Vista, un hack béant dans XP
BrotherS
-
sebsauvage Messages postés 33415 Statut Modérateur -
sebsauvage Messages postés 33415 Statut Modérateur -
Voici une belle faille qui n'est pas prête d'être corrigé par Microsoft : le DVD de Vista utilisé en mode « récupération de système » donne accès aux disques XP sans nécessiter le moindre mot de passe administrateur. Une information claironnée sur le blog de F-Secure.
http://www.securitycrawler.com/5098-vista-un-hack-beant-dans-xp
http://www.securitycrawler.com/5098-vista-un-hack-beant-dans-xp
A voir également:
- Vista, un hack béant dans XP
- Cle windows xp - Guide
- Windows vista - Télécharger - Divers Utilitaires
- Telecharger windows xp - Télécharger - Systèmes d'exploitation
- Cd burner xp - Télécharger - Gravure
- Download windows xp sp2 32 bit iso bootable - Télécharger - Divers Utilitaires
9 réponses
pourquoi malheureusement ?
là, moi je dis heureusement .
comment on fait pour réparer un système alors ?
non, il faut arrêter la parano:
si on ne veut pas que les informations d'un fichier ne soient pas lues, il suffit de le crypter , mais il ne faut pas construire tout un système de fichiers s ou un système d'exploitation autour de cette contrainte: ça deviendrait ingérable .
là, moi je dis heureusement .
comment on fait pour réparer un système alors ?
non, il faut arrêter la parano:
si on ne veut pas que les informations d'un fichier ne soient pas lues, il suffit de le crypter , mais il ne faut pas construire tout un système de fichiers s ou un système d'exploitation autour de cette contrainte: ça deviendrait ingérable .
Personnellement je ne suis pas d'accord avec toi.
Je possède beaucoup de données sensibles sur mon ordinateur portable, et je suis bien content de pouvoir les protéger efficacement (surtout en cas de vol).
J'ai un mac, protéger par mot de passe, avec un blocage du "bios" qui interdit tout boot sur un autre périphérique que le Disque dur à moins d'avoir le mot de pass. C'est très simple à gérer (si tu as le mot de passe bien sur) au contraire.
De plus Mac offre la possiblité à chaque utilisateur de crypter entièrement son "home directory", ainsi même si une personne peut physiquement ateindre votre disqaue il lui est impossible de lire les données.
Et encore une foi c'est tout à fait gérable... quand l'OS est bien conçu à la base.
Je possède beaucoup de données sensibles sur mon ordinateur portable, et je suis bien content de pouvoir les protéger efficacement (surtout en cas de vol).
J'ai un mac, protéger par mot de passe, avec un blocage du "bios" qui interdit tout boot sur un autre périphérique que le Disque dur à moins d'avoir le mot de pass. C'est très simple à gérer (si tu as le mot de passe bien sur) au contraire.
De plus Mac offre la possiblité à chaque utilisateur de crypter entièrement son "home directory", ainsi même si une personne peut physiquement ateindre votre disqaue il lui est impossible de lire les données.
Et encore une foi c'est tout à fait gérable... quand l'OS est bien conçu à la base.
Ben en fait tu ne contredis pas brupala en disant ça et pour le coup, je suis d'accord avec vous deux:
c'est important de pouvoir lire tout en clair sur les partitions pour pouvoir dépanner, restaurer le boot ou récupérer des données importantes après un crash.
Mais c'est bien aussi que l'on puisse crypter des partitions (ce qui empêche ou gêne le dépannage).
En fait comme vous le suggérez tous les deux: l'important c'est d'avoir le choix entre ces deux possibilités.
c'est important de pouvoir lire tout en clair sur les partitions pour pouvoir dépanner, restaurer le boot ou récupérer des données importantes après un crash.
Mais c'est bien aussi que l'on puisse crypter des partitions (ce qui empêche ou gêne le dépannage).
En fait comme vous le suggérez tous les deux: l'important c'est d'avoir le choix entre ces deux possibilités.
Ben si, tu choisis de crypter ou pas tes partitions.
Après, la dite protection censée être présente sur le cd de windows n'est qu'artificielle. Comme je le disais, avec un cd live de Linux, tu n'as plus besoin du mot de passe admin.
Mais avec une partition cryptée, tu ne peux plus exploiter les sytèmes de fichiers de manière directe.
Après, la dite protection censée être présente sur le cd de windows n'est qu'artificielle. Comme je le disais, avec un cd live de Linux, tu n'as plus besoin du mot de passe admin.
Mais avec une partition cryptée, tu ne peux plus exploiter les sytèmes de fichiers de manière directe.
Ben c'est pas vraiment une nouveauté, avec une simple disquette de démarrage bien faite on peut déja avoir accès aux différents disques d'un PC.
Pour sécuriser un peu on peut mettre le DD en first boot device, et protéger le bios par mot de passe.
Pour une meilleur protection il faudrait chiffrer le contenu du DD....
Pour sécuriser un peu on peut mettre le DD en first boot device, et protéger le bios par mot de passe.
Pour une meilleur protection il faudrait chiffrer le contenu du DD....
Salut,
commencez déjà par mettre les serveurs sous clé, ensuite on verra comment mettre un CD dans le tiroir, à distance :-)
commencez déjà par mettre les serveurs sous clé, ensuite on verra comment mettre un CD dans le tiroir, à distance :-)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Chez nous les serveurs sont derrières une porte qui fait ses 20cm d'épaisseur...
Bon le mur à côté c'est du placo donc il est plus facile de péter le mur que de forcer la porte :-D
Bon le mur à côté c'est du placo donc il est plus facile de péter le mur que de forcer la porte :-D
J'ai un client qui ne m'a pas ecouté quand je lui disai de proteger ses données: un de ses employés s'est barré avec une cartouche de sauvegarde contenant sa base client...
Est-il aussi utile de rappeller que comme le cryptage est transparent pour l'utilisateur, ce dernier doit verrouiller sa session et ne pas laisser son mdp sur un post-it sous le clavier?
Bref, le cryptage n'est pas la premiere mesure à prendre.
Est-il aussi utile de rappeller que comme le cryptage est transparent pour l'utilisateur, ce dernier doit verrouiller sa session et ne pas laisser son mdp sur un post-it sous le clavier?
Bref, le cryptage n'est pas la premiere mesure à prendre.
>Est-il aussi utile de rappeller que comme le cryptage est transparent pour l'utilisateur, ce dernier doit verrouiller sa session et ne pas laisser son mdp sur un post-it sous le clavier?
Ben oui c'est bien connu, jamais de post-it, il faut noter le mdp dans un calepin que l'on cache dans un tiroir bu bureau.
;->
Ben oui c'est bien connu, jamais de post-it, il faut noter le mdp dans un calepin que l'on cache dans un tiroir bu bureau.
;->
Salut à tous,
Moi pour crypter un fichier ou un dossier, je le compresse, j'y ajoute un mot de passe, je change l'extension et le nom du fichier pour le faire passer pour un fichier système, et j'en fait un fichier caché. Là, c'est vraiment la faute à pas de chance, si on trouve mes données.
Moi pour crypter un fichier ou un dossier, je le compresse, j'y ajoute un mot de passe, je change l'extension et le nom du fichier pour le faire passer pour un fichier système, et j'en fait un fichier caché. Là, c'est vraiment la faute à pas de chance, si on trouve mes données.
Je vais vous surprendre: Cet article ne me fait pas dresser le poil.
Windows Vista will contact Microsoft to get the right hardware drivers
Rien d'exceptionnel: Ubuntu et plein d'autres OS vont aussi télécharger des pilotes.
to provide web-based "clip art, templates, training, assistance and Appshelp,"
Sous Ubuntu, on a aussi Gnome-Art-Manager qui va télécharger des thèmes.
(Et il y a aussi du téléchargement de clipart dans OpenOffice si ma mémoire est bonne).
to access digital software certificates designed "
Là j'aime moins: Il va vérifier sur internet la signature crypto des programmes lancés.
Ça va dans le sens des DRM.
confirm the identity of Internet users sending X.509 standard encrypted information"
mmm... si on prend en considération le fonctionnement par PKI, ça se comprend.
(Même si en principe les OS et navigateur sont préchargés avec les certificats des PKI ; il n'y a donc généralement aucun besoin d'aller faire vérifier un certificat).
and to refresh the catalog with trusted certificate authorities.
C'est normal, c'est le principe des certificats: ils expirent, il faut les renouveler.
C'est valable quel que soit l'OS ou le logiciel (les navigateurs sont tous fournis avec une palanquée de certificats (Firefox et Opera aussi) qui finieront bien par expirer. Il faudra bien les mettre à jour un jour ou l'autre).
Windows Media Player in Vista for example, will look for codecs
Sous Ubuntu, Totem va également chercher automatiquement les codecs (sur confirmation).
The Malicious Software Removal tool will report straight to Microsoft with both the findings of your computer scan
Là, c'est assez moyen.
Mais attention: beaucoup d'éditeurs d'antivirus font la même chose.
J'ai pas lu le reste de l'article.
La majorité des actions de Vista dans ce domaine ne me semblent pas aberrantes.
(Par exemple, comment fournir le bon pilote sans collecter des infos sur le matériel ?)
Les soucis que je vois sont:
- on a aucune liste précise des composants logiciels qui collectent envoient des infos.
- l'utilisateur n'est pas informé des actions de ces programme et de l'envoi des données.
- on ne sait pas ce qui est fait de ces données.
Je crois que Vista n'est pas le cas le pire.
Microsoft a déjà fait bien pire.
Lisez la fin de cet article: https://www.sebsauvage.net/rhaa/index.php?2007/06/26/09/08/37-eula-qu-est-ce-qu-il-y-a-
Windows Vista will contact Microsoft to get the right hardware drivers
Rien d'exceptionnel: Ubuntu et plein d'autres OS vont aussi télécharger des pilotes.
to provide web-based "clip art, templates, training, assistance and Appshelp,"
Sous Ubuntu, on a aussi Gnome-Art-Manager qui va télécharger des thèmes.
(Et il y a aussi du téléchargement de clipart dans OpenOffice si ma mémoire est bonne).
to access digital software certificates designed "
Là j'aime moins: Il va vérifier sur internet la signature crypto des programmes lancés.
Ça va dans le sens des DRM.
confirm the identity of Internet users sending X.509 standard encrypted information"
mmm... si on prend en considération le fonctionnement par PKI, ça se comprend.
(Même si en principe les OS et navigateur sont préchargés avec les certificats des PKI ; il n'y a donc généralement aucun besoin d'aller faire vérifier un certificat).
and to refresh the catalog with trusted certificate authorities.
C'est normal, c'est le principe des certificats: ils expirent, il faut les renouveler.
C'est valable quel que soit l'OS ou le logiciel (les navigateurs sont tous fournis avec une palanquée de certificats (Firefox et Opera aussi) qui finieront bien par expirer. Il faudra bien les mettre à jour un jour ou l'autre).
Windows Media Player in Vista for example, will look for codecs
Sous Ubuntu, Totem va également chercher automatiquement les codecs (sur confirmation).
The Malicious Software Removal tool will report straight to Microsoft with both the findings of your computer scan
Là, c'est assez moyen.
Mais attention: beaucoup d'éditeurs d'antivirus font la même chose.
J'ai pas lu le reste de l'article.
La majorité des actions de Vista dans ce domaine ne me semblent pas aberrantes.
(Par exemple, comment fournir le bon pilote sans collecter des infos sur le matériel ?)
Les soucis que je vois sont:
- on a aucune liste précise des composants logiciels qui collectent envoient des infos.
- l'utilisateur n'est pas informé des actions de ces programme et de l'envoi des données.
- on ne sait pas ce qui est fait de ces données.
Je crois que Vista n'est pas le cas le pire.
Microsoft a déjà fait bien pire.
Lisez la fin de cet article: https://www.sebsauvage.net/rhaa/index.php?2007/06/26/09/08/37-eula-qu-est-ce-qu-il-y-a-
