COMPTOIR
  
register

Composé par ————— —— 9510 vues

Java encore et toujours chez Oracle !

Voilà qui ressemble à une mauvaise blague chez Oracle. Après qu'une faille 0-Day ait été découverte la semaine dernière, Oracle a bossé tout le week-end pour la colmater, et en faire de même pour 86 autres moins violentes dirons-nous. Il était urgent pour la firme de se sortir un doigt puisque plus d'un milliard de personnes utilisent Java, et que le gouvernement US avait demandé à tous ses administrés de désactiver Java pour éviter de se faire facilement hacker. Pire encore le spécialiste du virus Kaspersky a déclaré que l'année passée 50% des hacks s'étaient déroulés via une faille Java.

 

La mauvaise presse est là, et ce n'est pas fini puisque malgré la sortie en catastrophe de la rustine dimanche dernier, elle ne sécuriserait pas suffisamment les PC. Adam Gowdiak, polonais bossant à Security Explorations, a même déclaré qu'il ne pouvait pas encore conseiller aux gens de réactiver Java. Pourtant Oracle sur son blog a expliqué avoir passé les paramètres de sécurité sur "Elevés", ce qui en pratique se traduit par un avertissement à l'utilisateur lorsqu'il est en train de naviguer. Ce n'est donc pas complètement réglé et manifestement il y a désaccord entre Oracle et les spécialistes des virus, chacun défendant son business ! (Source BBC)

 

java.jpg  

Un poil avant ?

Pour Toshiba, la moitié des HDD mobiles du marché seront bientôt des hybrides

Un peu plus tard ...

Premier Performance Test du reboot de Devil May Cry

Les 21 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par Un ragoteur viausse d'Ile-de-France, le Mardi 22 Janvier 2013 à 16h15  
Pour sa prochaine édition, le concours de piratage Pwn2Own étend son arène aux plug-in d'Adobe et Oracle. Le montant des récompenses est aussi en substantielle augmentation, 560 000 dollars.

Pour Charlie Miller, spécialiste en sécurité et travaillant chez Twitter , qui a remporté 4 fois le concours « le montant des prix du Pwn2Own est énorme ». Il ajoute, « je me sens comme un athlète des années 50 qui se demande pourquoi les athlètes d'aujourd'hui sont trop payés ».
Source: LMI
par Un ragoteur lambda de Rhone-Alpes, le Lundi 21 Janvier 2013 à 11h23  
et on continue, content d'avoir viré ce truc pour toujours de mon pc il y a 8 mois, voir les comms dans le lien aussi surtout celui menant a macbidouille qui parle de 2 ans mini pour sécuriser java ...

http://www.pcinpact.com/news/76889-de ux-nouvelles-failles-pour-java-qualite-code-inquietante.htm

par Un ragoteur de transit de Rhone-Alpes, le Mercredi 16 Janvier 2013 à 10h09  
et puis marre de devoir cliquer 5 fois ou plus sur
" oui j'en suis sur " ,
" oui je sais et je le veux",
" bah si je te dit que je veux ",
" mais oui sûr et certain",
"yes i want i know what i am doing dumbass" ...
<img src='http://www.forumsducomptoir.com/public/style_emoticons/<#EMO_DIR#>/wacko.gif' class='bbc_emoticon' alt='' />

par Un ragoteur de transit de Rhone-Alpes, le Mercredi 16 Janvier 2013 à 10h06  
De toutes facons comem dit dans le lien sur le site malekal qu'un ragoteur a posté plus bas : :
Mais l'UAC a ses limites, qui sont les mêmes que les HIPS : l'utilisateur.
S'il est vraiment intéressant dans les deux exemples précédents, dans les attaques par le social engineering et notamment lorsque l'internaute croit installer un programme légitime, l'UAC n'est d'aucun secours.
En effet, si l'internaute installe un faux codec ou programme piégé avec un adware (exemple navipromo/Magic.Control) nécessairement une fenêtre du contrôle des utilisateurs va s'ouvrir et l'utilisateur va devoir accepter pour installer cette nouvelle application.
Le programme d'installation a alors les droits pour modifier le système et peux installer le composant infectieux.

Dans le cas aussi de certains cracks et notamment les patchs qui modifient les fichiers de l'application que l'on souhaite cracker (qui se trouve généralement dans Program Files), des droits systèmes sont nécessaires.
Si l'utilisateur lance alors le crack avec ces droits et si ce crack est infectieux, l'installation de la partie infectieuse pourra se faire.

en gros on en reviens a l'utilisateur, je prefere avoir un AV style KIS qui fait le boulot de UAC en m'avertissant sur les privilèges des programmes qu'un truc a la con comme l'uac qui m'empêche de mettre a jour certains fichiers sur mon pc sans le désactiver totalement, même en exécutant en tant qu'admin ce truc empêche certains fichiers ce progs de se mettre a jour
par folken, le Mercredi 16 Janvier 2013 à 09h11  
par Un ragoteur qui se tâte de Rhone-Alpes le Mardi 15 Janvier 2013 à 19h49
C'est très beau les discours mais dans la réalité la vaste majorité des personnes normales, j'entends des personnes n'étant pas le public de ce site ou d'autres comme hfr etc, ces personnes cliquent sur oui ou valider sans même lire les instructions car cela est un mécanisme de répétition ...
J'ai failli me faire avoir hier lors de l'installation de winamp ... c'est pervers, ils présentent le truc comme une acceptation des conditions d'utilisation avec "installer" en bas de la fenêtre mais en fait c'est pour installer un composant tiers.

Je sais pas pourquoi j'ai commencé à lire le texte mais ça s'est joué à pas grand chose.

Et beaucoup de logiciels jouent maintenant là dessus pour faire passer leurs barres internet, plugins, addons.
par Un ragoteur temporaire du Languedoc-Roussillon, le Mercredi 16 Janvier 2013 à 00h13  
que ça disparaisse le java. c'est lourd et troué
par Un ragoteur inspiré de Provence-Alpes-Cote d'Azur, le Mardi 15 Janvier 2013 à 23h38  
par Un ragoteur inspiré d'Ile-de-France le Mardi 15 Janvier 2013 à 22h10
les meilleures infections ou intrusions sont celles dont on a pas conscience sur le coup mais qui font mal plus tard quand le compte est vide par exemple.
C'est bien de vouloir refaire le monde, mais la réalité c'est que les 3/4 pipe rien en informatique et non pas envie de prendre du temps pour ça, ils veulent juste que ça fonctionne point barre.
Il y a plus de chance qu'une personne est son compte en banque vide après avoir égare intentionnellement ou non son portable Iphone, smartphone ou regard indiscret, car la plus pars des gens maitrisent encore moins leur phone au niveau sécurité.
Vu que la plus par des paramètres important son enregistré par défaut, comme par exemple certains dossier de sa boite mail avec des infos confidentiel qui peuvent être synchronisé et le pire le nombre de personne qui enregistre leur identifiant sur leur smartphone pouvoir s'en rappeler en cas d'oublie.
Donc après ça va dire à ce genre de personne qui sont plus nombreuses que tu ne le penses que l'UAC c'est wonderfull et c'est top pour leur sécurité, alors qu'ils vont stocker leur identifiant sur un bloc note et enregistrer tout leur mot de passe sur leur navigateur et ne jamais ni vider leur cache, ou mot de passe et encore moi en changer pendant des années temps que leur pc ne leur claque pas dans les doigts, même s'il rame à mort...
ça c'est la réalité.
par Un ragoteur inspiré d'Ile-de-France, le Mardi 15 Janvier 2013 à 22h10  
par Un ragoteur de Quebec le Mardi 15 Janvier 2013 à 22h03
Plus de 3 ans que j'ai désactivé ce foutu UAC (paramètres de contrôle de compte d'utilisateur) et je n'ai jamais eu de problème ou d'infection. Et Dieu sait comment j'en fais des conneries sur mon PC et sur le Wouèbe. De plus, je suis protégé seulement par Avira Free Antivirus. Chanceux me direz-vous ? Non, suffit d'être prudent et de savoir ce qu'on fait... ce que Madame Michou ne sait pas faire bien entendu. Donc je suis de l'avis de ceux qui disent que ça se passe entre la chaise et l'écran ; c'est l'utilisateur lambda qui est fautif !
Le mec qui connait pas grand chose en informatique tu vas pas lui reprocher de ne pas avoir le recul nécessaire pour songer à l'intégrité du noyau ou le niveau de ses jetons, on lui met un système d'admin et de restrictions de pouvoir pour éviter de permettre à tout et n'importe quoi d'être installé ou de se déployer en silence. Alors ou si à force d'écouter des ignares il se met à désactiver et offrir des privilèges admin à n'importe quel soft, c'est la porte ouverte à des problèmes pas forcément visibles, les meilleures infections ou intrusions sont celles dont on a pas conscience sur le coup mais qui font mal plus tard quand le compte est vide par exemple.
par Un ragoteur inspiré d'Ile-de-France, le Mardi 15 Janvier 2013 à 22h03  
par Un ragoteur de transit de Provence-Alpes-Cote d'Azur le Mardi 15 Janvier 2013 à 20h40
Oui voila pourquoi pour l'utilisateur lambda l'UAC ne sert à rien......

Les débats sur la sécurité seront toujours stérile dans le sens où le risque zéro n'existe pas, et pour limiter la casse il faut être informé ou s'intéresser à l'informatique, ainsi que ce tenir au jus en ce qui concerne les failles etc... Au final cela concerne un petit pourcentage des personnes qui utilise un PC de nos jours.
Résultat les PC des utilisateurs lambda seront toujours des maisons avec porte ouverte aux malwares, hack, et virus en tout genre, vouloir croire le contraire est une douce utopie...
Non ça c'est ce qui attend les inconscients qui se croient plus malins que la moyenne mais ne font pas une seconde l'effort d'essayer de comprendre un minimum de choses.
Pas besoin d'être un crack ou un passionné pour comprendre qu'il faut pas cliquer sur tout et n'importe quoi à la chaine. Et oui l'UAC est plus complexe qu'une simple affaire de "cliquer oui ou non" le néophyte n'a pas à tout savoir, il doit juste éviter de le désactiver et si vraiment c'est un cliqueur fou, il peut baisser le niveau d'apparition des boites de dialogues. L'essentiel est de conserver le principe de privilèges.
par Un ragoteur de Quebec, le Mardi 15 Janvier 2013 à 22h03  
par Un ragoteur de passage d'Ile-de-France le Mardi 15 Janvier 2013 à 17h20
Ça me rappelle la discussion sur "ceux qui croient tout savoir et mettent les autres en danger en débitant des âneries"...
UAC : Pourquoi ne pas le désactiver
Plus de 3 ans que j'ai désactivé ce foutu UAC (paramètres de contrôle de compte d'utilisateur) et je n'ai jamais eu de problème ou d'infection. Et Dieu sait comment j'en fais des conneries sur mon PC et sur le Wouèbe. De plus, je suis protégé seulement par Avira Free Antivirus. Chanceux me direz-vous ? Non, suffit d'être prudent et de savoir ce qu'on fait... ce que Madame Michou ne sait pas faire bien entendu. Donc je suis de l'avis de ceux qui disent que ça se passe entre la chaise et l'écran ; c'est l'utilisateur lambda qui est fautif !
par Un ragoteur lambda de Provence-Alpes-Cote d'Azur, le Mardi 15 Janvier 2013 à 21h46  
par Alandu14 le Mardi 15 Janvier 2013 à 16h57
Ils ont le monopole de la faille, devant Microsoft !
Ah non ! Je ne peux pas te laisser dire ça ! Adobe a une longueur d'avance sur tous les autres !
[quote]Il était urgent pour la firme de se sortir un doigt puisque plus d'un milliard de personnes utilisent Java[quote] ça en fait des doigts ! et alors si les doigts de pieds sont dedans, ils doivent vraiment en avoir plein le c*l !
par Un ragoteur de transit de Provence-Alpes-Cote d'Azur, le Mardi 15 Janvier 2013 à 20h40  
par Un ragoteur qui se tâte de Rhone-Alpes le Mardi 15 Janvier 2013 à 19h49
C'est très beau les discours mais dans la réalité la vaste majorité des personnes normales, j'entends des personnes n'étant pas le public de ce site ou d'autres comme hfr etc, ces personnes cliquent sur oui ou valider sans même lire les instructions car cela est un mécanisme de répétition ...
Oui voila pourquoi pour l'utilisateur lambda l'UAC ne sert à rien......

Les débats sur la sécurité seront toujours stérile dans le sens où le risque zéro n'existe pas, et pour limiter la casse il faut être informé ou s'intéresser à l'informatique, ainsi que ce tenir au jus en ce qui concerne les failles etc... Au final cela concerne un petit pourcentage des personnes qui utilise un PC de nos jours.
Résultat les PC des utilisateurs lambda seront toujours des maisons avec porte ouverte aux malwares, hack, et virus en tout genre, vouloir croire le contraire est une douce utopie...