Le Wed, 23 Oct 2002 10:55:59 +0200 [EMAIL PROTECTED] écrivait : > On Wed, 23 Oct 2002 10:21:31 +0200 > Patrice Karatchentzeff <[EMAIL PROTECTED]> wrote: > > > (désolé pour le double Georges) > > je me suis fait avoir, je t'ai fait une réponse perso...
m'en doutais : j'ai attendu le renvoi ici ;-) > > > système. Et qu'on lui mettre le nez sur un problème de sécurité > > important à ce moment-là est je pense judicieux. > > OUI! mais à part répeter bêtement "c'est pô bien" "c'est mal"... > j'ai toujours rien vue de __concret__ (histoire de définir [enfin] > dans quel contexte précis c'est effectivement important. > > Y'a plus qu'à espérer que le-dit contexte survienne (effectivement) > chez le débutant, ... ;-) > [je t'aide : > * prenons un débutant, > > * il à la chance d'avoir une connexion ADSL internet permanente, > > * il a éliminé toutes les protections usuelles (fw et autres filtrages > par exemple, rappel : c'est un débutant) > > * il fait un xhost +, > la suite ??? > ] N'importe qui peut se logguer chez lui... ou faire tourner un programme X. À partir de là, trou de sécurité des-dits programmes, exploit puis... Sinon, on peut aussi reniffler à ce moment-là tous les événements X... comme la frappe des touches sur le clavier d'où exploit (très facile et peu glorieux mais pour fabriquer des machines en open-relay derrière, les spameurs se foutent de la gloriole...). > > > Le nombre de rigolos avec xhost + est complètement délirant... > J'en suis. :)) > Pas bien... > > n'exsiste pas de culture de la sécurité chez l'utilisateur de base > > (et, c'est plus grave, chez de nombreux administrateurs UNIX). > > je suis root sous X tous les jours, je fais du xhost + régulièrement, > je vois pas en quoi on peut en déduire que je me fiche de la > sécurité... raccourci (trop) rapide RTFM mon cher Georges, RTFM ! Dans un LAN privé sans connexion extérieure, les risques sont faibles. Et de ce fait, on tombe facilement dans la facilité (quoique autoriser explicitement le nom d'une machine avec xhost ne soit pas très compliqué). En faisant cela, on oblige l'utilisateur à réfléchir : qui peut (ou doit) utiliser ma machine ? C'est la première étape de réflexion qui mène à construire un édifice avec des bases solides sur la sécurité. PK -- Patrice KARATCHENTZEFF STMicroelectronics Tel: 04-76-92-63-81 850, rue Jean Monnet 38926 CROLLES Cedex, France Courriel: [EMAIL PROTECTED]
