Café Du Web - Forums
Le journal Cafeduweb => Informatique, Home ciné, Logiciels,... => Discussion démarrée par: ptitourski le décembre 21, 2003, 16:21:34
-
L’affaire de « l’URL Spoofing » d’Internet Explorer continue à faire couler de l’encre, des larmes et des sourires narquois. Après la tentative d’exploitation commerciale d’Abracadabra, la course au « patch » d’origine non-Microsoft passe à la vitesse supérieure. Cette foi-ci, c’est au tour du site Open Source OpenWares de fournir sa rustine gratuite accompagnée de son code source.
En attendant, pour faire bonne figure, Microsoft décrit le bug, au cas où ses usagers auraient « loupé » l’annonce de Zap the Digbats. Reste à espérer que la fréquentation de la « Kbase » par les usagers grand public de Windows XP est aussi importante que celle des sites marchands en cette période de Noël.
Sans apparemment le vouloir -faut-il l’espérer-, mais vient d’ouvrir une brèche phénoménale dans sa politique de sécurité. En espaçant les « lots » de correctifs, « Corp » seulement encourage la multiplication de correctifs « sauvages » dont on ne peut prédire le comportement à long terme. Des correctifs dénués de tout déverminage de compatibilité matériel, dépourvu de tout contrôle de nouvelles instabilité transversales. La chasse à ces éventuels « bug dans l’anti-bug » alourdit d’autant plus les problèmes de tests de non régression imposés aux cellules de sécurité des entreprises. Car, dans le cas d’un tel défaut (ndt : le problème URL Spoofing), la question ne se pose pas, il FAUT patcher. Les risques d’attaques par pages « scamées » à l’aide d’adresses falsifiées (spoofées) sont de plus en plus importants chaque jour, et le « bug » en question, bien qu’intrinsèquement non dangereux, ouvre la voie à des intrusions dont la criticité est extraordinairement élevée. Et tenter, en quelques jours, d’évangéliser les usagers d’un parc en leur récitant le mantra microsoftien « vérifier la validité de votre connexion SSL » et « effectuez un couper-coller de chaque URL douteuse dans votre bloc-note afin de vérifier l’éventuelle présence d’un %00, d’un %01 ou d’un @ », vous y croyez , vous ? C’est hélas, pour l’heure, la seule solution offerte par l’éditeur.
source et suite de l'article (http://www.reseaux-telecoms.com/alerte_btree/03_12_19_141003_206/CSO/Alerte_view)
à votre avis , il faut le prendre comment ? <_<
-
Et bien, je reste persuadé qu'une bonne politique de sécurité passe ) plus de 80% par le facteur humain.
Le problème, c'est qu'avec l'informatique, c'est comme donner une arme à feu à n'importe qui. Il y a des précautions d'usage à respecter et que peu de gens suive (levez la main ceux qui font des sauvegardes régulières ET qui les vérifient ! :unsure: )
Dans le cadre de cette faille, c'est très CON que Microsoft ne propose pas tout de suite un patch. C'est un manque flagrant d'intérêt pour une clientèle quasi acquise. De ce fait, il me semble intéressant de passer à Mozilla. Ca permet d'éviter cette faille et surtout de tester une solution alternative :powa:
-
il y a un petit plus d'un moins microsoft se plaignait que l'on faisait que trop rarement des vérification d'usage par update ( mais enprofitait pour scanner notre pc plus ce qui était nécessaire )
et maintenant il se désavoue de son suivi de consommateur
pour mozilla , il n'est pas encore parfais , je ne sais pas ce que va valoir la version 1.6 , mais il va falloir faire un choix
-
Pourtant, c'est l'un des seuls qui respectent toutes les recommandations du W3C ... :rolleyes: