Bonjour à tous,
Donc voila je m'interresse à la sécurité informatique et donc sur les site ou je surf je ne peut m'empécher de verifier la sécurité...Je previent ensuite le webmaster...Cependant on me dit que de prevenir le webmaster peut s'averer dangereux et se retourner contre moi!!Qu'en est-il? Et la j'ai découvert deux grosse failles sur deux sites trés renomés...Elles s'averent trés dangeureuses pour les nombreux clients...Coment aider pour sécuriser ces failles alors? "S'associer" avec des sites tels que IXUS et passer par eux pour prevenir le webmaster?
Merci de votre réponse!!
je trouve des failles....
Modérateur: modos Ixus
12 messages
• Page 1 sur 1
je trouve des failles....
par folepy » 19 Mars 2005 12:15
-
folepy - Matelot
- Messages: 5
- Inscrit le: 16 Oct 2003 00:00
par tomtom » 19 Mars 2005 12:19
AMHA le mieux est de poster sur une liste genre Bugtraq (www.securityfocus.com par exemple), ou proposer une news sur ixus (en restant anonyme)
t.
t.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par tomtom » 19 Mars 2005 12:43
Grand débat !!! 
Certains (et beaucup dans le monde de la sécurité le pensent, et j'e fais partie) pensent que le fait de publier les failles découveres est bénéfique. Pourquoi ? Parceque cela evite que la faille ne soit exploitée par d'autres qui l'auraient trouvée alors qu'elle n'est pas connue.
Si tu as découvert une faille, il n'est pas impossible que d'autres la trouvent. et si leurs intentions sont mauvaises..
Par ailleurs, cela met de la pression sur les éditeurs qui ont interet à corriger.
D'autres (et on les trouve bien entendu plus dans le monde des editeurs commerciaux) préfèrent que les failles ne soient pas dévoilées au grand public avant d'etre corrigées. C'est peut-etre une intention louable, cela evite peut-etre que des script-kiddies n'utilisent un exploit tout fait sur des sites non corrigés... Mais en contrepartie, la faille reste non annoncée, et donc les personnes vulnérables ne sont pas au courant. Il est désagréable de se faire casser une machine sans même comprendre pourquoi...
Tu dois choisir en ton âme et conscience. Si tu penses que les failles que tu as découvertes n'ont jamais été publiée (recherche sur les archives Bugtraq vivement conseillée !) et qu'elles peuvent être corrigées rapidement, alors tu peux poster la faille (et eventuellement un proof of concept) sur la liste bugtraq.
Si au contraire tu penses qu'lle pet trop en danger de particuliers et qu'elle ne peut être corrigée rapidement, alors essaye de trouver un moyen plus discret de contacter l'editeur/le site, il existe sur le net quelques moyens de poster des mails de manière parfaitement anonyme !
t.
Certains (et beaucup dans le monde de la sécurité le pensent, et j'e fais partie) pensent que le fait de publier les failles découveres est bénéfique. Pourquoi ? Parceque cela evite que la faille ne soit exploitée par d'autres qui l'auraient trouvée alors qu'elle n'est pas connue.
Si tu as découvert une faille, il n'est pas impossible que d'autres la trouvent. et si leurs intentions sont mauvaises..
Par ailleurs, cela met de la pression sur les éditeurs qui ont interet à corriger.
D'autres (et on les trouve bien entendu plus dans le monde des editeurs commerciaux) préfèrent que les failles ne soient pas dévoilées au grand public avant d'etre corrigées. C'est peut-etre une intention louable, cela evite peut-etre que des script-kiddies n'utilisent un exploit tout fait sur des sites non corrigés... Mais en contrepartie, la faille reste non annoncée, et donc les personnes vulnérables ne sont pas au courant. Il est désagréable de se faire casser une machine sans même comprendre pourquoi...
Tu dois choisir en ton âme et conscience. Si tu penses que les failles que tu as découvertes n'ont jamais été publiée (recherche sur les archives Bugtraq vivement conseillée !) et qu'elles peuvent être corrigées rapidement, alors tu peux poster la faille (et eventuellement un proof of concept) sur la liste bugtraq.
Si au contraire tu penses qu'lle pet trop en danger de particuliers et qu'elle ne peut être corrigée rapidement, alors essaye de trouver un moyen plus discret de contacter l'editeur/le site, il existe sur le net quelques moyens de poster des mails de manière parfaitement anonyme !
t.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par folepy » 19 Mars 2005 12:45
Merci pour tout,
Je vais prendre la solution du mail anonyme et je vous tiens au courant! Car les deux failles que j'ai trouver sont trés dangereux pour les sites et surtout pour les entreprises concernées...
Merci
Je vais prendre la solution du mail anonyme et je vous tiens au courant! Car les deux failles que j'ai trouver sont trés dangereux pour les sites et surtout pour les entreprises concernées...
Merci
-
folepy - Matelot
- Messages: 5
- Inscrit le: 16 Oct 2003 00:00
par folepy » 19 Mars 2005 14:02
Non je crois pas. Car le mail passe par les serveurs Hotmail avant d'aller au déstinataire. Le mail prend alors l'ip du serveur hotmail. Enfin il me semble. En tout cas j'utiliserai les formulaires de mail anonyme que l'on trouve sur le net maintenant..lol
@+
@+
-
folepy - Matelot
- Messages: 5
- Inscrit le: 16 Oct 2003 00:00
par svart » 19 Mars 2005 15:09
Bonjour,
Y'a un moyen parfaitement sûr : tu prends un papier, tu écris ton message et tu l'envoie par la poste. Garanti parfaitement anonyme. Si les données trouvées sont personnelles, tu peux même prévenir la cnil de cette façon.
L'anonymat sur le net, c'est pas garanti. Quelque part y'a ton IP, forcément. Et si y'a ton IP y'a ton FAI. Et par les temps judiciaires qui courent, un FAI, c'est un bavard.
Y'a un moyen parfaitement sûr : tu prends un papier, tu écris ton message et tu l'envoie par la poste. Garanti parfaitement anonyme. Si les données trouvées sont personnelles, tu peux même prévenir la cnil de cette façon.
L'anonymat sur le net, c'est pas garanti. Quelque part y'a ton IP, forcément. Et si y'a ton IP y'a ton FAI. Et par les temps judiciaires qui courent, un FAI, c'est un bavard.
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
-
svart - Vice-Amiral
- Messages: 853
- Inscrit le: 04 Sep 2003 00:00
- Localisation: Finistère
par maxximum75 » 27 Avr 2005 11:12
Rien n'est anonyme sur le net. il ne faut pas oublier les 2 000 000 de serveurs dans le monde qui loguent tout et ecoutent le traffic. Des companies comme Symantec utilisent ces serveurs pour faire de stats et surtout pour faire evoluer leurs produits.
-
maxximum75 - Matelot
- Messages: 2
- Inscrit le: 26 Avr 2005 14:22
par vanvan » 27 Avr 2005 11:21
Bonjour.
De toute façon même si tu passais par un serveur anonyme, au final si une plainte est déposé dans le cadre d'une enquete avec commission, la police peut demander à ce qu'on lui fournisse les logs sur les serveurs pour remonter à l'ip de la personne fautive. Maintenant la plupart du temps si ça passe à travers c grace à de l'ip spoofing ou autres.
De toute façon même si tu passais par un serveur anonyme, au final si une plainte est déposé dans le cadre d'une enquete avec commission, la police peut demander à ce qu'on lui fournisse les logs sur les serveurs pour remonter à l'ip de la personne fautive. Maintenant la plupart du temps si ça passe à travers c grace à de l'ip spoofing ou autres.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Fri April 15, 2005, Seo San-moon
-
vanvan - Amiral
- Messages: 1270
- Inscrit le: 14 Mars 2003 01:00
- Localisation: la roche sur yon / nantes
12 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité