oui ...
Posté par khivapia . Évalué à 3.
[^] # Re: Mais oui ...
Posté par Octabrain . Évalué à 5.
Le problème, c'est qu'il l'indique pour tout et n'importe quoi, au point que ça devient un réflexe pavlovien chez ses utilisateurs (tous, même les utilisateurs avancés) de cliquer sur "oui je confirme" sans prendre la peine de vérifier.
[^] # Re: Mais oui ...
Posté par pasBill pasGates . Évalué à 2.
Evidemment pour ce qui est executable c'est un risque, normal de l'afficher a ce moment la.
[^] # Re: Mais oui ...
Posté par windu.2b . Évalué à 4.
Je gagne quoi ? Pas une licence Windows, j'espère...
[^] # Re: Mais oui ...
Posté par pasBill pasGates . Évalué à 1.
Sinon, en passant, Vista/Win7 ont seulement le 1er compte comme admin(avec confirmation), les autres sont user simple
[^] # Re: Mais oui ...
Posté par windu.2b . Évalué à 6.
Par contre, le coup de passer en compte utilisateur et d'utiliser 'runas', j'ai testé plusieurs fois (quand j'étais sous XP) : ça a merdé dans pas mal de cas !
Des softs (dont des jeux comme "Les Sims") refusaient de s'exécuter de cette façon ! Obligé de passer par le compte admin, du coup...
Tu me répondras sans doute que MS n'est pas responsable de la façon dont ce jeu (pour rester sur mon exemple) a été développé, et je te rétorquerais alors (oui, j'aime bien rétorquer, pas vous ?) que si MS n'avait pas merdé pendant tout ce temps en laissant les utilisateurs avec un compte admin par défaut, les éditeurs de logiciels n'auraient pas pris de mauvaises habitudes.
Tiens, je me pose d'ailleurs une question (rhétorique, car je crains que la réponse soit difficile à trouver) : quelle est la proportion de logiciels propriétaires et de logiciels libres incapables de tenir compte des comptes "non-admins" ?
Je vais m'avancer en misant sur une proportion en faveur des LL (surtout s'il s'agit de LL mutli-plateformes).
[^] # Re: Mais oui ...
Posté par pasBill pasGates . Évalué à 2.
Ben c'etait un peu le probleme de l'oeuf et la poule (softs Win9x qui ont besoin d'admin), mais la plupart des softs "normaux" (= pas les jeux qui ont tendance a acceder au systeme de maniere esoterique) tournent a travers runas
Tiens, je me pose d'ailleurs une question (rhétorique, car je crains que la réponse soit difficile à trouver) : quelle est la proportion de logiciels propriétaires et de logiciels libres incapables de tenir compte des comptes "non-admins" ?
Je vais m'avancer en misant sur une proportion en faveur des LL (surtout s'il s'agit de LL mutli-plateformes).
Probablement oui
[^] # Re: Mais oui ...
Posté par shbrol . Évalué à 4.
Tu nous dit que sous Vista/7 seulement le premier compte est admin, donc si je ne crée qu'un seul compte, et la plupart des gens n'ont pas besoin de plus, alors c'est un compte admin...
Tu vois la différence ? En ne créant que le strict nécessaire (un seul user), sous Win c'est un administrateur, sous Linux non.
Mais je te l'accorde, ce n'est absolument pas un probleme technique, c'est juste une histoire d'ergonomie, domaine qui n'a jamais été le fort de Windows.
[^] # Re: Mais oui ...
Posté par pasBill pasGates . Évalué à 0.
[^] # Re: Mais oui ...
Posté par windu.2b . Évalué à 4.
Pour moi, et pour pas mal de monde, les pop-up qui apparaissent sans arrêt, ça un effet malsain, car on finit par ne plus les lire. Alors qu'une pop-up qui me demande mon mot de passe, je vais prendre le temps de lire pourquoi elle me le demande !
La différence est peut-être trop subtile...
[^] # Re: Mais oui ...
Posté par windu.2b . Évalué à 2.
J'en viens à bouffer des mots, désolé.
[^] # Re: Mais oui ...
Posté par pasBill pasGates . Évalué à 0.
[^] # Re: Mais oui ...
Posté par windu.2b . Évalué à 2.
Bref, quand t'en as vu plusieurs qui s'enchainent, y a un moment où tu ne fais plus attention et où tu te contentes de cliquer. Puisque c'est la même pop-up, pourquoi ne pas réclamer le mot de passe ? Même si c'est l'admin ? Car après tout, on s'en fout que lui connaisse son mot de passe, ce qu'on veut c'est s'assurer que c'est bien lui, et surtout attirer son attention en réclamant ce qui est le plus important (son mdp).
[^] # Re: Mais oui ...
Posté par pasBill pasGates . Évalué à -1.
Non, l'objectif principal c'est :
a) Forcer les softs existants a ne plus avoir besoin d'etre admin
b) Detecter toute tentative de modification en douce du systeme
Demander le mot de passe a l'admin a chaque fois, niveau qualite d'utilisation c'est vraiment pourri, lui demander son autorisation avec un click, c'est un peu chiant mais c'est certainement bcp plus agreable d'utilisation.
Niveau securite ca ne change rien, car ces pop-ups ils ne se produisent pas 40 fois par jour hein, tu utilises Office+Firefox+MPlayer/Media Player+Paint.NET ou Gimp etc... tu ne le verras jamais, c'est uniquement quand tu veux faire un changement au systeme qu'il apparait.
[^] # Re: Mais oui ...
Posté par windu.2b . Évalué à 1.
Mettre juste une pov' pop-up à-la-con disant "êtes-vous sûr de vouloir faire ça ?", je trouve ça bien moins précis qu'une pop-up disant "pour faire ça, vous devez indiquer votre mot de passe d'administrateur".
Mais bon, on va pas tergiverser toute la nuit là-dessus : on sait parfaitement que MS en avait quelque chose à cirer de la sécurité, ils n'auraient pas foutu des comptes admin par défaut, et ils n'auraient pas mis ces pop-up avec juste 2 boutons OK/Annuler. Non, ils auraient pris exemple sur le monde Unix (par ex.) en ayant recours à un compte root bien à part, qui peut même ne pas être loggué graphiquement !
(ça dépend de la config)
[^] # Re: Mais oui ...
Posté par pasBill pasGates . Évalué à -2.
Euh t'as visiblement jamais vu le pop-up, le pop-up dit tres explicitement que l'application est en train d'essayer d'acceder au systeme.
Mais bon, on va pas tergiverser toute la nuit là-dessus : on sait parfaitement que MS en avait quelque chose à cirer de la sécurité, ils n'auraient pas foutu des comptes admin par défaut, et ils n'auraient pas mis ces pop-up avec juste 2 boutons OK/Annuler.
Visiblement tu as un mal fou a imaginer qu'un mode autre qu'Unix peut fonctionner. Mais bon, chacun ses preferences.
Non, ils auraient pris exemple sur le monde Unix (par ex.) en ayant recours à un compte root bien à part, qui peut même ne pas être loggué graphiquement !
logge graphiquement ? gni ?
[^] # Re: Mais oui ...
Posté par windu.2b . Évalué à 3.
C'est à dire que root ne peut pas s'identifier au prompt graphique et ne peut donc pas lancer Gnome/KDE/whatever... Le système le refuse !
Ça évite donc de se retrouver avec une session graphique où tout est lancé en root et où la moindre couille peut te foutre tout le système en vrac sans crier gare... En gros, ne pas faire comme fait XP !
[^] # Re: Mais oui ...
Posté par pasBill pasGates . Évalué à -1.
[^] # Re: Mais oui ...
Posté par Etienne Bagnoud (site web personnel) . Évalué à 2.
En même temps, et pour être honnête, je penses que la plus part des utilisateurs veulent pouvoir installé n'importe quoi et amener réparer si c'est cassé. Il faut les fouetter avec un barbelé rouillé, mais je m'emporte, je m'emporte.
C'est comme si un revendeur installait Windows avec l'UAC désactiver par défaut (never notify). Pour certaines personnes je le fais (pas l'UAC, le sudo sans mot de passe) et pour d'autre j'installe openSSH, no-ip ou dyndns et je gère moi. C'est la seule solution.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Mais oui ...
Posté par Albert_ . Évalué à 3.
T'es vraiment sur de cela? Il me semble que cela n'est pas le cas. Enfin sur la version que j'ai eu recemment en main c'etait pas(plus?) le cas. Des ubuntuiste pour confirme/infirmer?
[^] # Re: Mais oui ...
Posté par allcolor (site web personnel) . Évalué à 3.
[^] # Re: Mais oui ...
Posté par Etienne Bagnoud (site web personnel) . Évalué à 3.
Maintenant il est vrai que Windows devient de plus en plus "unix" parce que justement, c'est dur de faire mieux et grand public à la fois. Mais Windows souffre beaucoup de cet absence de séparation des droits et Microsoft doit recourir à la "virtualisation" des applications pour que les applications pré-"Windows avec séparation des droits" puissent continuer à fonctionner normalement (ou alors couper avec ça, mais ça fait beaucoup trop d'applications qui risquent de ne plus fonctionner et Microsoft a déjà assez souffert de la cassure dans le domaine des drivers sur Vista).
Ensuite durant longtemps Microsoft a refusé de travailler avec les standards et a tenté de réinventer la roue, on se souvient particulièrement du hachage des mots de passe LanMan et NTLM. Maintenant Microsoft est passé à Kerberos et ça va mieux (mais doit toujours supporté ces trucs d'antan).
La preuve du temps. Maintenant que Microsoft implémente des sécurités comme la séparation des privilèges et tout ça, il faut que ces sécurités soient prouvées sur la durée, donc encore bien 5 ou 10 ans à traîner cette réputation de gruyère ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Mais oui ...
Posté par Littleboy . Évalué à 4.
Ahahahah, heureusement que le ridicule ne tue pas.
Je peux le faire aussi?
La gestion des ACL qui est recente dans l'univers Unix mais eprouvee sous Windows.
L'interface utilisateur graphique qui est recente sous Linux mais eprouvee sous Windows.
Ah ouais, ca marche, suffit juste de prendre "recent" comme egal a "15 ans ou plus".
[^] # Re: Mais oui ...
Posté par Etienne Bagnoud (site web personnel) . Évalué à 3.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Mais oui ...
Posté par Tonton Th (Mastodon) . Évalué à 0.
Je peux le faire aussi ?
ah ah ah ah
[^] # Re: Mais oui ...
Posté par lolop (site web personnel) . Évalué à 2.
Les principes de X datent de 1984.
XFree semble avoir débuté en 1992.
Bon, c'était pas la même interface à l'époque que ce qu'on trouvait dans MacOS ou sous les Windows 3.x, mais c'était là.
Et perso, quand j'ai démarré sous Linux, il y avait XFree.
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
[^] # Re: Mais oui ...
Posté par pasBill pasGates . Évalué à -1.
Recente ? Marrant, elle est la depuis la naissance de Windows.
Qu'on se comprenne hein, Win9x et NT, c'est pas les memes OS au cas ou tu n'aurais pas remarque.
Maintenant il est vrai que Windows devient de plus en plus "unix" parce que justement, c'est dur de faire mieux et grand public à la fois.
Pas de bol, NT est inspire de VMS, dont il partage le meme auteur, pas d'Unix.
La preuve du temps. Maintenant que Microsoft implémente des sécurités comme la séparation des privilèges et tout ça, il faut que ces sécurités soient prouvées sur la durée, donc encore bien 5 ou 10 ans à traîner cette réputation de gruyère ...
Je me demandes comment tu oses dire que tu sais administrer un systeme Windows quand tu sors des phrases de ce genre, sachant que NT a une separation de privileges bien plus fine qu'Unix depuis 1992
[^] # Re: Mais oui ...
Posté par Etienne Bagnoud (site web personnel) . Évalué à 3.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Mais oui ...
Posté par pasBill pasGates . Évalué à -1.
[^] # Re: Mais oui ...
Posté par Etienne Bagnoud (site web personnel) . Évalué à 2.
Le problème des logiciels malveillants sont rares sur les ordinateurs des professionnels de l'informatique (enfin je supposes que ceux qui bossent là-dedans font attention).
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Mais oui ...
Posté par totof2000 . Évalué à 1.
[^] # Re: Mais oui ...
Posté par barmic . Évalué à 2.
Si c'est le cas ne compare ces OS propriétaires qu'avec des distribution d'après 2003 date de sortie de linux 2.6.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Mais oui ...
Posté par pasBill pasGates . Évalué à 0.
Sinon, XP c'est 2001, annee ou le kernel 2.4 est sorti
[^] # Re: Mais oui ...
Posté par kikicnrv . Évalué à 4.
Ce n'est pas les malware sous windows qui sont critiqués (installer un programme qui lance une commande qui fait chier, ça reste compliqué à détecter)
Ce sont les virus qui sont critiqués : les saletés qui arrivent chez toi sans intervention de ta part, qui s'installe et ont tous les droits, qui se répliquent et se propagent à volonté. Alors peut être que Linux en aura un jour son lot mais pour l'instant ça reste très limité.
Il faudrait comparer ce qui est comparable.
Et tu te plains plus haut de l'attitude fermée des linuxiens. Là encore arrête de faire ta mijoré. Si tu n'adoptais cette attitude permanente et pénible du jusquauboutisme (et donc obtu) dans la défense de Windows, tu obtiendrais peut être des réponses différentes ...
[^] # Re: Mais oui ...
Posté par grid . Évalué à 1.
Personnellement, je suis contre les scripts dans paquets. C'est une hérésie qu'on puisse écrire un rm / -rf dans un .deb
Ou alors, il faudrait en truc en LUA/JVM, contrôler par la distrib qui autoriserait l'accès à tel ou tel ressource suivant la confiance accordé au paquet.
[^] # Re: Mais oui ...
Posté par claudex . Évalué à 4.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Mais oui ...
Posté par hervé Couvelard . Évalué à 2.
il y a divert pour contourner cette situation, sinon en bourrinant il y a --force-overwrite mais là... c'est un peu du masochime quand même
[^] # Re: Mais oui ...
Posté par zebra3 . Évalué à 2.
Sur RPM, c'est autre chose me semble-t-il : un paquet RPM peut remplacer un fichier qui n'est pas à lui, mais à condition d'utiliser l'option « -U » (pour update, ce qui justifie le remplacement) plutôt que « -i » (installation).
Mais j'avoue ne plus en être sûr, il faudrait que je teste en détail.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Mais oui ...
Posté par dguihal . Évalué à 3.
Si tu veux vraiment jouer à ça, et c'est bien entendu vivement déconseillé, c'est le flag --force qui le permet
[^] # Re: Mais oui ...
Posté par mouskouyouss . Évalué à 1.
Et le paquet malware ne pourra pas être installé par Mme Michu.
[^] # Re: Mais oui ...
Posté par allcolor (site web personnel) . Évalué à 1.
Est-ce que dpkg refuse aussi d'écraser un fichier (sans force-overwrite) si il existe sur le filesystem mais non référencé dans un paquet ou il fait juste ça pour les fichiers qu'il connait dans sa base ?
Dans le cas 1, ce qui est décrit est possible sans warning, dans le cas 2 effectivement on est "protégé" de ça.. mais pas des scripts de postinstall.
[^] # Re: Mais oui ...
Posté par Wawet76 . Évalué à 7.
Non parce que même si tu vires les scripts de configuration (nécessaires pour plein de trucs, mais bon...) il reste de possibilité de déposer un fichier dans /etc/cron.d/ ou autre part.
[^] # Re: Mais oui ...
Posté par inico (site web personnel) . Évalué à 1.
Donc /etc/profile.d/, /etc/cron.hourly/, /etc/event.d/, /etc/xinetd.d/, /etc/bash_completion.d/ et j'en passe.
[^] # Re: Mais oui ...
Posté par grid . Évalué à 2.
Parce qu'à part des programmes bien spécifiques, la majorité des programmes (surtout utilisateur) ont juste besoin d'installer des fichiers dans /usr/lib et /usr/bin.
[^] # Re: Mais oui ...
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 2.
Ce qui est déjà très dangereux. Un paquet tout bête peut voir besoin d'installer un binaire dans /usr/bin : si tu mets un avertissement pour ça, tu vas pourrir tout le monde à chaque paquet. Donc, concevons un paquet qui met un /usr/bin/ls qui lance ls, puis, silencieusement, envoie ton profil Firefox par courrier électronique à quelqu'un d'autre. Gênant, non ?
Des cas comme ça, on peut en trouver plein de différents, et il est très difficile, et peut-être même impossible, de les identifier tous. Le vrai problème, c'est qu'installer un logiciel, c'est dangereux, point. Si le logiciel en question ne provient pas d'une source vérifiée, en qui on a confiance, il ne faut pas l'installer.
[^] # Re: Mais oui ...
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 2.
Bref, pas besoin de remplacer quoi que ce soit, quand on installe un paquet, l'étape dangereuse, ce n'est pas en particulier les scripts du paquet, ni les remplacements qu'il peut faire, non, c'est l'installation tout court !
[^] # Re: Mais oui ...
Posté par Thierry . Évalué à 5.
Ouais, ça je connais. Mon gamin a un peu abusé du --force --vazy --adonf sur sa Bubuntu, et ça a donné ça : http://foo.buvette.org/vrac/errordeb.html qui montre bien l'étendue des massacres possibles. Et si ça se trouve, dans les .deb qu'il a installé à la rache, il y avait un vilain truc.
Bubuntu, à force de vouloir rendre Linux abordable par madame Michu (et sa nièce, que je salue au passage) a réussi à en faire un vrai clône du modêle original. Difficile de dire si c'est un progrès ou non, mais les conséquences de ce genre vont être de plus en plus courantes, hélas.
[^] # Re: Mais oui ...
Posté par Etienne Bagnoud (site web personnel) . Évalué à 7.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Mais oui ...
Posté par zebra3 . Évalué à 10.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Mais oui ...
Posté par Etienne Bagnoud (site web personnel) . Évalué à 5.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Mais oui ...
Posté par Thierry . Évalué à 1.
Bah, le petit drôle va torcher ça en 20 minutes avec un peu de Python qui fabrique du Xml/Css...
Je préfère qu'il apprenne à installer une Slackware et un OpenBSD, ce qui sera bien plus instructif. Une fois passé le rite initiatique du disklabel, il deviendra plus prudent dans ses expériences nainformatiques :)
# SeLinux
Posté par claudex . Évalué à 6.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# Au contraire
Posté par ploum (site web personnel, Mastodon) . Évalué à 10.
Le problème est tout autre : il faut diminuer les faux positifs !
Exemple : apt prévient déjà lorsqu'un paquet ou un dépôt n'est pas signé. Problème : il est très difficile d'ajouter une clé pour un dépôt donné.
Personnellement, j'utilise 4 dépôts hors-distrib (PPA) et j'ai donc, à chaque fois, des erreurs me disant que ces paquets ne sont pas signés que les dépôts sont inconnus. La procédure pour ajouter ces dépôts à mes "clés de confiance" est tellement complexe que je ne sais jamais comment faire (et en plus, ça ne marche pas derrière un proxy). Du coup, je m'habitue aux messages d'erreurs et ne ferais pas attention si une 5ème erreur de signature se glisse dans le tas.
On observe le même phénomène avec cet imbécile de firefox et de site non-signé. Un certificat self-signé ou expiré est tellement fréquent et tellement difficile à outrepasser que l'on s'habitue et l'on ne s'étonnerait pas de le voir sur le site de sa banque. Alors que si rajouter une autorité de signature était facile, on en utiliserait des libres beaucoup plus facilement, que si les erreurs de certificat n'étaient importantes que lorsqu'on poste des informations (pas en lecture seule donc) et avec différents degrés (un certificat expiré depuis hier est moins grave qu'un certificat non-signé).
Paradoxalement, Il faut donc permettre à l'utilisateur d'outrepasser facilement la sécurité afin de la renforcer.
Si apt, au lieu de me sortir une erreur cryptique GPG, me disait : "Ce dépôt/paquet n'est pas reconnu. Voulez-vous désormais lui faire confiance? Attention, ce-faisant, faites entièrement confiance à l'éditeur XXX de ne mettre à votre disposition que des logiciels sécurisés et non-infectés".
Si ce message n'apparaissait que rarement, avec l'ajout d'un nouveau dépôt, l'utilisateur s'inquiéterait peutêtre et se poserait la question. Et si malgré tout l'utilisateur se fait piraté, il ne peut pas s'en prendre à la distribution : il était prévenu et, le message étant rare, il n'a pas du cliquer "par réflexe".
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: Au contraire
Posté par bubar🦥 (Mastodon) . Évalué à 5.
Mais personnellement je mettrai une limite, limite qui n'est pas seulement 'philosophique' mais aussi 'pragmatique' : je ne vois pas pourquoi je devrais permettre une confiance absolue à l'éditeur XXX, alors que le système permet de construire une confiance intermédiaire.
L'éditeur XXX, cad hors dépôts officiels, pourrait être interdit de remplacer n'importe quelle brique du système, et être interdit de déposer dans le système lui même, tout simplement. Sans pour autant interdire à l'utilisateur, effectivement, de choisir de faire confiance à cet éditeur.
Un méchanisme -présenté grossièrement ici- tel que :
>"tiens c'est un paquet non officiel... Voulez-vous désormais lui faire confiance? Attention, ce-faisant, faites entièrement confiance à l'éditeur XXX de ne mettre à votre disposition que des logiciels sécurisés et non-infectés"
L'utilisateur clique "ok"
Et le système s'occupe de chrooter tout cela dans /opt... Rien, et aucun scripts %pre ou autre, venant de ces paquets ne devraient pouvoir toucher au système lui même : automatiquement redirigé vers un 'container', avec -et depuis- un compte d'installation, pour ces paquets externes, spécifique.
Actuellement on est resté sur un mode très binaire, qui montre ses limites : t'es root, ou pas. Alors qu'il me semble que de nombreuses distributions, dans leurs versions serveurs, configurent le nécessaire, un compte intermédiaire. Dans le même esprit, mais pas dans le même objectif. Gnu/Linux est un système fantastiquement maléable, mais peu en profite vraiment.
On pourrait peaufiner cela en appliquant des acl par défaut sur les ~ afin que tout /opt ne puisse avoir accès à ~. Mais là cela pourrait restreindre l'usage de certains logiciels... donc peut être pas par défaut.
en tout cas, j'avoue que le mélange des genres dans le gestionnaire de paquets me fait un peu peur... Permettre à n'importe quel "partenaire" d'installer ses applications depuis le gestionnaire de paquets, pour des logiciels pas libres... je reste dubitatif, et pas seulement philosophiquement. Je préfèrerai un système libre, et avec éventuellement des applications pas libres mais "statiquées, bordélisées et containérisées", dans un /opt. Ou chaque brique du système est prévue pour cette gestion. Au final, l'utilisateur clique sur "ouaih ze veux installer ce super prog de la mort qui tue", le système lui permet, OK, mais le système se protège.
mes 2 cents
[^] # Re: Au contraire
Posté par rictus (site web personnel) . Évalué à 1.
Alors oui, ça serait peut-être plus simple si apt posait directement la question, mais combien répondrait Y sans réfléchir vraiment à la confiance à accorder à la provenance du .deb ? (Problème d'éducation de l'utilisateur évoqué plus haut).
Enfin j'ai lu qu'en diagonale le journal, ça changerait rien au problème, car le paquet malicieux était peut-être tout de même bien signé.
Je partage l'avis de se limiter aux paquets fournis par sa distribution, aussi frustrant que cela puisse être.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Au contraire
Posté par ploum (site web personnel, Mastodon) . Évalué à 5.
2) ça ne marche pas derrière un proxy car la majorité des serveurs de clé utilisent un autre port que 80. C'est bête hein.
Cette réponse fait partie des solutions de type "attend, je te balance 15 commandes, y'a plus de problèmes". Cela n'apporte rien rien rien !
Soit l'utilisateur ne sait pas taper la commande et il s'habitue aux erreurs : mauvais
Soit l'utilisateur sait taper la commande et dans ce cas, il aimerait avoir un boutton pour ne pas avoir à s'en rappeler.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Au contraire
Posté par khivapia . Évalué à 3.
[^] # Re: Au contraire
Posté par Grunt . Évalué à 2.
"Vois-tu, ho système, dès que je suis root, je te dirai de faire confiance à ce dépôt, et d'exécuter en tant que root les scripts qu'il contient."
Faudrait redescendre sur terre, et oui ça concerne aussi madame Michu: ajouter la clef d'un dépôt, c'est comme confier les droits roots à celui ou ceux qui gèrent le dépôt. Puisqu'il peut nous proposer des scripts qu'on téléchargera et exécutera en tant que root en toute confiance.
On ne peut pas auditer soi-même tout le code qu'on utilise, mais entre faire confiance aux gens de Debian, et faire confiance aux gens de Debian + à ceux de 36 000 dépots tiers montés il y a 2 ans par d'illustres inconnus, il y a une marge, non?
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
# La faute à qui?
Posté par Olorim . Évalué à 3.
Ensuite, madame Michu, avant de passer à Linux, il faudrait qu'elle ai un minimum de connaissance en informatique, genre les truc à ne pas faire. C'est d'ailleurs quelque chose que Md Michu devrait avoir même si elle reste sous Windaube : Il ne faut pas écouter les vendeurs qui garantissent une sécurité absolu, parce que c'est un mensonge. C'est, à mon sens, un autre objectif du libre : que les gents prennent un minimum conscience de leur outils.
Dans tout les cas, je ne vois pas vraiment comment faire autrement que créer des anti-spyware et d'installer un anti-virus (ça existe déjà sous Linux il me semble). Libre à toi de développer ces outils si ils te semblent nécessaires, je suis sur que tu trouvera preneur.
# Enfin !!!
Posté par windu.2b . Évalué à 10.
\o/
À nous les Norton Antivirus qui vous bouffent tout le proco (sans doute pour ne pas laisser de ressources aux virus), à nous les alertes et pop-up à tire-larigot pour nous demander si on est vraiment sûr de vouloir déclencher l'airbag faire ce qu'on vient 3 fois de confirmer, à nous les coups de fil à pas d'heure de madame Michu, mamie Huguette, tatie Jeannine et cousin Kevin nous demandant de venir de toute urgence pour nettoyer son ordi que "non, je sais pas comment ce fichier pr0n.jpg.bin est arrivé là..."
[^] # Re: Enfin !!!
Posté par Aldoo . Évalué à 1.
# Conseil...
Posté par cosmocat . Évalué à 10.
Bien entendu ->[]
[^] # Re: Conseil...
Posté par fleny68 . Évalué à 4.
[^] # Re: Conseil...
Posté par cosmocat . Évalué à 1.
J'ai utilisé GNOME pour la première fois avec GNOME 1.2 (sortie en 2000, soit il y a 9 ans) et il était pas des masses avancé alors un GNOME d'une dizaine d'années (soit avant la version 1), je veux même pas savoir....
# Re:
Posté par Tonton Benoit . Évalué à 2.
Généralement je ne télécharge rien de dangereux sur les *-look, des pack d'icônes (sans installeur), des wallpapers... Si je veut un truc genre gtk-engine je préfère passer soit par ma distrib, soit par le site officiel du projet (plus à jour) si pas de paquet pour ma distrib.
[^] # Re: Re:
Posté par Cyrille Pontvieux (site web personnel, Mastodon) . Évalué à 5.
Et puis bon, le titre du journal est un peu faux. Que je sache les distro Linux n'utilisent pas toutes des ".deb". C'est quoi cette généralisation à la con ?
[^] # Re: Re:
Posté par Octabrain . Évalué à 10.
# Mauvais Titre !
Posté par kowalsky . Évalué à 5.
[^] # Re: Mauvais Titre !
Posté par Olorim . Évalué à 2.
Sur ce, je ne suis pas sur qu'il soit impossible de transformer le paquet deb en rpm...
[^] # Re: Mauvais Titre !
Posté par patate . Évalué à 9.
[^] # Oulah!
Posté par Larry Cow . Évalué à 7.
(pardon)
# Heureusement que c'est pas comme sous windows
Posté par Mais qui suis-je ? :) . Évalué à 3.
Est-ce car les utilisateurs de windows trollent moins ou est ce qu'ils ont l'habitude des malware ?
[^] # Re: Heureusement que c'est pas comme sous windows
Posté par Olorim . Évalué à 1.
Ha ben tu sait, les troll sous windows sont un peut limités : vu le niveau intellectuel du ouindosien moyen...
[/méchant gratuit]
Plus sérieusement, vu la palette d'outils/applications/composant supporté, t'as pas beaucoup de chois, alors a part troller sur bloquenote Vs Wordpad... je te laisse imaginer comme c'est intéressant comme troll...
[^] # Re: Heureusement que c'est pas comme sous windows
Posté par Octabrain . Évalué à -1.
je crois que tu as des problèmes d'orthographe, fais attention, on pourrait croire que c'est ton cerveau qui est limité.
# Réchauffé
Posté par 태 (site web personnel) . Évalué à 3.
Pas vraiment, ça a juste pris du temps. Ça fait tout de même 3 ans qu'on nous a fait remarquer qu'ajouter des dépôts sans se poser la moindre question c'était mal : http://www.flickr.com/photos/trevi55/296804891/
Il va sans dire que télécharger des paquets depuis n'importe où n'est pas mieux.
> Il faudrait empêcher l'installation.
C'est le cas, seul le super-utilisateur a le droit d'installer des paquets. Or le super-utilisateur connaît les risques (puisque sudo les énumère).
> Il faudrait supprimer le malware
> on ressort des lignes de commandes de 20 lignes.
Les lignes de 20 lignes, c'est bizarre, mais bon, si vous voulez, je fais un .deb qui ajoute un bouton sur le bureau qui exécute le script...
> Que ceux qui ont déjà vérifié un paquet sur gnome-look (considéré à tort comme un site de confiance) me jette la première pierre.
Qui le considère comme un site de confiance ? Je pense qu'aucun utilisateur n'a jamais vérifié des paquets de gnome-look parce que ceux qui sont suspicieux n'auraient pas l'idée de télécharger des paquets là.
> Il n'existe pas d'anti malware en standard.
Il en existe pourtant. rkhunter, chkrootkit, il y a même des antivirus.
> Décidément, linux n'est pas prêt pour le desktop de madame Michu.
Décidément, on prend madame Michu pour une conne.
# Parefeu applicatif
Posté par ǝɹɹǝıd oɯɐɹʇ . Évalué à 1.
http://www.debian-administration.org/articles/120
mais il semblerai que la solution soit nufw (serveur + client) sur la machine
http://www.nufw.org/
# Mouai
Posté par ckyl . Évalué à 7.
Le seul modèle de défense est la confiance et miser sur le fait que si y'a un truc vilain la masse des utilisateurs finira par le voir. Quand on y réfléchi, la chaine de confiance n'est pas bien solide....
J'anticipe deux réponses: gagner le root sur une station de travail n'est pas ce qui embête l'utilisateur ça permet juste de faire plus de choses à l'attaquant; et gagner le compte utilisateur sur une station de travail, c'est gagner le root d'ici 5 minutes à 1 semaines.
[^] # Re: Mouai
Posté par totof2000 . Évalué à 4.
... Jamais sur une machine qui me sert, mais parfois sur des machines de test. Et je sais à quoi m'attendre.
[^] # Re: Mouai
Posté par hervé Couvelard . Évalué à 2.
si tu n'es pas sur ta machine, tu fais très attention et tu n'installes pas à tort et à travers. Sur la tienne, tu sais ce que tu fais en compilant du code sans le relire en provenant d'un endroit que tu ne connais pas.
ok, le serveur tartempion que tu connais peut très bien être compromis mais effectivement la chaîne de confiance c'est que plein de gens reluque le code.
C'est déjà bien plus rassurant que la chaîne de confiance d'un winwin ou c'est juste "ça peut pas péter ,c'est sur clubic."
Que même si ça fait pété la tienne de machine, on va t'expliquer que c'est parce que tu es une brélouze, que l'autre qui si connaît ca marche bien chez lui et tu ne pourras pas vérifier car tu n'a pas le code.
Peut être que l'autre qui si connaît, sa machine a pété aussi et il s'en aperçoit pas, ou il dit rien juste pour te traiter de brélouze, va savoir. Rien ne dit que ce que dit pbpg soit vrai, qu'il ne réinstalle pas régulièrement, chez lui ou sa soeur/mère/tante/42. Moi je ne connais personne autour de moi sous windows ou il n'y a jamais de problème. C'est que je dois être une brélouze. Même l'expert forestier avec qui je bosse lorsqu'on en parle me dit que dans ses relations, il n'y a pas une semaine ou quelqu'un n'est pas en rade avec son ordinateur. Un de mes clients web a perdu cette semaine une bonne partie de ses fichiers suite à ??? un truc qui a planté et un point de restauration qui s'est mal fait. Mais je dois être une brélouze de connaître que ces brélouzes.
Depuis quelques temps je n'exécute plus un seul script tiers sans l'avoir lu. même de hp, les flashtruc, installation de driver etc....
[^] # Re: Mouai
Posté par ploum (site web personnel, Mastodon) . Évalué à 4.
- Je n'utilise plus que les paquets Ubuntu ainsi que quelques PPA. Lorsque j'ajoute un PPA, je regarde qui en est l'auteur et je cherche si il a un certains passé libriste et j'estime si je peux lui faire confiance.
- Si le paquet est fourni directement sans dépôt, je ne le prends que sur le site officiel du logiciel et cela a du m'arriver 2 fois à tout casser. (genre pour VirtualBox)
- Je relis tous les scripts.
- Tout ce qui n'est pas paquet deb, je le lance d'abord dans le compte d'un utilisateur de test et jamais jamais en root.
Mais force est de constaté que, depuis presque 2 ans, les logiciels qui ne sont pas dans les dépôts de ma distrib se raréfie à l'extrême. Et quand ce n'est pas le cas, je poste une demande de packaging pour debian, une fois sur deux, j'ai le paquet (6 mois plus tard mais quand même, c'est pas mal non?).
Ouais, on devient parano, mais j'ai déjà vu des sales blaques genre "fais un rm -rf / pour voir" cachés dans des scripts obfusqués, juste pour se moquer des débutants.
Mes livres CC By-SA : https://ploum.net/livres.html
# Le grand troll des "virus sous linux"
Posté par CalimeroTeknik . Évalué à 0.
Un « vrai » paquet c'est une archive qui va mettre des fichiers inertes (et le gestionnaire de paquets s'assure qu'il n'en remplace pas) dans une partition...
Question de gestion, encore une fois.
Il n'est pas arrivé celui qui fera exécuter du code avec des privilèges non nuls sur mon pc !
[^] # Re: Le grand troll des "virus sous linux"
Posté par claudex . Évalué à 2.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Le grand troll des "virus sous linux"
Posté par Thomas Douillard . Évalué à 3.
[^] # Re: Le grand troll des "virus sous linux"
Posté par CalimeroTeknik . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.