La sécurité par l’obscurité n’est qu’une illusion.
Pourtant ça marche plutôt bien avec les logiciels open source datant des années 80 et qui ont jamais été réécrit " />
Le
16/02/2015 à
15h
37
Glyphe a écrit :
Je doute que tout le monde a appris à dev’ sur un truc aussi vieux, vaste, compliqué qu’un OS comme Microsoft.
Et ensuite, embaucher des gens très qualifiés pour faire partie d’une team de correction de bugs et de vulnérabilités, je doute que ça intéresse du monde.
Le
16/02/2015 à
13h
09
Il y a des problèmes qui n’ont pas forcément de solution super pratique.
Une vulnérabilité dans Flash, tu fais quoi en attendant le patch ?
Tu demandes à tous tes employés de ne pas utiliser Flash ? Tu fais désactiver Flash de force sur tous les postes ?
Une vulnérabilité dans le kernel windows : tu fais quoi en attendant le patch ?
Une vulnérabilité dans le firmware des routeurs ? Je suis pas sûr qu’interdire les flux vers ces routeurs soit très malin.
Le
16/02/2015 à
12h
57
Je suis pas sûr qu’espérer que l’éditeur trouve une solution avant les hackeurs, sans rien pouvoir y faire, soit une situation très confortable ^^”
Ce serait un peu comme faire un audit de sécurité, et de ne proposer aucunes recommandations pour les vulnérabilités détectées, et de dire : voilà maintenant démerdez vous.
Le
16/02/2015 à
12h
49
Hein ? Non.
J’ai jamais évoqué le moindre cas particulier dans mes commentaires.
Je commentais juste une remarque soulevée par MS et reprise par Vincent : “Une fois que Google a publié la faille, qu’est ce qui se passe ?”
Le
16/02/2015 à
12h
45
Non, mais entre connaître l’existence d’une vulnérabilité et trouver le moyen de l’exploiter, il y a une différence !
Donner les deux aux attaquants sans donner de conseils aux défenseurs, c’est pas très logique quand on se dit du côté des utilisateurs
Le
16/02/2015 à
12h
38
Non la faille n’est pas corrigé, ils ont juste remplacé la techno dans la version suivante.
Mais sur cette histoire Google est très bête. Corriger la faille ne leur couterait presque rien, et après ils ont juste à rebalancer la responsabilité sur les OEM en disant que le reste ne dépend que d’eux.
Le
16/02/2015 à
12h
36
J’ai l’impression qu’on parle pas de la même chose. Je reproche pas à Google de publier les vulnérabilités au bout de 90 jours (bien que je trouve abuser le coup de : on la publie un dimanche 2 jour avant la publication d’un patch).
Je trouve que c’est abusé de publier la vulnérabilité, avec un outil permettant de l’exploiter, sans donner aucune recommandation permettant de limiter les dégâts.
Le
16/02/2015 à
12h
33
Konrad a écrit :
Pourquoi rendre la faille publique ? Ça permet aux utilisateurs avertis et aux admins système de faire le nécessaire pour se protéger de l’exploitation de cette faille : règles dans le pare-feu, désinstallation d’une mise à jour si c’est elle qui a introduit la faille, désactivation d’un service, etc.
Faire le nécessaire ? On ne modifie pas la configuration du SI d’une grande entreprise comme celle d’une start-up.
Je prends un exemple tout con, une vulnérabilité système tu la corrige comment ?
Tu désactives l’ASLR quand c’est lui qui est en cause ?
TaigaIV a écrit :
Ce n’est pas par ce qu’une faille existe qu’elle est systématiquement exploitable par n’importe qui n’importe comment. Tout dépend de la faille.
Google fournissant un PoC pour tester automatiquement si tu es vulnérable ou non, il donne un moyen d’exploiter la faille. Il suffit de reprendre le script de le modifier et tu peux l’exploiter…
Le
16/02/2015 à
12h
21
La politique de Google, c’est d’abord de prévenir l’éditeur que cette
faille existe (mais sans la rendre publique). Sur ce point je ne vois
pas trop ce qu’il y a à reprocher. La course contre la montre commence :
la faille est connue, ça veut dire qu’elle peut être exploitée par des
hackers, il est donc urgent de patcher.
Donc au bout de 90 jours, tu trouves normal que Google balance publiquement la vulnérabilité, le PoC pour la tester (dont potentiellement un outil pour exploiter cette faille) sans donner aucunes mesures de sécurité, ni aucun conseil permettant de limiter son exploitation ?
Ensuite, “la faille est connue, ça veut dire qu’elle peut être exploitée par des hackers”.
La faille est connue de Google et l’éditeur uniquement. Rien ne prouve qu’elle ait déjà été exploitée, ni qu’elle soit même connue des hackers.
Donc la solution de publier la vulnérabilité, avec un PoC, sans donner la moindre recommandation pour se protéger et se laver les mains de toute responsabilité, ce n’est pas correct.
Le
16/02/2015 à
12h
06
philanthropos a écrit :
Les entreprises ont des experts en sécurité, des administrateurs réseaux, une communication privilégiée et spécifique avec les gros éditeurs, etc.
Non. Certaines très grosses entreprises ont des experts en sécurité. Le reste ont un responsable de la sécurité qui doit embaucher des prestataires pour faire le boulot, voir pas de responsable sécu tout court.
Les admins réseau ne sont pas des experts en sécu.
Le
16/02/2015 à
12h
00
TaigaIV a écrit :
Par ce qu’il peut essayer d’appliquer une solution de contournement en attendant ?
Quelle solution de contournement ? Non parce que quand Google publie une faille, il donne pas de solution de contournement, tu dois te démerder tout seul avec les risques que ça représente.
geekounet85 a écrit :
on parle de faille 0-day, donc de failles qui sont de toute façon déjà exploitées.
Alors ça c’est la meilleure !
Une faille 0-day c’est une vulnérabilité contre laquelle il n’existe pas encore de quelconque moyen de protection. Alors oui, on peut supposer que si on peut pas s’en protéger alors d’autres les utilisent déjà, mais à ce moment là on est tous dans la merde !
Le
16/02/2015 à
11h
26
En outre, que faire une fois la situation connue ?
C’est précisément la question qui me tracassait le plus.
Google est bien gentil de vouloir forcer les éditeurs à se bouger le cul pour sortir des patchs plus vite, mais jusqu’à présent, quand une vulnérabilité était publiée j’ai jamais vu en quoi c’était bon pour l’utilisateur :S
Pourtant, il y a internet qui est un super outil de communication où ils peuvent mettre leurs oeuvres à disposition gratuitement et jouir d’une publicité gratuite sans commune mesure avec ce qu’un label pourrait leur apporter.
Publicité gratuite sans commune mesure ? Pardon ?
Tu parles de quel type de méthode ? Le “bouche à oreille” ? Le spam de message sur FB/Twitter/Forums disant “écoutez notre son sur youtube il déchire” ? Le spam de mail à des bloggeurs disant “écoutez notre son sur youtube il déchire” ?
Non parce que ça s’arrête la pour le gratuit.
Et de l’autre côté, tu as des entreprises qui payent des radios pour faire passer ta musique, payent des emplacements publicitaires pour que tu ais de la visibilité. Donc le côté “sans commune mesure avec ce qu’un label pourrait leur apporter”, je le vois pas trop.
Et je ne parle même pas de la prise en charge des frais d’enregistrement de tes morceaux et de leur production.
Curieux quand meme, parfois entre PC et console on peut pas jouer ensemble, et ca peut se comprendre si tu regarde un BF4 joué a la souris et de l’autre coté au pad. Mais entre consoles, toutes livrées avec des pads, y a pas de raison valable a part engranger plus de sous.
C’est exactement ce que je me dis.
Jojo5101 a écrit :
Pour surtout éviter de partager ses clients avec le concurrent, rien de plus
Je trouve que ça pourrait être un vrai plus je trouve.
Du genre : tu préfères la XB mais tes potes ont la PS ? Tu peux quand même jouer avec eux :)
Jojo5101 a écrit :
Il existe un exemple du cross-play entre PC et console, il s’appelle Portal 2 ! En effet, Valve est parvenu (on ne sait comment) à convaincre Sony de permettre à ses joueurs (clients) de jouer avec d’autres joueurs évoluent sur Mac et PC. Cette initiative n’a malheureusement pas été suivi par d’autres éditeurs par la suite et demeure aujourd’hui comme une simple exception. :(
Apparemment avec W10, ils ont commencer à communiquer sur le fait qu’on puisse faire du multi cross-plateforme
Le
13/02/2015 à
13h
51
Ben avec W10 le multi xb1-PC devrait être possible (d’après la preview de Fable legends), alors je demande pourquoi le multi PS-XB n’est pas possible si toute l’infrastructure appartient à l’éditeur.
Le
13/02/2015 à
13h
32
Jojo5101 a écrit :
DahoodG4 a écrit :
Une autre question pour vous.
Si les serveurs multis sont gérés par l’éditeur et non par les constructeurs de console, pourquoi est ce qu’on peut pas avoir de multijoueurs multiplateforme ? :)
Le
13/02/2015 à
13h
28
Avec des amis ? J’en doute fort.
Mais dans tous les cas je compte pas me le prendre maintenant. J’ai Watch Dogs, Rayman Legends et Ori (qui va bientot sortir) à finir avant de compter me mettre à Evolve ^^
Le
13/02/2015 à
12h
15
zombi42 a écrit :
c’est juste a titre d’information , on est sur PC, on a acces au fichier , pourquoi ce priver ?
comme dirai certain “Just master race thing” XD
Modifier la config d’un jeu, c’est comme péter dans un ascenseur : si t’es tout seul tu prendra ton pied, s’il y a des gens ça dérangera du monde :P
Le
13/02/2015 à
12h
12
Ah ok ça me rassure !
Ca peut être intéressant. Je pense qu’après m’être acheté un casque j’irai me le prendre sur XB1
Le
13/02/2015 à
11h
21
Petite question : est ce qu’il y a une progression des personnage au fil des parties ?
Par exemple, si au fur et à mesure de victoire avec un type de hunter ou un monstre les dégats augmentent, des armes ou pouvoirs se débloquent ?
Ou alors on joue de A à Z avec les mêmes persos sans amélioration possible ?
Le
13/02/2015 à
09h
32
Ah ! Je mourrais moins con ce soir… Wait !
Le
13/02/2015 à
09h
26
Jojo5101 a écrit :
Cette légende urbaine… " />
En aucun cas Sony (ou Microsoft d'ailleurs), n'héberge les serveurs de jeux des éditeurs tiers !
DahoodG4 a écrit :
Oui ca fait mal au c.l 12€ par mois pour du skype
Ca je ne savais pas ! Merci.
Donc oui ça fait mal de payer juste pour ça. Mais maintenant j’ai une autre remarque : pourquoi le live de Sony sur PS3 était aussi pourri O.o !
Que MS décide de faire payer son live, ok ! C’est une décision purement business, même si j’approuve pas je comprends.
Que Sony décide d’en avoir un gratuit, ok ! Mais pourquoi la version de Sony était aussi peu fiable alors qu’ils ne doivent servir que de passerelle vers les vrai serveurs de jeu ? O.o
Le
13/02/2015 à
08h
53
Ellierys a écrit :
En un mot : Royalties.
Ouai enfin, une augmentation de 40%, ça commence à faire beaucoup.
Bon en enlevant les 30% “constructeurs”, on retombe sur un prix similaire au PC mais quand même, c’est assez dérangeant… Surtout pour un jeu essentiellement multi qui n’aura pas à entretenir ses propres serveurs.
Le
13/02/2015 à
08h
40
Personnellement j’ai jamais compris pourquoi les jeux sur console étaient aussi cher par rapport au PC.
Surtout que pour le multi, le studio n’a pas à investir dans des serveurs vu que ce sont ceux de MS et Sony qui sont utilisés…
Il n’y a rien à la hauteur d’un Big Pictures chez EA, ni d’API ouverte (à ma connaissance).
Euu niveau ouverture de l’API je vois pas en quoi ça concerne les joueurs.
Big Picture c’est une fonctionnalité spécialement faite pour les Steam Machine (ou jouer sur un putain de grand écran), c’est un plus mais pour une minorité de joueur.
Comme
le streaming local (qui est un énorme plus pour moi), tout le monde
n’en a pas usage, certe, mais néanmoins ça reste des features ;)
Oui ça reste des features. Je ne nie pas que Steam possède plein de petites features en plus qu’Origin, mais à part une minorité ça concerne pas grand monde.
Le tri de sa bibliothèque est dans mes souvenirs, ultra limité sur
Origin. Forcément, avec un catalogue réduit et des promos rares, c’est
moins gênant, mais sur Steam j’ai une ludothèque bien fournie, et fort
heureusement y’a un minimum d’option pour tout classer.
Ca c’est vrai.
Même si les options de tri sont là, on peut pas classer les titres par dossier. C’est vrai que ça manque.
Pareil, je ne me rappel pas avoir trouvé ou choisir l’emplacement d’install d’un jeu dans Origin.
Tu peux changer le répertoire d’installation, il faut voir dans les paramètres d’application
En vrac, des fonctionnalités auxquelles je pense :
mode famille
install à distance, en chaine, etc…
Autant le mode famille c’est un vrai plus, autant l’installation à distance…
le backup local des jeux
installation de jeux externes
Origin le fait aussi.
dispo sur Linux !!! *
Vu que aucun jeu du catalogue Origin n’est dispo sur Linux, ça va servir un peu à rien de porter la plateforme dessus ^^”
Après chacun fait son tri dans ce qui l’intéresse ;)
Justement, à part 1 ou 2 fonctionnalités qui manquent sur Origin (le tri et le mode famille), les deux plateformes se valent. Ca ne sert plus à rien de descendre Origin comme s’il était l’usine à gaz qu’était Steam à ses débuts. Pour une utilisation très succincte limitée à lancer des jeux, il y a presque aucune différence (même si je trouve Origin plus rapide niveau navigation que Steam)
Après, comme tu dis, chacun fait le tri dans ce qui l’intéresse et préfèrera une plateforme à une autre. Mais l’argument “Origin n’est rien de plus qu’un DRM sans valeur ajoutée” n’est plus vraie
Le
12/02/2015 à
09h
03
Akoirioriko a écrit :
Au hasard, je dirais tous les trucs qu’on peut faire avec Steam et qu’on peut pas faire avec Origin. Il y en a pas mal me semble-t-il.
Alors, les truc “utiles” qu’on peut faire avec Steam et pas Origine j’en vois que très peu.
Prenons par exemple le Steam Workshop, c’est super cool mais les titres qui en profite sont trop peu nombreux donc ça fait un peu baisser de son intérêt :/
XMalek a écrit :
en vrac :
Liste d’amis
Flux sociaux
Steam stream (qui est quand même ultra pratique)
Auto install fix / drivers selon ton matos
Steam save cloud
et d’autres
En vrac :
- Origin le fait
- Je vois pas trop ce que tu veux dire, mais si c’est pour avoir une notif des derniers succès de tes potes, je vois pas trop l’intérêt
- Ce qui est ultra pratique pour ceux qui stream, pour les autres on s’en fout royalement quand même.
- Ça j’arrive pas à savoir si origin le fait ou non, donc je dirais 1 point pour Steam.
- Origin le fait aussi.
Bref de la valeur ajouté, à part l’installation des derniers drivers pour ceux qui n’ont pas d’application permettant de le faire, j’en vois pas tant que ça.
J’attends les autres
Le
11/02/2015 à
15h
02
Munsh a écrit :
Ok, j’admet qu’Origin, c’est clairement pas l’horrible store d’Ubi, mais c’est pas la liesse pour autant. Soit je prends un jeu sans DRM, soit je vais directement sur Steam pour la valeur ajoutée. Si Ubi est un défaut, même si l’expérience offerte par Origin est neutre, ça reste un DRM, donc une contrainte :/.
Quel serait cette valeur ajoutée de Steam par rapport à Origin ?
Qui a dit qu’il faudrait attendre le mois prochain ? " />
Le
09/02/2015 à
15h
00
RaoulC a écrit :
A quel moment j’ai fait la distinction open/closed? ;)
Pas mal de gens sur cet article l’on faite, pas moi.
C’est une méprise.
Sinon : " />
Je sais, le dernier paragraphe était pour rajouter une couche sur le message “pouvoir lire le code source ne veut pas dire que c’est plus sécurisé” !
Sinon la première partie de mon message est assez importante si on veut comprendre pourquoi certaines vulnérabilités ne sont pas corrigées rapidement (ou pas du tout), comme la fameuse vulnérabilité vieille de 3 mois que MS n’a pas encore corrigée (certes ça permet une élévation de privilège, mais il est très difficile d’exploiter la vulnérabilité)
Le
09/02/2015 à
14h
07
Euuu, il y a 2 critères pour déterminer la criticité d’une faille : le première est l’impact qu’elle à sur le système affecté (donc le pouvoir qu’elle donne à l’attaquant), et le second étant sa facilité d’exploitation (sa probabilité d’occurence).
De plus, une fois qu’une faille est exploitée, il ne faut pas très longtemps pour que la vulnérabilité soit pubiée que ce soit sur du close-source ou de l’open source.
Le
09/02/2015 à
13h
33
De manière général, tu as raison en ce qui concerne la rapidité de mise au point et de publication d’un correctif. Par contre, pour celle de détection de failles c’est faux.
Quand tu tombe sur des logiciels anciens (créer dans les années 80-90), les anciennes briques du projet qui n’ont jamais été refaites (ça marche alors pourquoi y toucher) deviennent illisibles à cause de la différence de standards ou de leur non respect, c’est compliqué de les auditer.
L’article de Ars Technica sur GPG illustre bien la situation : Ars Technica
Le
09/02/2015 à
12h
44
geekounet85 a écrit :
“tous les navigateurs en ont” c’est juste un constat d’échec.
Le problème c’est que pour IE (et les autre navigateurs closed source) on a aucune idée de l’ordre de grandeur de l’échec.
A moins que tu sois un spécialiste de la sécurité et de l’audit de code et que tu audites en profondeur chaque logiciel open source que tu utilises, tu as également aucune idée de l’ordre de grandeur de l’échec pour FF et Chrome.
Alors tu peux te rassurer en te disant que des gens plus compétents que toi le font surement à ta place, mais tu n’as aucun moyen d’en être sûr non plus.
Le
09/02/2015 à
10h
30
Simple oui !
Efficace je ne sais pas. Je pense que la majorité des gens fréquentant des forums ne sont pas sous Internet Explorer. Donc si tu balances un faux lien, il y a moyen que tu te fasses repérer assez vite.
Le
09/02/2015 à
10h
19
Ou que la faille en question réprésente un faible risque et que la corriger n’est pas prioritaire ?
Le
09/02/2015 à
10h
17
flagos_ a écrit :
Oui. Mais là le discours “la faille n’est pas activement exploitée” veut dire, en langage de com, que MS va attendre le mois prochain pour envoyer le patch.
Attends demain pour sortir tes grandes prédictions. :)
shadowfox a écrit :
Ce peut-être d’autant plus dangereux, si ce sont les annonceurs qui se sont fait piéger et dont les publicités sont utilisées sur des sites très fréquentés.
Euuu, là je saurais pas quoi dire. Les listes Ad Block devrait bloquer ce genre de script normalement non ?
Le
09/02/2015 à
10h
14
flagos_ a écrit :
Il suffit d’etre allé rendre visite a un site piège, ce dernier te présente un lien qui va bien vers ta banque ou quoi. Et c’est fini, les mecs peuvent ajouter leur script et recupérer tes données, alors que tu es bien sur le site officiel. C’est là que c’est vache: tu es bien sur le site officiel mais en fait tu t’es fait hacké.
Enfin moi c’est comme ca que je comprends la faille, et sincèrement, je la trouve vraiment importante.
Beaucoup trop compliqué.
L’hypothèse de CryoGen est beaucoup plus plausible : une stored XSS sur n’importe quel site, tout ceux qui visite la page se font infecté par un malware qui pourra récupèrer beaucoup plus de données (ou miner des bitcoins).
Le
09/02/2015 à
10h
11
CryoGen a écrit :
Là où ca peut être chaud c’est si un site normal est infecté (par exemple une page yahoo, un site de cuisine etc.)
Et qu’il tente d’injecter en permanence du code sur des sites précis. Si tu visites un site ciblé tu te fait avoir sans passer par la case phising…
La c’est plus problématique.
Une stored XSS qui permet de récupérer des données ou d’installer des malwares sur les PC, j’avoue que c’est assez fatal
Le
09/02/2015 à
10h
05
flagos_ a écrit :
Ben la tu peux faire un phising où le gars arrive sur vraie page mais se fait en fait aspirer les données. Comme tu dis c’est du XSS mais en mode tu fais ce que tu veux, et franchement, c’est super dur a détecter pour l’utilisateur.
Mais pour cela il faut que le site web en question soit vulnérable à une faille XSS.
Le
09/02/2015 à
09h
53
flagos_ a écrit :
Cette faille rend impossible tout auto diagnostic du phising. Sincèrement, elle est vraiment grave cette faille, il faut vraiment arrêter toute utilisation d’IE jusqu’a que ce soit patché.
Comment elle rend impossible tout auto diagnostic du phising ? Elle ne peut être exploité que par phising !
Désactive le Javascript avant de cliquer sur un lien dont tu n’es pas sûr de l’origine et ça devrait aller.
vloz a écrit :
Ca depent quel conseil, si comme moi tu te contente de dire avant de renseigné tes identifiant apple assure toi que:
le site soit crédible en terme de design et de langue
l’url soit du type apple.com
qu’un certificat type ssl authentifie bien l’origine
Bah là, ça tombe un peu à l’eau… :S
En quoi là ça tombe à l’eau ? Cette faille fonctionne uniquement via du phishing. C’est une XSS universel mais ça reste une XSS.
Donc tu peux toujours t’en protéger facilement :
- Emetteur inconnu -> poubelle
- Mail forgé à l’identique d’une banque/site e-commerce -> désactiver le Javascript et clique sur le lien et après fait tes vérifications.
Le
09/02/2015 à
09h
30
Hein ? En ça tombe à l’eau ?
Au contraire, c’est maintenant que ça sert ces conseils
J’avoue. J’y croyais que très peu de toute façon vu que personne n’en parlait, mais j’avais pas pensé à cet argument.
Le
10/02/2015 à
09h
49
Khamaï a écrit :
Dit comme ça, ça fait un peu “Evolve”. Et arriver après ne vas pas les aider. C’est peut être pas plus mal qu’ils annulent. Je suis pas certain que le marché soit suffisant.
Je pense que le gros bruit derrière Evolve y est pour beaucoup.
Mais j’avais lu des articles il y a quelques mois disant que le jeu restait en projet et que seul le modèle PC only - multi 4vs1 allait changé pour laisser place à un RPG solo multi plateforme un peu plus classique.
Bon apparemment tout est mort, dommage parce que j’aimais beaucoup l’idée. Mêler le fantastique et la fantasy.
Ellierys a écrit :
Mass Effect, ouate else ?
Apparemment le prochain ME devrait annoncer du lourd. La majorité des devs de DA:I ont été affecté au projet. Le jeu serait énorme… J’espère que le résultat sera à la hauteur.
Par contre, j’avais lu un article disant que le moteur graphique avait changé, et qu’ils allaient utilisé le Fox Engine, mais cette info a été reprise par personne, du coup je suis pas trop sur :/
Je m’étais imaginé un mix entre Skyrim (pour le gameplay et l’ambiance médiéval), Mass Effect (pour tout le système : un choix-une conséquence différente, et la création d’alliance) dans l’univers de Warhammer en jouant un assassin/héros elfe noir (oui parce que les autres races c’est de la merde) ^^
Le
05/02/2015 à
15h
54
Mouai… Je suis pas trop fan du concept !
Ce que j’aimerai, ce serait un énorme RPG qui te permettrai d’incarner un simple soldat d’un seigneur lambda de n’importe quelle race (ou du moins appartenant aux races pricipales : chaos, humains, elfes/elfes noirs, orcs et gobelins), et dont le but est de grimper dans la hiérarchie jusqu’à devenir un héros et de servir les intérêts de ton espèce lors d’une grande guerre prête à être livrée.
Il faudrait trouver des alliées, tuer/affaiblir les adversaires, trouver des reliques magiques pour renforcer son pouvoir. On pourrait trahir ses alliés pour récupérer plus de pouvoir personnel, faire sonner la justice en débusquant des traitres… Bref, il y a plein de trucs à faire :)
3074 commentaires
Failles 0-day : Google assouplit son Project Zero pour éviter les frictions
16/02/2015
Le 16/02/2015 à 21h 14
Le 16/02/2015 à 15h 37
Le 16/02/2015 à 13h 09
Il y a des problèmes qui n’ont pas forcément de solution super pratique.
Une vulnérabilité dans Flash, tu fais quoi en attendant le patch ?
Tu demandes à tous tes employés de ne pas utiliser Flash ? Tu fais désactiver Flash de force sur tous les postes ?
Une vulnérabilité dans le kernel windows : tu fais quoi en attendant le patch ?
Une vulnérabilité dans le firmware des routeurs ? Je suis pas sûr qu’interdire les flux vers ces routeurs soit très malin.
Le 16/02/2015 à 12h 57
Je suis pas sûr qu’espérer que l’éditeur trouve une solution avant les hackeurs, sans rien pouvoir y faire, soit une situation très confortable ^^”
Ce serait un peu comme faire un audit de sécurité, et de ne proposer aucunes recommandations pour les vulnérabilités détectées, et de dire : voilà maintenant démerdez vous.
Le 16/02/2015 à 12h 49
Hein ? Non.
J’ai jamais évoqué le moindre cas particulier dans mes commentaires.
Je commentais juste une remarque soulevée par MS et reprise par Vincent : “Une fois que Google a publié la faille, qu’est ce qui se passe ?”
Le 16/02/2015 à 12h 45
Non, mais entre connaître l’existence d’une vulnérabilité et trouver le moyen de l’exploiter, il y a une différence !
Donner les deux aux attaquants sans donner de conseils aux défenseurs, c’est pas très logique quand on se dit du côté des utilisateurs
Le 16/02/2015 à 12h 38
Non la faille n’est pas corrigé, ils ont juste remplacé la techno dans la version suivante.
Mais sur cette histoire Google est très bête. Corriger la faille ne leur couterait presque rien, et après ils ont juste à rebalancer la responsabilité sur les OEM en disant que le reste ne dépend que d’eux.
Le 16/02/2015 à 12h 36
J’ai l’impression qu’on parle pas de la même chose. Je reproche pas à Google de publier les vulnérabilités au bout de 90 jours (bien que je trouve abuser le coup de : on la publie un dimanche 2 jour avant la publication d’un patch).
Je trouve que c’est abusé de publier la vulnérabilité, avec un outil permettant de l’exploiter, sans donner aucune recommandation permettant de limiter les dégâts.
Le 16/02/2015 à 12h 33
Le 16/02/2015 à 12h 21
La politique de Google, c’est d’abord de prévenir l’éditeur que cette
faille existe (mais sans la rendre publique). Sur ce point je ne vois
pas trop ce qu’il y a à reprocher. La course contre la montre commence :
la faille est connue, ça veut dire qu’elle peut être exploitée par des
hackers, il est donc urgent de patcher.
Donc au bout de 90 jours, tu trouves normal que Google balance publiquement la vulnérabilité, le PoC pour la tester (dont potentiellement un outil pour exploiter cette faille) sans donner aucunes mesures de sécurité, ni aucun conseil permettant de limiter son exploitation ?
Ensuite, “la faille est connue, ça veut dire qu’elle peut être exploitée par des hackers”.
La faille est connue de Google et l’éditeur uniquement. Rien ne prouve qu’elle ait déjà été exploitée, ni qu’elle soit même connue des hackers.
Donc la solution de publier la vulnérabilité, avec un PoC, sans donner la moindre recommandation pour se protéger et se laver les mains de toute responsabilité, ce n’est pas correct.
Le 16/02/2015 à 12h 06
Le 16/02/2015 à 12h 00
Le 16/02/2015 à 11h 26
En outre, que faire une fois la situation connue ?
C’est précisément la question qui me tracassait le plus.
Google est bien gentil de vouloir forcer les éditeurs à se bouger le cul pour sortir des patchs plus vite, mais jusqu’à présent, quand une vulnérabilité était publiée j’ai jamais vu en quoi c’était bon pour l’utilisateur :S
Réforme du droit d’auteur : Julia Reda (Parti Pirate) veut l’avis des créateurs
13/02/2015
Le 15/02/2015 à 22h 18
Revue de presse : Evolve est une réussite, chargée en DLC
13/02/2015
Le 13/02/2015 à 14h 27
Le 13/02/2015 à 13h 51
Ben avec W10 le multi xb1-PC devrait être possible (d’après la preview de Fable legends), alors je demande pourquoi le multi PS-XB n’est pas possible si toute l’infrastructure appartient à l’éditeur.
Le 13/02/2015 à 13h 32
Le 13/02/2015 à 13h 28
Avec des amis ? J’en doute fort.
Mais dans tous les cas je compte pas me le prendre maintenant. J’ai Watch Dogs, Rayman Legends et Ori (qui va bientot sortir) à finir avant de compter me mettre à Evolve ^^
Le 13/02/2015 à 12h 15
Le 13/02/2015 à 12h 12
Ah ok ça me rassure !
Ca peut être intéressant. Je pense qu’après m’être acheté un casque j’irai me le prendre sur XB1
Le 13/02/2015 à 11h 21
Petite question : est ce qu’il y a une progression des personnage au fil des parties ?
Par exemple, si au fur et à mesure de victoire avec un type de hunter ou un monstre les dégats augmentent, des armes ou pouvoirs se débloquent ?
Ou alors on joue de A à Z avec les mêmes persos sans amélioration possible ?
Le 13/02/2015 à 09h 32
Ah ! Je mourrais moins con ce soir… Wait !
Le 13/02/2015 à 09h 26
Le 13/02/2015 à 08h 53
Le 13/02/2015 à 08h 40
Personnellement j’ai jamais compris pourquoi les jeux sur console étaient aussi cher par rapport au PC.
Surtout que pour le multi, le studio n’a pas à investir dans des serveurs vu que ce sont ceux de MS et Sony qui sont utilisés…
Windows 10 pour smartphones : la Technical Preview disponible pour certains Lumia
13/02/2015
Le 13/02/2015 à 08h 55
Mais ça plante à chaque utilisation du flash
" />
EA laisse entendre que Titanfall 2 ne sera pas une exclusivité Microsoft
11/02/2015
Le 12/02/2015 à 19h 33
Le 12/02/2015 à 09h 03
Le 11/02/2015 à 15h 02
De plus en plus d’acteurs en faveur d’une réforme du droit d’auteur
11/02/2015
Le 11/02/2015 à 15h 45
Non, mais la base d’un compromis c’est de trouver un terrain d’entente qui ne créer pas d’avantages au détriment d’un des partis.
Le 11/02/2015 à 15h 28
Si des acteurs soutiennent cette réforme, c’est qu’elle n’est pas si bonne.
Un bon contrat laisse toutes les partie mécontent, si des gens sont pleinement satisfait c’est qu’il est déséquilibré.
Valve serre la vis sur les échanges de clés contre des votes sur Greenlight
11/02/2015
Le 11/02/2015 à 10h 57
Ben écoute, si son âme ne vaut que la clé CD d’un mauvais jeu, c’est son problème
" />
Internet Explorer victime d’une faille, Microsoft sur la brèche
09/02/2015
Le 11/02/2015 à 09h 41
Bon la faille a été patché !
" />
Qui a dit qu’il faudrait attendre le mois prochain ?
Le 09/02/2015 à 15h 00
Le 09/02/2015 à 14h 07
Euuu, il y a 2 critères pour déterminer la criticité d’une faille : le première est l’impact qu’elle à sur le système affecté (donc le pouvoir qu’elle donne à l’attaquant), et le second étant sa facilité d’exploitation (sa probabilité d’occurence).
De plus, une fois qu’une faille est exploitée, il ne faut pas très longtemps pour que la vulnérabilité soit pubiée que ce soit sur du close-source ou de l’open source.
Le 09/02/2015 à 13h 33
De manière général, tu as raison en ce qui concerne la rapidité de mise au point et de publication d’un correctif. Par contre, pour celle de détection de failles c’est faux.
Ars Technica
Quand tu tombe sur des logiciels anciens (créer dans les années 80-90), les anciennes briques du projet qui n’ont jamais été refaites (ça marche alors pourquoi y toucher) deviennent illisibles à cause de la différence de standards ou de leur non respect, c’est compliqué de les auditer.
L’article de Ars Technica sur GPG illustre bien la situation :
Le 09/02/2015 à 12h 44
Le 09/02/2015 à 10h 30
Simple oui !
Efficace je ne sais pas. Je pense que la majorité des gens fréquentant des forums ne sont pas sous Internet Explorer. Donc si tu balances un faux lien, il y a moyen que tu te fasses repérer assez vite.
Le 09/02/2015 à 10h 19
Ou que la faille en question réprésente un faible risque et que la corriger n’est pas prioritaire ?
Le 09/02/2015 à 10h 17
Le 09/02/2015 à 10h 14
Le 09/02/2015 à 10h 11
Le 09/02/2015 à 10h 05
Le 09/02/2015 à 09h 53
Le 09/02/2015 à 09h 30
Hein ? En ça tombe à l’eau ?
Au contraire, c’est maintenant que ça sert ces conseils
Bioware annule le développement de Shadow Realms
10/02/2015
Le 10/02/2015 à 09h 53
J’avoue. J’y croyais que très peu de toute façon vu que personne n’en parlait, mais j’avais pas pensé à cet argument.
Le 10/02/2015 à 09h 49
Windows 10 : une seconde mise à jour cumulative, avec 18 améliorations
05/02/2015
Le 05/02/2015 à 16h 14
Le patch pour IE11 est inclus dedans ?
" />
J’attends avec impatience cette MaJ pour ma Xbox pour pouvoir espérer profiter des partages SMB
Warhammer The End Times – Vermintide : Left 4 Dead, avec des rats géants
05/02/2015
Le 05/02/2015 à 16h 07
Connais pas le jeu.
Je m’étais imaginé un mix entre Skyrim (pour le gameplay et l’ambiance médiéval), Mass Effect (pour tout le système : un choix-une conséquence différente, et la création d’alliance) dans l’univers de Warhammer en jouant un assassin/héros elfe noir (oui parce que les autres races c’est de la merde) ^^
Le 05/02/2015 à 15h 54
Mouai… Je suis pas trop fan du concept !
Ce que j’aimerai, ce serait un énorme RPG qui te permettrai d’incarner un simple soldat d’un seigneur lambda de n’importe quelle race (ou du moins appartenant aux races pricipales : chaos, humains, elfes/elfes noirs, orcs et gobelins), et dont le but est de grimper dans la hiérarchie jusqu’à devenir un héros et de servir les intérêts de ton espèce lors d’une grande guerre prête à être livrée.
Il faudrait trouver des alliées, tuer/affaiblir les adversaires, trouver des reliques magiques pour renforcer son pouvoir. On pourrait trahir ses alliés pour récupérer plus de pouvoir personnel, faire sonner la justice en débusquant des traitres… Bref, il y a plein de trucs à faire :)