[ Page d'accueil | Sommaire | Recherche | Nouveau | Répondre | Suivant | Précédent | Remonter ]
De: DaJoss
Date: 04 Jul 2001
Time: 09:32:11
Remote Name: 195.68.79.228
Relis ma contrib, je n'y dit pas le contraire mais j'y essaie seulement d'élargir un peu le débat et pendant qu'on y est, on va creuser un peu plus profond.
Premièrement et contrairement à toi je pense que ces petites erreurs bêtes en cachent de plus grandes et il me semble que c'est ce que kitetoa aussi a voulu suggérer en montrant depuis le début que si de simple hackerz de pizza peuvent le faire c'est que d'une part c'est à la portée de n'importe qui, d'autre part que de vrai problèmes doivent exister derrière.
Quasiment tout le bugs utilisés ont fait l'objet d'un patch, certains il y a plus de deux ans ce qui veut dire que le patch non seulement n'as pas été appliqué lors de l'install du serveur (ce qui pourrait constituer un oubli ponctuel) mais pas non plus par la suite lors de sa "maintenance".
De plus, lorsque kitetoa a averti un admin en l'aiguillant qui plus est sur le type de problème et par là même sur le type de solutions a adopter, dans plus de 50% des cas la seule mesure a été de déplacer les fichiers incriminés ou de patcher un serveur ou deux sans lancer aucun audit de fond sur les autres (Bull...) pour ainsi dire un pansement sur une jambe de bois...
Ou étaient les experts a ce moment là ? Qui a pu juger que le problème n'était pas suffisamment important pour qu'on s'en occupe vraiment ? Qui préfère un article de presse pour nier les faits à un audit des serveurs ? Qui pense éventuellement à attaquer le site en justice ? Qui installe des filtres et des firewall en cascade en touchant une éventuelle marge dessus ?
En se posant les questions, les réponses viennent assez vite d'elle même. On doute un peu au début puis très vite on le remplace par une quasi certitude
Visiblement, tu as l'air de penser que les info de sécurité ne devraient être divulguées qu'aux personnes "initiées" dans un cercle plus ou moins confidentiel pour éviter les scripts kiddies. Perso, on a vu ce qui se passe lorsqu'on donne a une entreprise une solution gratuite pour sécuriser ses serveurs : Rien La différence entre un script kiddy et un expert initié c'est que le script kiddy est peut être un jeune con immature mais que visiblement il sait chercher, lire et exploiter une information alors que sur les exemples cités sur kitetoa même quand on leur apporte sur un plateau, ça ne marche pas toujours. Je ne cloues nullement les admins comme je le précisais déjà dans mon précédent post, mais j'invite plutôt a lever les yeux vers la politique des prestas en renvoyant au post de serbo un peu plus bas qui disséque pas mal le truc
L'informatique n'est pas une religion, les experts en sécurité ne sont pas des prophètes infaillibles et dieu est mort
DaJoss