Le 25/09/2012 à 18h 49

exactitudedotcom a écrit :

Sauf que les sources n’ont été publiées après que la faille ait été corrigée…



Mais ça n’a aucun rapport avec la choucroute ?! Tu affirmais sans complexe que la faille PDF ne permettait pas d’exécution de code à distance, et c’est faux, c’est tout. Que ça soit patché ou non n’a rien à voir avec ton affirmation, et tu avais tort, c’est tout. Cherche pas à changer de sujet.



exactitudedotcom a écrit :

Et encore une fois, entre le PDF lu et la fameuse exécution dont tu parles, il y a quoi ? Rien ?



Tu comprends rien ou tu fais exprès ? Le PDF lu permet d’exécuter du code, c’est tout, point barre. Qu’est ce que tu veux d’autre ? Tu prends un PDF, tu exploites la faille avec, bim ça exécute un shellcode, voilà. Après si tu veux jailbreak tu passes kernel avec une seconde faille (triggée par la première exécution de code qui vient du PDF)



exactitudedotcom a écrit :

Mais ne soyez pas mauvais joueurs, c’est une putain de mega-fail….Un truc enorme." />" />



J’ai jamais dis le contraire (quoique, c’est pas le mega fail non plus, c’est moche c’est tout). C’est pas parce que c’est un fail que ça t’autorise à dire n’importes quelles conneries sur le device que tu préfères.

Le 25/09/2012 à 18h 32

exactitudedotcom a écrit :

Ha bon ? il y a une source que tu m’as filé qui dit que la faille exploitée par les deux seuls mecs au monde capables d’en faire quelque chose pour installer Cydia, aurait pu servir à autre chose ? Ce n’est pas ce que disait ta source.



Y’a une putain de grosse différence entre trouver les failles et les exploiter comme il faut, et réutiliser le travail publié par ces gars là (qui ne sont pas les deux seuls mecs au monde capable de faire ça, non, clairement pas) et changer le binaire exécuté à la fin de l’exploitation : “Once the kernel exploit is done, the mach-o binary contained in subroutine 0 is decompressed into /tmp/locutus and run using the posix_spawn function.”. Si j’ai été capable de faire ça, n’importe quel auteur de malware peut le faire aussi.

Et si tu lis les commentaires de cette analyse, tu vois que Comex, l’auteur de jailbreakme.com, poste un lien vers le github sur lequel il a mis les sources de son exploit :https://github.com/comex/star_

Ça te suffit, l’auteur de jailbreakme.com comme source, ou c’est pas encore suffisant ?

Le 25/09/2012 à 18h 15

exactitudedotcom a écrit :

Mais non, les trolls au dessus, te disent que non :) " />



Et ils ont raison.

Le 25/09/2012 à 18h 14

exactitudedotcom a écrit :

Quel cador !



Pardon ? tu demande une source, je te dis que j’ai déjà indiqué un lien, t’as qu’à aller le lire, et c’est la seule chose que tu as à répondre ? Faut arrêter de troller 5 minutes, c’est pas toujours drôle, et là clairement ton troll ne l’est pas.

En attendant je te prouve par A+B que tu as tort (c’était pas très dur, faut pas être un génie pour comprendre que si on peut installer cydia à distance sur un device, on peut aussi installer ce que l’on veut…), et ta seule réponse c’est que ceux qui ne sont pas de ton avis sont des trolls. " />

Le 25/09/2012 à 17h 10

exactitudedotcom a écrit :

Source ?



Lire mon premier message… + un cerveau logique.

Au passage, je l’ai codé pour m’amuser, donc bon, je sais un peu que ça marche…



exactitudedotcom a écrit :

Et puis personne n’a eu à en faire l’expérience, ne t’en déplaise.



N’importe quoi. C’est pas parce que TU n’es pas au courant que ça n’est pas arrivé.

Le 25/09/2012 à 17h 00

exactitudedotcom a écrit :

Ce n’est pas parce que tu exécutes un bout de code, que tu prends le contrôle à distance de l’appareil comme le prétend le troll orange ci-dessus. CQFD



Mais wtf ?! Si tu peux jailbreaker un iphone a distance, tu peux remplacer la payload qui jailbreak par ce que tu veux. Bien sûr que si, tu pouvais totalement prendre le contrôle à distance de l’appareil.

Le 25/09/2012 à 16h 56

exactitudedotcom a écrit :

Non il n’y avait pas de remote exec. Navré. mais bon HS….." />



Pardon ? Et donc comment on jailbreak un iphone, sans exécuter du code ? on lui demande gentiment ?

Bien sûr que si, la faille PDF permettait d’exécuter du code, à laquelle on chainait une faille kernel pour jailbreaker le device.
(infos techniques ici :http://esec-lab.sogeti.com/post/Analysis-of-the-jailbreakme-v3-font-exploit )

D’ailleurs n’importe quelle faille webkit exploitable permet en théorie d’exécuter du code sur un iDevice (en théorie parce qu’en pratique il y a quand même pas mal de protections qui tentent d’empêcher ça).

Le 25/09/2012 à 09h 39

FrenchPig a écrit :

Le NFC je suppose que ça se coupe hein. Tout comme le GPS, le Wifi, et même la 3G





Tolor a écrit :

C’est pas parce qu’il y a le NFC dans un téléphone que tu es obligé de l’utiliser pour payer hein " />



d’où le “presque” de ma phrase ;) C’était surtout pour râler contre NFC, qu’on veut nous imposer comme une solution miracle contre … rien du tout, en fait.

Par contre désactiver le NFC sur les nouvelles CB, c’est un peu plus dur, et là la solution c’est de mettre la carte dans un portefeuille blindé pour qu’elle ne puisse pas fonctionner. Bravo les banques " />

Le 25/09/2012 à 09h 08

gogo77 a écrit :

Et quand tu diras à quelqu’un “tu as le téléphone le plus cher du marché et tu n’as pas le NFC ?” il pourra répondre “Ouais mais aujourd’hui ça sert à rien, et puis regarde, j’ai plus besoin de réfléchir au sens de branchement mon cable de recharge, c’est bien plus important!” (Bon désolé, ça fait un peu troll " />)



Qu’il y ai pas NFC c’est presque un argument pour que je l’achète :) NFC je n’en veut pas, je veux continuer à payer avec ma CB qui fonctionne très bien, qui ne sert qu’à ça et qui est donc par définition plus sûre qu’un mobile utilisé pour surfer sur Internet… (même si NFC ne sert pas qu’à payer)

D’ailleurs on a eu un beau fail de NFC récemment, sur Android à jour, avec une exécution de code à distance via cette technologie sur un Galaxy S3 au pwn2own mobile :http://labs.mwrinfosecurity.com/blog/2012/09/19/mobile-pwn2own-at-eusecwest-2012…
C’est pas le proto NFC qui est en cause mais son implémentation dans Android, mais quand même, c’est pas rassurant de se dire qu’on pourra (devra?) payer en utilisant ça dans le futur.

Le 21/09/2012 à 21h 55

xaossiia a écrit :

(3615 ma vie: mon desire et ma touchpad sont toujours utilisables, tu connais des utilisateurs de 3G 3GS contents de leur appareil là?)



Ma touchpad est toujours utilisable aussi (y’a pas eu de mises à jour, y’a pas de raison qu’elle ne fonctionne plus) et mon iPhone 3GS de 2009 fonctionne aussi à merveille, même mis à jour. J’en suis donc toujours très content :)

Le 20/09/2012 à 09h 02

Gibbon a écrit :

Breaking news : un commentaire donne l’avis de l’utilisateur qui l’écrit !!§



Breaking news : t’as dis l’inverse dans ton commentaire précédent (“Ce n’est que mon opinion ?? “)



Gibbon a écrit :

Ouiiiii, on sait, y’en a qui ont eu des soucis avec Orange. Mais des ralentissements sur certains sites ? Je pense pas ;)



Tu rigoles ?
http://korben.info/probleme-cogent-opentransit-orange-france-telecom.html
http://www.numerama.com/magazine/17828-megavideo-bride-cogent-accuse-a-son-tour-…

Le 20/09/2012 à 08h 41

Lafisk a écrit :

euh, si c’était seulement lent, ça irait, mais quand tu captes pas la 3G sur 75% de ton trajet dans le train, cela devient franchement misérable comme service …

Un sms qui passe pas ? non dans mon cas c’est tous les sms, même si la destination est pas forcément d’un usage ultra courant, je te l’accorde.

Je demande pas que le service soit ultra top pour 20€ par mois, mais que cela fonctionne quand même un minimum, et ben non pour le coup cela n’assure pas forcément même le minimum.



Wartelle a pourtant répondu dans le message que tu cites : tu n’as pas d’engagement, si ça ne te plait pas (et je comprend tout à fait que ça ne te plaise pas si ça ne marche pas comme tu le décris), libre à toi de partir à la concurrence. Au lieu de râler dans le vide, c’est la seule solution, si tout le monde s’en va ils seront obligés de réagir.

Le 20/09/2012 à 08h 37

Baldurien a écrit :

Moi je ne comprend toujours pas pourquoi google ne lance pas un miroir européen de son site consommateur de bande passante… Au moins, on n’encombrerait plus ce câble de vidéo de chats….(allo Cogent ? on a un gros chat dans le câble !)



Ça doit pas être si simple de synchroniser tout Youtube avec des machines en Europe :) Et ça risque de leur coûter bien cher.

Le 20/09/2012 à 08h 35

Gibbon a écrit :

Ce n’est que mon opinion ?? Apres avoir testé 4 FAI et changé 5 fois de ville en 14 ans je sais un peu de quoi je parle.



Ça reste quand même ton opinion (c’est pas péjoratif…), c’est pas parce que t’as fait 4 FAI que tu as la vérité absolue pour autant. Surtout quand tu dis que c’est sur 14 ans, alors qu’en 14 ans beaucoup de choses ont changé au niveau des infrastructures des FAI et de leurs positions par rapport aux autres.

Le 19/09/2012 à 08h 11

jeje07 a écrit :

Belle démonstration de je m’en foutisme des autres

et le respect de quelque chose d’aussi sacré que la religion? et le côté provocateur dans le contexte actuel????



Et le respect de mon athéisme, en quoi il serait inférieur à celui d’une religion ? Moi ça me choque qu’on tue des gens pour une religion. Ça me choque qu’on cherche à museler des journaux. C’est pas pour autant que je vais aller brûler des voitures et te “coller mon poing sur ta gueule”, surtout si tu n’en es pas directement responsable.

Le 17/09/2012 à 07h 53

Ras le bol de financer la culture… Y’a des choses quand même plus urgentes que ça. À chaque fois les “ayants droit” trouvent le moyen de se faire détester un peu plus encore.

Google n’a pas besoin de la presse pour vivre, alors que l’inverse un peu plus (vivre sur Internet, au moins). Que Google désindexe ces journaux et on verra ce qu’ils diront quand ils n’auront plus le même trafic (et donc la même rémunération publicitaire). Aujourd’hui Google se sert du contenu de ces journaux et en contrepartie il leur donne de la visibilité et un trafic plus important. L’échange me semble tout à fait correct, mais non, il leur en faut toujours plus.

Le gouvernement ferrai mieux de s’attaquer aux montages financiers des paradis fiscaux qui permettent à Google de ne payer que 5 millions d’euros d’impôts en France au lieu de 150 millions.


« les mots clés tapés sur les moteurs de recherche sont les mots clés des grands journaux traditionnels donc je crois qu’on a intérêt, car c’est un pilier de la démocratie, à trouver le moyen de permettre à la presse de faire sa mutation numérique. »


Ha bon, les “grands journaux traditionnels” ont le monopole de certains mots ? N’importe quoi…

Le 15/09/2012 à 17h 12

Marchegg a écrit :

C´est vrai que ca a ses avantages d´être à l´étranger, je peux télécharger des saisons entières de séries, des superbes films et j´en passe… le tout par p2p (c´est le plus rapide !) et je refile le tout en France à ma famille et mes amis quand je suis de retour " /> Le seul truc embêtant, c´est le blocage de Pluzz " />



Une dedibox, un serveur SSH pour faire proxy socks, et à toi les vidéos de Pluzz sans soucis (et un coup de pluzzdl pour enregistrer les émissions et les stocker chez toi avant qu’elles n’expirent).

Le 13/09/2012 à 07h 49

ErGo_404 a écrit :

Le fait que l’OS ne soit plus mis à jour entraine plus ou moins à long terme l’incompatibilité avec l’ensemble des applis du market, qui elles sont maintenues à jour pour être compatibles avec les derniers mobiles et les dernières technos.

En forçant les développeurs à modifier leurs applications à chaque nouvelle version de l’OS (ce qui est de plus en plus le cas chez Apple, même sur OS X), tu les pousses de facto à ne plus être compatibles avec les anciens SDK et donc avec les anciens téléphones.



On est d’accord que les applications tierces sont un argument majeur, mais ce n’est pas ce que tu achètes quand tu achètes un smartphone. On ne peut pas imaginer non plus une compatibilité infinie dans le temps, sinon on finirait avec des usines à gaz lourdes dépendantes de leurs erreurs de jeunesse. Même Windows a lâché le support 16-bits un jour ;)



ErGo_404 a écrit :

Résultat oui ton téléphone marche mais il n’est pas seulement moins intéressant que les plus récents, il est aussi moins intéressant que lui même quand il venait de sortir.



Quand le téléphone est sorti, la version du logiciel qui est maintenant incompatible ne l’était pas, et elle fonctionne encore sur ton téléphone si elle y était installée. Là où il y a un problème c’est que si tu n’avais pas installé l’application en question, tu ne pourras plus le faire (sauf par jailbreak pour les iMachin) ; le market devrait pouvoir permettre d’installer la dernière version du logiciel compatible avec le téléphone (quand c’est possible, ce n’est pas toujours matériellement le cas). Mais c’est partout pareil, et la concurrence a plus de difficultés encore à mettre à jour son OS sur les vieux téléphones. D’ailleurs, comment ça marche sur le market d’Android, y’a le même problème ?



ErGo_404 a écrit :

Quand à l’obsolescence programmée ce n’est pas seulement le fait de rendre un matos inopérant après X années, c’est aussi le fait de pousser à toujours racheter des objets qui fonctionnent encore. Ce principe n’est pas nouveau ni secret, il est juste ignoré par la population (moi le premier !).



Je ne suis pas sûr qu’on parle encore d’obsolescence programmée quand on (la pub?) pousse juste à racheter des objets qui fonctionnent toujours, mais je me trompe peut être. Pour moi c’est uniquement la société de consommation et rien d’autre. On ne peut pas reprocher à une société de vouloir vendre des produits, mais on peut reprocher à un consommateur de les acheter alors qu’il n’en a aucune utilité.

Le 13/09/2012 à 06h 18

Ouais enfin personne nous oblige à changer de téléphone tous les ans non plus, et les anciens iMachin avec l’ancien connecteur fonctionnent toujours, que je sache. Pas vraiment un bon exemple d’obsolescence programmée, comme l’est cette batterie qu’on ne peut changer quand elle crame.

Quant au fait qu’Apple empêcherai la mise à jour de son système d’exploitation mobile aux anciens produits, c’est plutôt faux, iOS 6 fonctionnera sur un vieux 3GS sortis en 2009. Et vu la différence de matos entre un iPhone 5 et un iPhone 2, on comprend pourquoi iOS6 aurai un peu de mal à tourner dessus (Ça sert à rien de mettre à jour un OS si c’est pour qu’il soit tout pourri, lent et inadapté). Mais encore une fois, l’iPhone 2 fonctionnera toujours (on ne perd pas de fonctionnalités par rapport à ce qu’on a acheté au début, on n’a pas les nouvelles apportées par la mise à jour), ce n’est pas de l’obsolescence programmée.

L’obsolescence programmée est un vrai problème et l’action de cette association est louable, mais il ne faut pas la confondre avec la société de consommation qui nous pousse toujours plus à racheter, alors qu’on a déjà ce qu’il faut.

Le 11/09/2012 à 17h 34

127.0.0.1 a écrit :

Effectivement… Ce qui améliorerait la situation pour les “gens-qui-savent-pas” c’est que le DNT soit activé par défaut dans une configuration express.

oh wait… !



Ou pas. (non, je ne tomberais pas dans le piège d’argumenter avec toi " /> )

Le 11/09/2012 à 17h 31

pafLaXe a écrit :

Ben je veux bien que quelque chose m’echappe, explique moi dans ce cas. Mais si c’est pour me sortir encore que les Gentils Annonceurs, ils veulent bien tenir compte du DNT à condition que les Mechants Utilisateurs ne s’en servent pas, laisse tomber " />



Une chose est sûre en tout cas : si DNT est activé par défaut, il n’y a aucune chance pour que les annonceurs en tiennent compte et ça détruit dès le début le système. Alors que dans le cas contraire, on a une mini-chance pour que certains gentils (très gentils) annonceurs respectent DNT.
Entre aucune chance et une petite chance, je choisis de ne pas m’opposer bêtement en supposant qu’en face il n’y a pas que des cons chez les annonceurs.

Après je ne parle pas des méchants annonceurs qui eux s’en branlent complétement.

Le 11/09/2012 à 16h 38

Gericoz a écrit :

Et pour Apache je reste mitigé sur leur intervention, ils auraient plutot du faire un patch qui bloque le signal quand le navigateur est IE, au moins l’attaque aurait été direct dans la cible.



C’est ce que fait le “patch” en question : Si IE10 alors on supprime le header DNT

Le 11/09/2012 à 16h 24

pafLaXe a écrit :

Mon idée pour le moment c’est de rester bien sagement derriere mes outils de blocage de pubs et de cookies tant que les pratiques leur laissent une certaine éfficacité, et de voir ce qui va se passer.



Ouais, comme n’importe quel geek, mais c’est pas un tel comportement qui va améliorer la situation pour les gens-qui-savent-pas.



pafLaXe a écrit :

En attendant, mon avis est que se plaindre qu’une option comme celle-ci est activée par défaut est crétin, quelque soit le rapport de force en cours.



Parce que t’as pas compris le principe de DNT, faut croire.

Le 11/09/2012 à 16h 02

pafLaXe a écrit :

C’est pas comme si on avait depuis quelques années 30000 Autorités plus ou moins liées à Internet qui se touchent la nouille à longueur de temps " />

Vivement que le CSA viennent mettre un peu d’ordre dans tout ça. " />



Ouais donc ton idée c’est de rester comme aujourd’hui, en espérant qu’un jour peut être une autorité se décide à faire une réunion pour aller voir si tel annonceur ne traque pas trop les utilisateurs. C’est pas vraiment une solution en fait (le problème c’est plutôt qu’on ai 30000 autorités), alors que DNT partait d’une bonne idée, qui, si elle était suivie par les annonceurs, pouvait vraiment faire bouger un peu les choses en terme de tracking. Si c’est activé par défaut, les annonceurs vont laisser tomber, DNT n’aura plus aucune raison d’être et on va revenir dans la même situation qu’avant.

GitHub est pété donc je peux pas aller vérifier, mais hier quand j’ai vu passer la news je crois bien que le fameux “patch” de Apache, c’est juste une configuration par défaut du serveur qui changeait (un fichier .conf). Facilement modifiable par n’importe quel administration du serveur, donc, sans aller modifier du code. Le mot “patch” est un bien grand mot, c’est un changement de la configuration par défaut.

Le 11/09/2012 à 15h 50

pafLaXe a écrit :

Aucune confiance dans les annonceurs pour jouer le jeu dans tout les cas. Il faut leurs forcer la main, ou rien. Adblock à encore de beaux jours devant lui, et tant pis pour les annonceurs " />



Et comment tu leur force la main donc, tu peux expliquer ton idée ?

Le 11/09/2012 à 13h 56

Tirr Mohma a écrit :

Oui en effet :http://www.compagnon-parfait.fr/rencontre-avec-tris-acatrinei-fondatrice-de-hack…



Haha très drôle, j’ai un pote qui est allé à la Nuit du Hack 2012 (mouais…) et qui m’a justement parlé de cette conférence sur les terminaux mobiles, qu’il attendait avec impatience, et qui étaient selon lui vraiment “pourrie”, se résumant à des leaks d’info genre “olala y’a l’IP et le nom de l’OS dans les headers d’un mail envoyé depuis un mobile”. Du gros WTF, je pensais pas entendre parler de cette personne dans une actu Hadopi.

C’est triste de tourner dans le milieu de la sécu, même en étant débutant, et de finir chez Hadopi en racontant des énormités :(

Le 07/09/2012 à 08h 37

LeJediGris a écrit :

Pour ceux qu’Unity " />,

Zavez qu’a essayer Mint 13 Maya avec Mate ou Cinnamon….caybien !!" />



Pas testé Mate, mais Cinnamon ne m’a pas l’air encore réellement prêt. J’ai eu beaucoup de freeze de l’interface, nécessitant de killer par SSH le processus cinnamon pour reprendre la main. Et j’ai souvent des pbs avec la barre des tâches qui fait n’importe quoi (j’arrive pas à décrire le problème simplement). Faut lui laisser encore un peu de temps je pense :)

Le 06/09/2012 à 10h 58

tAran a écrit :

Ah ? ça apparaît où sur le site de Zataz ? " />
Comme toujours il y a des 133tz pour dénigrer la vulgarisation au grand public…
Si tu veux des informations à ton niveau (je le reconnais, ce n’est pas au miens), consulte plutôt le blog d’Eric Romang… sur Zataz " />



Désolé mais Zataz est cité dans l’article de PCI comme source, et comme je ne vais pas lire ce site (par conviction personnelle) je n’ai pas été vérifier s’ils en parlaient… Ça me semblait couler de source. Mea culpa donc.

Je connais le blog d’eromang, qui est la seule partie technique intéressante du site, même s’il ne fait qu’en général reprendre des informations déjà publiques. Tout le reste est à jeter.
Zataz ce n’est pas que de la vulgarisation au grand public non, c’est principalement du sensationnalisme, avec presque tout le temps des infos incomplètes ou fausses (voire mensongères), et qui a pour seule constante un nombre de fautes d’orthographe ou de grammaire effrayant.
Zataz c’est le Voici ou l’Entrevue de la sécurité informatique. Mais ces deux derniers magazines se vendent bien, donc je ne m’inquiète pas pour la popularité de Zataz.

Mais on s’écarte un peu du sujet, non ?

Le 06/09/2012 à 08h 55

Mouais, c’est pas le big one non plus, faut relativiser. Ok ils auraient du mettre à jour, sans conteste, mais les failles en question ne sont pas extrêmement graves non plus, et ne permettent pas une prise de contrôle du site immédiate :

• Reflected cross site scripting vulnerability in error handler (injection de code indirecte à distance haha…)
  Avec ça on doit pouvoir piéger un admin (avec un minimum de Social Engineering), mais l’adviso indique bien “The issue can be mitigated by disabling on-screen error display at admin/settings/error-reporting.”. On ne sait pas si le module était activé ou non sur les sites.
  
  


• Cross site scripting vulnerability in Color module
  “Successful exploitation requires the “Administer themes” permission.” : il faut être authentifié sur le drupal et déjà avoir des droits d’administration.
  
  


• Access bypass in File module
  “When using private files in combination with a node access module, the File module allows unrestricted access to private files.” : 2 conditions qui me semblent improbables sur les sites en question. Au pire on a accès a des fichiers réservés à d’autres personnes. Espérons qu’on n’y trouve pas passwords.xls :)
  
  Par contre l’histoire du mot de passe admin “password”, ça c’est bien scandaleux. A par ça, on ne peut pas dire que des “personnes mal intentionnées auraient pu acquérir les droits d’administrateur”, sans tester les vulnérabilités en question pour savoir si les modules faillibles étaient activés ou non.
  
  Comme toujours avec ce torchon qu’est Zataz, beaucoup de bruit pour pas grand chose. (olala, le forum de Zataz n’est pas à jour, c’est la fin du monde !! " />)

Le 31/08/2012 à 18h 38

dfzefsfsrg a écrit :

J’ai essayé de le désactiver hier … 30 secondes après, je le réactivais, il est pas aussi inutile que je le pensais en fait " />

C’est peut être des fonctions toutes connes, mais je ne pouvais plus utiliser les flèches pour passer d’une page à l’autre sur un reader, et je me vois mal aller cliquer sur “next” à chaque page avec la souris.
J’ai pas poussé plus loin l’expérimentation et recherché la version 1.6 update 34 " />



Au temps pour moi alors, je n’imaginais pas qu’il existait encore des readers utilisant Java. C’est sur quel site ?

En tout cas je vire le plugin Java sur toutes mes machines et celles de mes connaissances proches, personne n’a eu de problème ensuite.

Le 31/08/2012 à 18h 33

J’avais dis que je ne reviendrais pas sur ce thread, mais j’ai pas pu m’en empêcher :

https://isc.sans.edu/diary.html?storyid=14017&rss

Nouvelle vulnérabilité dans Java 7 update 7 " />

@ gouessej : Je ne répondrais pas à ton dernier message, ce débat est stérile et nous ne serons clairement jamais d’accord. Surtout que tu as l’air de prendre un malin plaisir à tout recentrer sur Java lui même et non sur le plugin Java. Il me semblait pourtant avoir été suffisamment clair, il faut croire que non. “Je me soucie de la sécurité.” m’a juste fait éclater de rire, réellement.

Le 31/08/2012 à 09h 12

gouessej a écrit :

Vous présentez péremptoirement vos opinions comme des faits sans vous appuyer sur la moindre statistique, c’est vous même qui portez atteinte à votre propre crédibilité donc ne m’en voulez pas de vous le faire remarquer, parfois en utilisant simplement le terme “troll”.



Il te faut des statistiques pour comprendre quelque chose d’aussi simple et logique qu’on n’impose pas l’installation d’un plugin dans le programme le plus exposé sur un ordinateur (le navigateur Web, l’accès privilégié des malwares) par défaut s’il ne sert pas ? Tout ce que je dis depuis le début c’est que ce plugin ne devrait pas être activé (voire installé) quand on installe Java, pourquoi ça te semble si difficile à comprendre ? C’est si dur que ça de faire une case à cocher (décochée par défaut) pour l’installation du plugin à l’installation de Java ? Java oui, plugin Java non, pas par défaut.

Et si, je t’en veux de m’accuser de troll, alors que c’est mon travail de faire de la veille en sécurité et de prévenir les gens quand il y a quelque chose qui ne va pas. Je n’apprécie pas qu’on résume mon travail à du troll.



gouessej a écrit :

Je ne “traite” personne et quand je fournis des explications élaborées, on m’accuse de sortir du blabla. En attendant, je fais du Java depuis 2002, il ne m’a pas fallu longtemps pour remarquer que l’auteur de cet article dispose d’une version de Java pas du tout à jour et j’en serais resté au C si Java était aussi lent et lourd que beaucoup le prétendent, je ne suis pas sadomaso.



Ton “blabla” (quelle accusation " />) n’est pas une explication élaborée, désolé, je vais la reprendre :

Tu commences par dire que PCI recommande de désactiver Java, alors qu’au contraire PCI ne parle que du plugin.

Tu continues ensuite en disant que la version sur la capture d’écran n’est pas à jour : Hors sujet, PCI indique une méthode pour désactiver le plugin, c’est générique pour n’importe quelle version. D’ailleurs tous les plugins sur cette capture d’écran sont complètement obsolètes (et pleeeeein de vulnérabilités).

Tu sais ce que je pense de ta recommandation qui suit, concernant le fait de laisser le plugin mais en version 6…

Pas grand chose à dire sur ton discours sur HTML5, sauf que le fait qu’il y ait des failles dans HTML5, Silverlight et Flash ne dédouane pas Java pour autant. Dans la sécurité on ne dit pas “Ha ouais y’a des vulns dans mon soft, mais c’est pas grave le concurrent aussi”.

Le paragraphe suivant concernant OpenJDK est faux puisqu’OpenJDK 7 était vulnérable aussi (coup de bol pour PCI, j’avoue). Je suis d’accord avec la dernière phrase de ce paragraphe.

Je passe sur le paragraphe sur le troll puisqu’il ne sert à rien du tout. Surtout que contrairement à ta prédiction, Oracle a sorti un correctif (pas de chance pour ton argumentation, j’avoue, j’aurais pas parié dessus).

Et je répondrais au dernier paragraphe en reprenant ta formulation : Le vrai Web Libre n’a pas à être soumis au bon vouloir des organisations qui imposent leur technologie à travers l’installation systématique de plugins dans les navigateurs, augmentant considérablement la surface d’attaque qu’expose un utilisateur lambda sur Internet, favorisant ainsi la création de botnet et par conséquent les attaques DDOS et le spam, fléaux du réseau des réseaux.
J’en ai déjà marre de devoir désactiver les plugins Java, Silverlight, VLC, totem et autre pack multimédia à chaque fois que j’installe un des programmes en question. Y’a déjà assez de faille dans mon navigateur Web, merci de ne pas en rajouter.

Et pour conclure, puisque je ne reviendrais pas ici et je te laisserais sans doute le dernier mot, Je n’ai rien contre Java, je ne vois même pas pourquoi tu parles du language, de sa prétendu lenteur ou lourdeur, puisqu’on ne parle ici que du plugin Java.

Le 30/08/2012 à 22h 01

gouessej a écrit :

C’est votre opinion, ce n’est pas un fait.



hahaha … En attendant, c’est un fait qu’il y a des milliers de machines infectées grace au plugin Java.



gouessej a écrit :

Voilà, les trolleurs peuvent retourner se coucher jusqu’à la prochaine faille.



Dans un débat, quand on en arrive à traiter ses opposants de trolleurs, c’est qu’on n’a aucun réel argument à opposer.

Le 30/08/2012 à 15h 28

gouessej a écrit :

Si les gens installent n’importe quoi, c’est un autre problème, ce n’est pas de la faute de Java. Il y a un juste milieu à trouver entre la paranoïa et le laxisme total.



Tu trouves que c’est de la paranoïa que de désinstaller un programme inutilisé qui ne peut servir qu’à être exploité ? J’appelle ça du bon sens.

Si tu le veux le plugin, t’assumes, ce n’est pas à ceux qui ne savent même pas ce qu’est Java d’avoir à désinstaller le plugin manuellement.

Le 30/08/2012 à 15h 22

J-Phil a écrit :

Il est facile de dire à l’utilisateur “cliquer sur executer quand le navigateur téléchargera le fichier”.



Il est facile de faire ça, en effet, mais c’est voyant et le taux de réussite va être beaucoup moins élevé que via l’exploitation par le plugin. Avec le plugin, tu vas sur un site Web infecté, tu ne vois rien du tout, et ta machine est enrôlée dans un botnet. Et ça ça marche massivement à l’heure actuelle.

Le 30/08/2012 à 15h 19

gouessej a écrit :

Ce serait bien d’indiquer vos références avec des liens aussi :
référence

Cette faille a été corrigée il y a presque 2 ans. Voulez-vous aussi qu’on parle de toutes les failles des dix dernières années des autres technologies que j’ai évoquées? On peut même remonter jusqu’à ActiveX.
.



C’est toi qui me parle de Java Web Start, je n’ai fait qu’ajouter une anecdote pour montrer à quel point Java (dans un navigateur Web) a toujours été une porte d’entrée béante pour les malwares. Ça ne date pas d’hier, comme tu dis, ça fait bien 2 ans que les exploits kits sont bien contents que Java soit installé partout…

Je n’ai pas dis qu’ActiveX est mieux, je ne compare rien, je te dis juste que Java dans un navigateur Web est une aberration d’un point de vue sécurité. Comme Flash, mais à l’inverse de Java, Flash est massivement utilisé par le commun des mortels sur le Web. Java, les gens s’en servent une fois par an par erreur, sans le savoir, alors qu’ils peuvent se faire exploiter par n’importe quel site Web infecté ou malicieux.



gouessej a écrit :

Cela peut arriver avec d’autres technologies (cf. la faille de sécurité dans les WebSockets d’HTML5), Java n’a pas le monopole des failles. C’est surtout Oracle qu’il faut blâmer pour son manque de réactivité.



Non, Java n’a pas le monopole des failles. Ce n’est pas une raison valable pour laisser du code qui ne sert qu’à de l’exploitation massive chez tout le monde.

Ceux qui veulent Java réellement dans leur navigateur doivent pour l’installer, mais ce n’est pas une raison pour l’imposer à tout le monde quand on installe le JRE. Le plugin ne devrait pas être installé par défaut, ou alors il devrait au moins être désactivé.

Le 30/08/2012 à 13h 24

J-Phil a écrit :

En même temps la faille est dans Java et permet à une application de se donner tous les droits en local … Donc même une application lancée en dehors de tout navigateur peut télécharger un module et l’installer sans aucune action de l’utilisateur !



Tout à fait, mais il y a une différence entre infecter des milliers de personnes juste parce qu’elles naviguent sur un site Internet infecté (et rien d’autre !) et faire lancer une application lourde en dehors du navigateur à quelqu’un (ce qui implique un peu plus de social engineering)

Le 30/08/2012 à 13h 23

gouessej a écrit :

Oui il est possible de lancer des applications lourdes sans passer par une applet, c’est tout l’intérêt de passer par Java Web Start.



Java Web Start, qui a déjà eu une grosse vulnérabilité bien critique (stable car non binaires, injection de commande). Et déjà à l’époque :

“The method in which Java Web Start support has been added to the JRE is not less than a deliberately embedded backdoor (I really don’t think so) or a flagrant case of extreme negligence (+1).”



gouessej a écrit :

C’est subjectif.



Ce qui est moins subjectif c’est le très grand nombre de personnes qui peuvent se faire enrôler dans un botnet (et donc spammer la planète entière…) parce qu’ils ont Java accessible depuis leur navigateur, alors qu’ils ne savent même pas ce qu’est java et qu’ils n’en ont aucune utilité.

Le 30/08/2012 à 11h 59

gouessej a écrit :

Justement, il est possible de lancer des applications lourdes sous forme d’applets depuis Java 1.6 update 10 donc ce que vous venez de dire n’est pas tout à fait vrai. De plus, il existe aussi des jeux vidéo en Java sous forme d’applets, la version de démo de Minecraft en fait partie.



Il est possible, oui, mais il est aussi possible de lancer ces applications lourdes sans passer par une applet.

Si on compare le très très faible intérêt à avoir Java dans son navigateur Web à l’énorme surface d’attaque qu’il ajoute, alors sans hésiter, je le répète, il en est de la santé numérique publique de désactiver Java dans les navigateurs Web. Que ça soit la version 7 actuellement sans correctif ou la version 6 qui, à jour, n’est pas exploitable publiquement. Et vu son passif de vulnérabilités, il est certain que des vulnérabilités sont déjà connues par certaines personnes pour la version 6.



gouessej a écrit :

Désolé, ce n’est pas un réflexe chez moi mais contrairement à Laurent Joffrin, je ne vous en voudrai pas si vous me tutoyez.



Merci " />

Le 30/08/2012 à 11h 45

gouessej a écrit :

Les personnes qui n’ont pas besoin de Java peuvent le désactiver et c’est vrai pour n’importe quel plugin. Ce que je dis, ce n’est pas du “blablabla” et vous me donnez raison, vous laissez entendre que Java se limite aux applets. Beaucoup d’applications bancaires et de sites d’administration s’en servent discrètement, pas mal de jeux vidéo aussi (Minecraft, ça vous dit quelque chose?).




C’est pour ça qu’on (la news, moi) parle de désactiver Java dans le navigateur Web, ce qui n’affectera ni les applications lourdes ni les jeux vidéos.

Tu peux me tutoyer.

Le 30/08/2012 à 11h 19

gouessej a écrit :

Les versions d’IcedTea utilisant OpenJDK 1.6 ne sont pas affectées. Pour les versions d’Icedtea utilisant OpenJDK 1.7, je ne suis pas sûr, il faut vérifier dans le code source, dans la classe sun.awt.SunToolkit.



OpenJDK 1.7 est vulnérable :

“Red Hat has tested the flaw and confirmed that it affects Java SE 7 provided by OpenJDK 7 (java-1.7.0-openjdk)”

Le 30/08/2012 à 11h 18

gouessej a écrit :

blablabla

Je recommande plutôt aux gens de passer à Java 1.6 update 34 en attendant qu’Oracle veuille bien fournir une correction.

blablabla



Et concrètement, ça sert à quoi Java dans un navigateur, pour un utilisateur normal ? A rien, on ne trouve quasiment plus d’applets Java (et c’est tant mieux) sur des sites Web.
Il est totalement irresponsable de garder Java dans le navigateur Web de quelqu’un qui n’en a aucune utilité, à part à augmenter la surface d’attaque possible.

Je recommande plutôt aux gens de désactiver Java dans leur navigateur Web.

Le 29/08/2012 à 13h 58

Une petite vidéo instructive sur le CSA :

https://www.youtube.com/watch?v=upgfpkGNFWk

Ça date de quelques années, mais rien n’a changé…

Le 29/08/2012 à 13h 00

ErGo_404 a écrit :

Je l’ai testée oui, pas en profondeur, mais quand même. Les icônes sont super espacées, le design est SUPER moche, on dirait le fruit du travail d’une équipe de design d’icônes pour Linux…



Très subjectif tout ça, donc. Je n’aime pas spécialement les icônes non plus, mais pour nuancer je dirais qu’elles sont “rafraichissantes” " /> Après ça, faut pas s’arrêter juste aux icônes, le système de “fiches” est bien pratique par exemple.



ErGo_404 a écrit :

Chacun place la barre où il veut mais on est en 2012 et c’est fini les tatonements dans le design et la conception d’IHM. Sony devrait embaucher des graphistes.



Modern UI (de Windows 8) et la Wii-U semblent au contraire prouver le contraire, les entreprises cherchent toujours et encore à innover en IHM. Parfois ça marche, parfois non. Après si je compare le confort d’utilisation entre une PSP et une PS Vita, y’a pas photo je préfère la PS Vita, même si quelques icônes par défaut sont moches.



ErGo_404 a écrit :

Quand à Android c’était un exemple car c’est le plus courant et le plus simple, mais ça pourrait être n’importe quel autre OS “mobile”. L’idée est juste d’avoir une plateforme ouverte, simple et complète, avec un market.



Ouverte, c’est un rêve que Sony ne réalisera jamais. Mais la concurrence non plus.

Pourquoi toujours avoir un market ? J’ai l’impression d’être un vieux con, mais perso quand j’achète un jeu, j’achète la boite et le manuel qui vont avec, j’aime toucher l’objet en lui même et l’avoir sur mon étagère. J’aime pas du tout le dématérialisé, que ça soit pour la vidéo (VOD de merde…) ou les jeux.

Après, la PS Vita a son market avec le PS Store. Il est fermé, bien sûr, c’est du Sony, ça ça changera jamais… mais ça aurait été la même chose si Sony avait mis un Android. Et franchement, un Android sur une console comme ça, pfff, rien d’excitant, tout le monde fait pareil à côté, y’en à marre que ça soit toujours la même chose, la même interface.



ErGo_404 a écrit :

Là t’as une console sympathique mais sans plus, qui n’est qu’une évolution de la PSP et qui ne s’adapte pas du tout aux nouveaux usages des terminaux mobiles. Son navigateur en est d’ailleurs le meilleur exemple.



Je vois la PS Vita comme une console de jeux mobile, pas comme un terminal mobile classique. Il ne me viendrait pas à l’idée de l’utiliser pour naviguer sur Internet, par exemple. Et je suis bien content que ça soit le cas, et pas un énime modèle de tablette à-la-con qui peut plus ou moins tout faire.



ErGo_404 a écrit :

Et j’ai envie de dire que mes propos sont largement appuyés par les chiffres vu que Sony n’arrive pas à vendre sa console.



1,1 million de ventes (sans compter les jap) à son lancement en une semaine, c’était pas si mal que ça (mais moins bien que les autres consoles…), pour son prix et sa maigre ludothèque. Rien de désastreux.


Pour terminer, une console de jeux (non mobile) pas chère, sous Android avec xbmc : Ouya. A voir là :http://www.ouya.tv/

Le 29/08/2012 à 09h 32

ErGo_404 a écrit :

La vita est une erreur monumentale. Ils auraient mieux fait de se baser sur une version d’Android par exemple et d’autoriser les applications tierces. Là ils se sont contentés d’un OS maison foireux (et moche !) qui sera toujours hyper limité.
Ils ont fait la même erreur avec la PSP, sauf que la PSP avait au moins une interface travaillée.



As-tu testé l’OS, pour le critiquer ? Je le trouvais moche et ridicule sur les captures d’écran (avec ces icônes rondes d’un temps révolu), et finalement, après utilisation, l’OS est stable, fluide, pratique et bien pensé.

Peut être que le navigateur Web est moisi (aucune idée, je ne m’en suis jamais servis), mais pour le reste j’ai pas grand chose à redire, c’est la console portable la plus pratique que j’ai. Pour rien au monde je ne voudrais un énième Android-like à la place.

Le 28/08/2012 à 14h 50

jimmy_36 a écrit :

" />

Je te souhaite qu’une chose : n’avoir aucun litige avec Free.



Je te souhaite d’avoir un litige avec ton fournisseur actuel, histoire de voir si c’est mieux avec lui qu’avec Free.

Le 28/08/2012 à 09h 41

Bravo à lui !

Le 28/08/2012 à 08h 38

Pr. Thibault a écrit :

Puis bon, Free Mobile c’est en phase de beta test depuis le début, il y a des problèmes à répétition, le roaming pompe la batterie… Avoir un abonnement mobile utilisable 24:7 c’est tout de même la base, on s’insurge quand le réseau Orange est indispo pendant 24H alors que Free Mobile subit des pannes à répétition depuis le début, ça montre bien que Free Mobile ne joue pas dans la même cours que Orange, Bouygues et SFR, pour l’instant.



Ça montre surtout que la propagande des 3 gros fonctionnent très bien. Les pannes à répétitions j’ai du mal à les voir, après celles du lancement, maintenant j’ai envie de dire que tout va bien… Après c’est sur que si t’en es resté aux premiers jours aussi… Là où Free ne joue pas dans la même cours que les autres, c’est uniquement au niveau du réseau qui n’est pas le sien (et donc de ses limitation de débits, par exemple), sinon tout marche bien (dans mon coin en tout cas).

Donc OK maintenant y’a des forfaits équivalents voire mieux ailleurs, mais c’est un peu abusé de dire que le réseau de Free Mobile est toujours en panne.

Le 22/08/2012 à 11h 39

Dkn67 a écrit :

En gros à la place de virer 7 personnes pour gagner 40% de salaire, ils ont viré 45 personnes pour gagner la même chose.

Surtout que ces personnes étaient certainement celles qui faisaient vraiment tourner l’agence….

Et je doute que les 7 plus haut salaires arrivent à fournir le travail des 45 virées.



Tant mieux à la limite, qu’ils fassent des erreurs comme ça et qu’ils disparaissent, le monde ne s’en portera que mieux.

Le 22/08/2012 à 08h 35

Merci pour le résumé, bien pratique, j’étais passé à côté de la promo du 26 octobre au 31 janvier.