Conversation
precedente ou
suivante
Sécurité informatique, ou de l'art de la préservation
Envoyé par:
merlin8282
Depuis quelques temps, je m'informe de manière progressive et à chaque fois j'en découvre toujours plus à propos de la sécurité en informatique. D'abord les histoires de virus (ça c'est principalement pour les windowsiens mais potentiellement tout le monde est concerné), ensuite les histoires de firewall (donc il faut s'informer à propos des ports, des paquets IP, des protocoles - principalement TCP et UDP, etc.), puis les histoires d'intrusion (injection de code, généralement via un serveur web, exploitation de faille non encore corrigée, usurpation d'identité, phishing, etc.), etc.
Viennent en même temps les solutions à ces problèmes : antivirus, configuration correcte du firewall et scan des ports de sa propre machine, recherche de bugs/failles dans le code de ses applications web (pour ceux qui développent/font tourner de telles applis), etc.
Bref, on en apprend toujours plus en ce qui concerne la sécurité dans les systèmes informatiques. D'où ma question : existe-t-il un site om l'on recence et explique TOUS les risques auxquels on risque d'être confronté (après que l'on ait un ordinateur uniquement client ou serveur ou les deux importe peu, tant qu'on connaît les dits risques) ? Si non, plusieurs sites ?
Enfin, comment cela se fait-il que les utilisateurs ne soient pas plus informés en ce qui concerne la sécurité, ce qu'ils ne doivent pas faire (choisir de bons mots de passe - même si ça, je l'avoue, on le répète sans arrêt, mais aussi par exemple bien vérifier les liens avant de cliquer dessus, etc.) ?
Encore un point que j'estime très important : de toutes les distributions GNU/Linux que j'ai testé aucune ne mettait vraiment en garde de manière percutante contre les risques liés à la sécurité (ou c'est moi qui ne sais pas y faire ?).
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
Viennent en même temps les solutions à ces problèmes : antivirus, configuration correcte du firewall et scan des ports de sa propre machine, recherche de bugs/failles dans le code de ses applications web (pour ceux qui développent/font tourner de telles applis), etc.
Bref, on en apprend toujours plus en ce qui concerne la sécurité dans les systèmes informatiques. D'où ma question : existe-t-il un site om l'on recence et explique TOUS les risques auxquels on risque d'être confronté (après que l'on ait un ordinateur uniquement client ou serveur ou les deux importe peu, tant qu'on connaît les dits risques) ? Si non, plusieurs sites ?
Enfin, comment cela se fait-il que les utilisateurs ne soient pas plus informés en ce qui concerne la sécurité, ce qu'ils ne doivent pas faire (choisir de bons mots de passe - même si ça, je l'avoue, on le répète sans arrêt, mais aussi par exemple bien vérifier les liens avant de cliquer dessus, etc.) ?
Encore un point que j'estime très important : de toutes les distributions GNU/Linux que j'ai testé aucune ne mettait vraiment en garde de manière percutante contre les risques liés à la sécurité (ou c'est moi qui ne sais pas y faire ?).
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
Poste le Thursday 23 February 2006 16:21:57
Re: Sécurité informatique, ou de l'art de la préservation
Envoyé par:
tg(y)
Ça, c'est pour les gros naïfs du Net.Citation
merlin8282
usurpation d'identité,
phishing
Parce que ça permet de vendre des antivirus ? Pourquoi MS continue-t-il de développer la plus belle faille de sécurité, le piège à virus le plus efficace jamais crée qu'est Outlook Express ?Citation
merlin8282
Enfin, comment cela se fait-il que les
utilisateurs ne soient pas plus informés en ce qui
concerne la sécurité ?
La plupart des distributions grand public intègrent un pare-feu. Les virus, je ne vois vraiment pas comment on pourrait en attraper sans Outlook Express, ce sont plutôt les vers qui sont potentiellement dangereux. Et pourquoi mettre en gare les utilisateurs, quand le système est déja protégé à peine installé ?Citation
merlin8282
Encore un point que j'estime très important : de
toutes les distributions GNU/Linux que j'ai testé
aucune ne mettait vraiment en garde de manière
percutante contre les risques liés à la sécurité
(ou c'est moi qui ne sais pas y faire ?).
Poste le Thursday 23 February 2006 17:01:47
Re: Sécurité informatique, ou de l’art de la préservation
Envoyé par:
nicola
Après tout, c’est vrai qu’il ne serait pas idiot de prévenir contre le phishing, contre la débauche de services, pour quelques règles de sécurité minimales (comme ne pas faire chmod -R 777 /etc/*) ou d’usage (installation d’applications).
--
On ne prête qu’aux riches, et on a bien raison, parce que les autres remboursent difficilement.
-+- Tristan Bernard (1866-1947) -+-
--
On ne prête qu’aux riches, et on a bien raison, parce que les autres remboursent difficilement.
-+- Tristan Bernard (1866-1947) -+-
Poste le Thursday 23 February 2006 18:33:01
Re: Sécurité informatique, ou de l'art de la préservation
Envoyé par:
merlin8282
Personnellement, j'aurais mis "entretenir", et non "développer" ;-) .Citation
tg(y)
Pourquoi MS continue-t-il de développer la plus belle faille de sécurité, le piège à virus le plus efficace jamais crée qu'est Outlook Express ?
Cela dépend de ta distrib, toutes n'ont pas forcément une conf très orientée sécurité, de base (du moins, c'était le cas pour les deux ou trois distribs que j'ai installé, il y a un an). Ce que tu dis est valable pour les *BSD (cela dit, je me base sur ce que j'ai entendu et lu, je n'ai pas essayé de système BSD à l'heure actuelle.).Citation
tg(y)
Et pourquoi mettre en gare les utilisateurs, quand le système est déja protégé à peine installé ?
En fait, je pensais à un site ou une doc rassemblant vraiment tout - une bible - , qui expliquerait tous les risques existant et comment s'en protéger. Par exemple, il faut savoir ce qu'est un rootkit et ensuite savoir qu'il existe chkrootkit. Autre exemple, savoir ce qu'est un honey pot et à quoi ça sert. Encore autre-chose qu'il est intéressant de savoir pour comprendre par exemple la sortie de netstat -a, c'est que lorsqu'on se connecte à un ordinateur sur un réseau, le port ouvert sur notre machine n'est pas le même que celui ouvert sur le serveur (par exemple un serveur web : le serveur a le port 80 ouvert, c'est bien connu. Mais on ne sait pas forcément que sur son propre ordinateur - le client donc - c'est un port quelconque au-delà de je-ne-sais-combien qui est utilisé). Et ainsi de suite, il existe plein de choses qu'on ne connaît pas et qu'il serait pratique de trouver rassemblé dans une doc.
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
Poste le Thursday 23 February 2006 20:03:36
Re: Sécurité informatique, ou de l'art de la préservation
Envoyé par:
Hélène
Citation
merlin8282
existe-t-il un site om l'on recence et explique TOUS les risques auxquels on risque d'être confronté (après que l'on ait un ordinateur uniquement client ou serveur ou les deux importe peu, tant qu'on connaît les dits risques) ? Si non, plusieurs sites ?
Il y avait eu cet article de fait pour notre fédération nationale. Il est un peu ancien (juin 2004), mais peut déjà donner quelques pistes de recherche :
[www.microtel.fr.eu.org]
[v]P.S. Le mail de l'auteur n'est plus valable...[/v]
Poste le Thursday 23 February 2006 20:09:56
Re: Sécurité informatique, ou de l'art de la préservation
Envoyé par:
merlin8282
Merci Hélène ! C'est à peu près cela que je cherchais. Ce qu'il faudrait aussi, c'est que ce soit en français pour que ce soit plus accessible à tout le monde. Mais moi ça me convient.
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
Poste le Friday 24 February 2006 08:02:52
Re: Sécurité informatique, ou de l'art de la préservation
Envoyé par:
oudoubah
La sécurité est avant tout basé sur le bon sens et la formation des utilisateurs.
C'est bien beau de connaitre les différentes méthodes techniques, mais il n'y a pas que ça!
Une des failles de sécurité que tu ne pourras pas chrooter et la mettre en prison, c'est la secrétaire, qui connait souvent le mot de passe de son chef. Si l'entreprise n'est pas trop petite, tu peux l'appeler et essayer de lui demander son mot de passe (dans le cadre d'un audit de sécurité bateau, un argument du style "Bonjour, vous nous payes pour faire un audit sécurité de votre réseau, pouvez-vous me donner votre mot de passe pour qu'on vérifie que votre compte est bien sécurisé?"). Je suis persuadé que certaines personnes laisseront leur mot de passe.
Tu peux être à jour au niveau sécurité, chrooter tous tes services, fermer tous les ports inutiles, crypter tes partitions, tu peux rentrer facilement dans certains batiments de certaines entreprises, et y glaner par exemple sous un clavier, le mot de passe et un compte utilisateur.
Question sécurité, tu peux regarder la méthode EBIOS.
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
C'est bien beau de connaitre les différentes méthodes techniques, mais il n'y a pas que ça!
Une des failles de sécurité que tu ne pourras pas chrooter et la mettre en prison, c'est la secrétaire, qui connait souvent le mot de passe de son chef. Si l'entreprise n'est pas trop petite, tu peux l'appeler et essayer de lui demander son mot de passe (dans le cadre d'un audit de sécurité bateau, un argument du style "Bonjour, vous nous payes pour faire un audit sécurité de votre réseau, pouvez-vous me donner votre mot de passe pour qu'on vérifie que votre compte est bien sécurisé?"). Je suis persuadé que certaines personnes laisseront leur mot de passe.
Tu peux être à jour au niveau sécurité, chrooter tous tes services, fermer tous les ports inutiles, crypter tes partitions, tu peux rentrer facilement dans certains batiments de certaines entreprises, et y glaner par exemple sous un clavier, le mot de passe et un compte utilisateur.
Question sécurité, tu peux regarder la méthode EBIOS.
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
Poste le Friday 24 February 2006 12:10:32
Re: Sécurité informatique, ou de l'art de la préservation
Envoyé par:
oudoubah
Tu veux un système sécurisé? Simple : il faut éliminer la plus grande faille de sécurité : l'utilisateur :-f
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
Poste le Friday 24 February 2006 12:12:41
Re: Sécurité informatique, ou de l'art de la préservation
Envoyé par:
Léa (Fred)
Le mieux est quand même de couper la lien entre l'ordinateur et le reste du monde : l'electricité.
Poste le Friday 24 February 2006 12:25:37
Re: Sécurité informatique, ou de l'art de la préservation
Envoyé par:
merlin8282
Bien sûr, je sais déjà tout cela, et c'est essentiel de le savoir. C'est exactement ce à quoi fait référence la signature de notre ami Morgan ("L'interface chaise-clavier se débugge elle aussi").
Non, une fois que l'on sait où sont situées les failles - dont l'utilisateur lui-même - il faut savoir quelles protections existent. Et comment fais-tu lorsque tu n'as pas d'utilisateurs en tant que trous potentiel de sécurité ? Je m'explique : pour mon cas, j'ai un serveur LAMP que je ne demande qu'à protéger. Personne ne viendra chez moi pour y accéder physiquement (du moins pas jusqu'à la prochaine cla#%btis party :-D ) donc tout ce qui m'intéresse, c'est justement ces mesures techniques.
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
Non, une fois que l'on sait où sont situées les failles - dont l'utilisateur lui-même - il faut savoir quelles protections existent. Et comment fais-tu lorsque tu n'as pas d'utilisateurs en tant que trous potentiel de sécurité ? Je m'explique : pour mon cas, j'ai un serveur LAMP que je ne demande qu'à protéger. Personne ne viendra chez moi pour y accéder physiquement (du moins pas jusqu'à la prochaine cla#%btis party :-D ) donc tout ce qui m'intéresse, c'est justement ces mesures techniques.
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
Poste le Friday 24 February 2006 15:11:03
Re: Sécurité informatique, ou de l'art de la préservation
Envoyé par:
oudoubah
Contre une attaque exterieure, c'est évidemment iptables + chroot (version hardened de préférence), s'orienter vers SElinux ou GRSecurity pour une amélioration des ACL, de la pile TCP/IP, ....
Au passage, utilisation du flag no execute, ce qui permet en cas de buffer overflow de limiter la probabilité qu'un méchant ne puisse mettre du code malicieux en mémoire et l'exécuter.
Au passage partitionne bien ton disque : la partition contentant des données "statiques" sont en RO.
Les différents services sont non seulement chrootés, mais lancés avec un utilisateur dédié (et non root). Bien entendu, pas de shell, et * dans ton fichier de mot de passe pour root (tout est dans le sudo!) et pour ces services.
Enfin, tu peux utiliser des outils avec iptables pour bannir temporairement les adresses ip qui seraient un peu trop insistantes.
Au passage, tu peux configurer finement Apache et MySQL pour les sécuriser.
Vérifie aussi les permissions de et dans /etc, /sbin, /bin, /usr/bin, /usr/sbin, /usr/local/bin, /usr/local/sbin.
Evite le sticky bit
Profites-en pour recompiler ton noyau et de ne laisser que le nécessaire. Aucun module proprio (tout ce qui tourne dans le noyau a les droits root).
Je pense qu'on peut faire mieux, mais c'est amha un bon début.
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
Au passage, utilisation du flag no execute, ce qui permet en cas de buffer overflow de limiter la probabilité qu'un méchant ne puisse mettre du code malicieux en mémoire et l'exécuter.
Au passage partitionne bien ton disque : la partition contentant des données "statiques" sont en RO.
Les différents services sont non seulement chrootés, mais lancés avec un utilisateur dédié (et non root). Bien entendu, pas de shell, et * dans ton fichier de mot de passe pour root (tout est dans le sudo!) et pour ces services.
Enfin, tu peux utiliser des outils avec iptables pour bannir temporairement les adresses ip qui seraient un peu trop insistantes.
Au passage, tu peux configurer finement Apache et MySQL pour les sécuriser.
Vérifie aussi les permissions de et dans /etc, /sbin, /bin, /usr/bin, /usr/sbin, /usr/local/bin, /usr/local/sbin.
Evite le sticky bit
Profites-en pour recompiler ton noyau et de ne laisser que le nécessaire. Aucun module proprio (tout ce qui tourne dans le noyau a les droits root).
Je pense qu'on peut faire mieux, mais c'est amha un bon début.
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
Poste le Friday 24 February 2006 18:16:57
Re: Sécurité informatique, ou de l'art de la préservation
Envoyé par:
oudoubah
Petit lien très intéressant pour casser sa prison chroot :
[www.bpfh.net]
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
[www.bpfh.net]
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
Poste le Tuesday 28 February 2006 10:47:47
Re: Sécurité informatique, ou de l'art de la préservation
Envoyé par:
merlin8282
Je reviens ici pour montrer que malgré toutes mes recherches je ne sais toujours pas encore tout ce qu'il faut savoir en matière de sécurité.
Il y a un petit moment que je connais ce qu'on appelle les keylogger. Ce sont des dispositifs tant logiciels que matériels qui permettent de logger les touches tapées au clavier.
Dans le cas d'un keylogger logiciel, il y a possibilité de le détecter à l'aide de différents logiciels (surveillance des modifications sur les fichiers notamment). Pour les keylogger matériels, il faut regarder si on en a un branché en série sur son clavier mais il faut savoir qu'il existe des claviers intégrant ce genre d'espion directement dans leurs curcuits ou au moins dans le boîtier même du clavier. Evidemment, c'est surtout quand on n'est pas sur son ordi personnel qu'il faut se méfier de ça.
Voilà, j'espère que ce message permet aussi de comprendre ce que je veux dire, quand je souhaite avoir une bible recensant toutes les choses dont on doit se méfier, qu'on doit connaître, etc.
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
Il y a un petit moment que je connais ce qu'on appelle les keylogger. Ce sont des dispositifs tant logiciels que matériels qui permettent de logger les touches tapées au clavier.
Dans le cas d'un keylogger logiciel, il y a possibilité de le détecter à l'aide de différents logiciels (surveillance des modifications sur les fichiers notamment). Pour les keylogger matériels, il faut regarder si on en a un branché en série sur son clavier mais il faut savoir qu'il existe des claviers intégrant ce genre d'espion directement dans leurs curcuits ou au moins dans le boîtier même du clavier. Evidemment, c'est surtout quand on n'est pas sur son ordi personnel qu'il faut se méfier de ça.
Voilà, j'espère que ce message permet aussi de comprendre ce que je veux dire, quand je souhaite avoir une bible recensant toutes les choses dont on doit se méfier, qu'on doit connaître, etc.
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
Poste le Friday 23 June 2006 15:23:35
Re: Sécurité informatique, ou de l'art de la préservation
Envoyé par:
oudoubah
Transforme ta pièce en cage de Faraday. L'émission d'ondes électro-magnétiques est nuisible à la sécurité ;-) (voir Tempest)
Au passage, utilise plutôt des fibres optiques pour le réseau, c'est mieux ;-)
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
Au passage, utilise plutôt des fibres optiques pour le réseau, c'est mieux ;-)
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
Poste le Friday 23 June 2006 19:42:59
Re: Sécurité informatique, ou de l'art de la préservation
Envoyé par:
Basile STARYNKEVITCH
Non la vraie sécurité ;-) c'est d'éteindre son ordinateur après l'avoir débranché des réseaux (éléctriques et informatiques) et mis dans une cage de Faraday.
Sinon,j il n'existe pas de sécurité absolue. C'est comma ça, faut s'y faire. D'ailleurs, il est aussi dangereux de se lever de son lit le matin... ([v]et la vie est une maladie toujours mortelle, sexuellement transmissible)[/v].
En pratique sous Linux il faut faire attention à ne pas laisser des services inutiles, et à bien configurer son système.
----
Basile STARYNKEVITCH
Membre de l'APRIL « promouvoir et défendre le logiciel libre » - adhérez vous aussi à l'APRIL!
Projet logiciel libre: RefPerSys
Sinon,j il n'existe pas de sécurité absolue. C'est comma ça, faut s'y faire. D'ailleurs, il est aussi dangereux de se lever de son lit le matin... ([v]et la vie est une maladie toujours mortelle, sexuellement transmissible)[/v].
En pratique sous Linux il faut faire attention à ne pas laisser des services inutiles, et à bien configurer son système.
----
Basile STARYNKEVITCH
Membre de l'APRIL « promouvoir et défendre le logiciel libre » - adhérez vous aussi à l'APRIL!
Projet logiciel libre: RefPerSys
Poste le Friday 23 June 2006 21:54:32
Re: Sécurité informatique, ou de l'art de la préservation
Envoyé par:
thomas debay
Il vaut mieux faire l'inverse, non :-))Citation
Basile STARYNKEVITCH
c'est d'éteindre son ordinateur après l'avoir débranché des réseaux (éléctriques et informatiques) et mis dans une
cage de Faraday.
Poste le Friday 23 June 2006 22:04:40
Re: Sécurité informatique, ou de l'art de la préservation
Envoyé par:
merlin8282
Pour répondre à Basile, c'est sûr que j'ai l'air parano, mais d'un autre côté, ne vaut-il mieux pas cela que d'avoir une machine toute ouverte, où n'importe qui peut rentrer (genre "j'ai mon compte ssh en root sans mot de passe et sans clé qui est ouvert à tout le monde") ? Le but est d'être informé, de connaître les risques, savoir ce qui peut arriver, pour mieux réagir en cas d'attaque effective.
Par exemple, une chose qui commence à me prendre la tête depuis quelques semaines : mon forum, propulsé par phpbb, auquel de plus en plus d'utilisateurs bidons s'enregistrent (genre un pseudo au hasard, avec comme adresse mail "xanax@pharmacy.com", comme commentaire "buy my batteries", etc.) malgré le captcha mis en place. Ce dernier est craqué depuis bien longtemps, chose dont je me suis vite rendu compte à mes dépens... :-( . La seule solution pour éviter le spam serait de changer carrément de moteur BBS, puisque les développeurs mêmes de phpbb disent qu'il serait trop compliqué d'intégrer un autre moteur de captcha -- alors même qu'ils savent pertinamment que l'actuel est cassé.
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
Par exemple, une chose qui commence à me prendre la tête depuis quelques semaines : mon forum, propulsé par phpbb, auquel de plus en plus d'utilisateurs bidons s'enregistrent (genre un pseudo au hasard, avec comme adresse mail "xanax@pharmacy.com", comme commentaire "buy my batteries", etc.) malgré le captcha mis en place. Ce dernier est craqué depuis bien longtemps, chose dont je me suis vite rendu compte à mes dépens... :-( . La seule solution pour éviter le spam serait de changer carrément de moteur BBS, puisque les développeurs mêmes de phpbb disent qu'il serait trop compliqué d'intégrer un autre moteur de captcha -- alors même qu'ils savent pertinamment que l'actuel est cassé.
.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --
Poste le Sunday 25 June 2006 10:54:49
Re: Sécurité informatique, ou de l'art de la préservation
Envoyé par:
Basile STARYNKEVITCH
C'est sûr que les logiciels de forum ont mauvaise réputation, et que PHP n'est pas ce qu'il y a de mieux (surtout quand on code mal) en matière de sécurité.
Mais on peut avoir un système Linux sans tout ça, et en faisant attention c'est suffisamment sûr.
----
Basile STARYNKEVITCH
Membre de l'APRIL « promouvoir et défendre le logiciel libre » - adhérez vous aussi à l'APRIL!
Projet logiciel libre: RefPerSys
Mais on peut avoir un système Linux sans tout ça, et en faisant attention c'est suffisamment sûr.
----
Basile STARYNKEVITCH
Membre de l'APRIL « promouvoir et défendre le logiciel libre » - adhérez vous aussi à l'APRIL!
Projet logiciel libre: RefPerSys
Poste le Sunday 25 June 2006 17:53:36
Seuls les utilisateurs enregistrés peuvent poster des messages dans ce forum.
Ce forum !
Sécurité informatique, ou de l'art de la préservation
Débattez, trollez sur les distributions, les logiciels libres ....
Mais attention, débat ne veut pas dire insultes ! Restez courtois, merci.
Mais attention, débat ne veut pas dire insultes ! Restez courtois, merci.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons