Le Wed, 23 Oct 2002 10:55:59 +0200
[EMAIL PROTECTED] �crivait :

> On Wed, 23 Oct 2002 10:21:31 +0200
> Patrice Karatchentzeff <[EMAIL PROTECTED]> wrote:
> 
> > (d�sol� pour le double Georges)
> 
> je me suis fait avoir, je t'ai fait une r�ponse perso...

m'en doutais : j'ai attendu le renvoi ici ;-)

> 
> > syst�me. Et qu'on lui mettre le nez sur un probl�me de s�curit�
> > important � ce moment-l� est je pense judicieux.
> 
> OUI! mais � part r�peter b�tement "c'est p� bien" "c'est mal"...
> j'ai toujours rien vue de __concret__ (histoire de d�finir [enfin]
> dans quel contexte pr�cis c'est effectivement important.
> 
> Y'a plus qu'� esp�rer que le-dit contexte survienne (effectivement)
> chez le d�butant, ... ;-)  
> [je t'aide : 
> * prenons un d�butant, 
> 
> * il � la chance d'avoir une connexion ADSL internet permanente, 
> 
> * il a �limin� toutes les protections usuelles (fw et autres filtrages
> par exemple, rappel : c'est un d�butant) 
> 
> * il fait un xhost +, 
> la suite ???
> ]

N'importe qui peut se logguer chez lui... ou faire tourner un programme
X. � partir de l�, trou de s�curit� des-dits programmes, exploit puis...

Sinon, on peut aussi reniffler � ce moment-l� tous les �v�nements X...
comme la frappe des touches sur le clavier d'o� exploit (tr�s facile et
peu glorieux mais pour fabriquer des machines en open-relay derri�re,
les spameurs se foutent de la gloriole...).

> 
> > Le nombre de rigolos avec xhost + est compl�tement d�lirant... 
> J'en suis. :))
> 

Pas bien...

> > n'exsiste pas de culture de la s�curit� chez l'utilisateur de base
> > (et, c'est plus grave, chez de nombreux administrateurs UNIX). 
> 
> je suis root sous X tous les jours, je fais du xhost + r�guli�rement,
> je vois pas en quoi on peut en d�duire que je me fiche de la
> s�curit�... raccourci (trop) rapide 

RTFM mon cher Georges, RTFM ! Dans un LAN priv� sans connexion
ext�rieure, les risques sont faibles. Et de ce fait, on tombe facilement
dans la facilit� (quoique autoriser explicitement le nom d'une machine
avec xhost ne soit pas tr�s compliqu�).

En faisant cela, on oblige l'utilisateur � r�fl�chir : qui peut (ou
doit) utiliser ma machine ? C'est la premi�re �tape de r�flexion qui
m�ne � construire un �difice avec des bases solides sur la s�curit�.

PK

-- 
Patrice KARATCHENTZEFF
STMicroelectronics           Tel:  04-76-92-63-81
850, rue Jean Monnet
38926 CROLLES Cedex, France  Courriel: [EMAIL PROTECTED]

Répondre à