je trouve des failles....

Cette rubrique vous permet d'échanger vos idées sur tous les aspects de la législation relative à Internet et à l'informatique en général.
<BR>Amis juristes, à vos claviers ...

Modérateur: modos Ixus

je trouve des failles....

Messagepar folepy » 19 Mars 2005 12:15

Bonjour à tous,
Donc voila je m'interresse à la sécurité informatique et donc sur les site ou je surf je ne peut m'empécher de verifier la sécurité...Je previent ensuite le webmaster...Cependant on me dit que de prevenir le webmaster peut s'averer dangereux et se retourner contre moi!!Qu'en est-il? Et la j'ai découvert deux grosse failles sur deux sites trés renomés...Elles s'averent trés dangeureuses pour les nombreux clients...Coment aider pour sécuriser ces failles alors? "S'associer" avec des sites tels que IXUS et passer par eux pour prevenir le webmaster?
Merci de votre réponse!!
Avatar de l’utilisateur
folepy
Matelot
Matelot
 
Messages: 5
Inscrit le: 16 Oct 2003 00:00

Messagepar tomtom » 19 Mars 2005 12:19

AMHA le mieux est de poster sur une liste genre Bugtraq (www.securityfocus.com par exemple), ou proposer une news sur ixus (en restant anonyme)


t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar folepy » 19 Mars 2005 12:22

C'est pas un peu risquer de balancer une failles comme sa sur le net, accecible à tous....
Avatar de l’utilisateur
folepy
Matelot
Matelot
 
Messages: 5
Inscrit le: 16 Oct 2003 00:00

Messagepar tomtom » 19 Mars 2005 12:43

Grand débat !!! ;)

Certains (et beaucup dans le monde de la sécurité le pensent, et j'e fais partie) pensent que le fait de publier les failles découveres est bénéfique. Pourquoi ? Parceque cela evite que la faille ne soit exploitée par d'autres qui l'auraient trouvée alors qu'elle n'est pas connue.
Si tu as découvert une faille, il n'est pas impossible que d'autres la trouvent. et si leurs intentions sont mauvaises..
Par ailleurs, cela met de la pression sur les éditeurs qui ont interet à corriger.

D'autres (et on les trouve bien entendu plus dans le monde des editeurs commerciaux) préfèrent que les failles ne soient pas dévoilées au grand public avant d'etre corrigées. C'est peut-etre une intention louable, cela evite peut-etre que des script-kiddies n'utilisent un exploit tout fait sur des sites non corrigés... Mais en contrepartie, la faille reste non annoncée, et donc les personnes vulnérables ne sont pas au courant. Il est désagréable de se faire casser une machine sans même comprendre pourquoi...

Tu dois choisir en ton âme et conscience. Si tu penses que les failles que tu as découvertes n'ont jamais été publiée (recherche sur les archives Bugtraq vivement conseillée !) et qu'elles peuvent être corrigées rapidement, alors tu peux poster la faille (et eventuellement un proof of concept) sur la liste bugtraq.
Si au contraire tu penses qu'lle pet trop en danger de particuliers et qu'elle ne peut être corrigée rapidement, alors essaye de trouver un moyen plus discret de contacter l'editeur/le site, il existe sur le net quelques moyens de poster des mails de manière parfaitement anonyme !

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar folepy » 19 Mars 2005 12:45

Merci pour tout,
Je vais prendre la solution du mail anonyme et je vous tiens au courant! Car les deux failles que j'ai trouver sont trés dangereux pour les sites et surtout pour les entreprises concernées...
Merci
Avatar de l’utilisateur
folepy
Matelot
Matelot
 
Messages: 5
Inscrit le: 16 Oct 2003 00:00

Messagepar folepy » 19 Mars 2005 12:52

Mais j'y pense...Envoyer un mail avec outlook par un compte hotmail c'est anonyme nan??
Avatar de l’utilisateur
folepy
Matelot
Matelot
 
Messages: 5
Inscrit le: 16 Oct 2003 00:00

Messagepar HaM » 19 Mars 2005 13:58

Non Outlook marque ton adresse IP dans l'entête du mail.
Avatar de l’utilisateur
HaM
Amiral
Amiral
 
Messages: 1045
Inscrit le: 31 Juil 2002 00:00
Localisation: Boulogne-Billancourt 92

Messagepar folepy » 19 Mars 2005 14:02

Non je crois pas. Car le mail passe par les serveurs Hotmail avant d'aller au déstinataire. Le mail prend alors l'ip du serveur hotmail. Enfin il me semble. En tout cas j'utiliserai les formulaires de mail anonyme que l'on trouve sur le net maintenant..lol
@+
Avatar de l’utilisateur
folepy
Matelot
Matelot
 
Messages: 5
Inscrit le: 16 Oct 2003 00:00

Messagepar svart » 19 Mars 2005 15:09

Bonjour,

Y'a un moyen parfaitement sûr : tu prends un papier, tu écris ton message et tu l'envoie par la poste. Garanti parfaitement anonyme. Si les données trouvées sont personnelles, tu peux même prévenir la cnil de cette façon.

L'anonymat sur le net, c'est pas garanti. Quelque part y'a ton IP, forcément. Et si y'a ton IP y'a ton FAI. Et par les temps judiciaires qui courent, un FAI, c'est un bavard.
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère

Messagepar maxximum75 » 27 Avr 2005 11:12

Rien n'est anonyme sur le net. il ne faut pas oublier les 2 000 000 de serveurs dans le monde qui loguent tout et ecoutent le traffic. Des companies comme Symantec utilisent ces serveurs pour faire de stats et surtout pour faire evoluer leurs produits.
Avatar de l’utilisateur
maxximum75
Matelot
Matelot
 
Messages: 2
Inscrit le: 26 Avr 2005 14:22

Messagepar vanvan » 27 Avr 2005 11:21

Bonjour.

De toute façon même si tu passais par un serveur anonyme, au final si une plainte est déposé dans le cadre d'une enquete avec commission, la police peut demander à ce qu'on lui fournisse les logs sur les serveurs pour remonter à l'ip de la personne fautive. Maintenant la plupart du temps si ça passe à travers c grace à de l'ip spoofing ou autres.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar Teo3 » 30 Sep 2005 16:45

le mieux tu ecrit une lettre avec word tu l'imprime id pour l'envellope rien ecrit à la main tu la post à l'editeur du site et c'est reglé.
Teo3
Matelot
Matelot
 
Messages: 2
Inscrit le: 30 Sep 2005 16:31


Retour vers La Législation

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité