Trolloscope Who is the best ? - Page 55

C'est vrai que dans l'absolu, tout le monde peut se faire voler sa machine... Ou se faire voler son disque dur.
Mais dans la réalité, si tu stockes quelque part (peu importe où) un mot de passe donnant accès à des trucs super confidentiels (ou que tu laisses trainer une mallette/clé USB avec des documents classifiés), c'est juste que tu es très con.
En dehors de ça, la vie privée des la plupart des gens (n'occuppant pas un rôle très important quelque part) est strictement sans intérêt. Donc si celui qui te vole ton PC/disque n'est pas un de tes proches, ton mot de passe de session suffit sans doute. Sinon si c'est un de tes proches, j'ai envie de dire choisis mieux tes fréquentations. Et si cette personne connait ton mot de passe perso, ben, comment dire...

Enfin bref, quand il n'y a pas de menace (risque) clairement identifié, franchement, osef.

GoldenCrystal (./1621) :
En dehors de ça, la vie privée des la plupart des gens (n'occuppant pas un rôle très important quelque part) est strictement sans intérêt.

Sauf qu'il y a quand même des informations critiques, dans un trousseau (si tu as l'accès à la messagerie - et je ne parle pas des archives de messagerie - d'une personne, tu peux avoir théoriquement des informations bancaires, des accès sur des sites de vente, etc.)
Le problème n'est pas l'info personnelle (ça a un côté chiant mais, comme tu dis, on s'en fout ; encore que, dans certaines situations - période de préparation d'un divorce, typiquement - ça peut être critique). Le problème est l'usurpation d'identité.

GoldenCrystal (./1622) :
Enfin bref, quand il n'y a pas de menace (risque) clairement identifié, franchement, osef.

ouais, sauf te piquer l'intégralité de tes mots de passe en demandant leur affichage en clair dans les options de firefox, mais franchement, osef.

c'est comme les identifiants ftp "sauvés" dans filezilla, mis tous en clair en clair dans un .xml

En clair ou cryptés avec une clé privée qui est en fait publique... Quelle est la différence ?
Celui qui veut te voler des infos y arrivera tout pareil...

a choisir entre une porte ouverte ou une clé sous le paillasson...

Quand tu te le fais cambrioler, tu ne sais pas si le voleur a lui aussi l'habitude de mettre la clé sous le paillasson...

GoldenCrystal (./1625) :
En clair ou cryptés avec une clé privée qui est en fait publique...

Si tout le monde connaît tes mots de passe persos...


Sinon...

Hello everybody,

The changes in Mozilla 2.0 mean that every C++-based plug-in has to be recompiled for every new version of Mozilla, no exceptions. This is now also called "Mozilla's fast release hell" and affects multiple plug-ins.

Previous tricks like changing install.rdf will only work for purely JavaScript-based components. Funambol is not one of those.

Mais va te faire foutre putain d'enculé de versionning de merde ! Passer de TB 6.0.1 à TB 7.0 pour aucune fonctionnalité, et en perdre au passage...
(Et passer à Chrome ne servirait à rien, puisque pour le coup ça touche Thunderbird/Calendar, et qu'aucun concurrent - hors Outlook [et Evolution, mais bon, hem ] - n'est au niveau).

(Bon, a priori l'interface avec le carnet d'adresses a aussi changé, donc le plug-in doit être quand transformé pour ça, donc ça prendra encore plus de temps que prévu avant que je puisse avoir un système à jour et fonctionnel).

que des cons

ah au fait, avec mon tel exchange activesync ne marche pas non plus

Uther (./1617) :

Pen^2 (./1587) :RRRRRRRRRRRRRRHHHHHHHHHHHHHHHHHHHHHHHHHAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA




firefox
J'espérais que la v7 allait résoudre le problème, mais non...

Bizarre, tu doit avoir un addon qui fiche la merde parceque que j'ai pas du tout ce problème.

squalyl (./1603) :
mais dis donc firefox a l'air très sécurisé

Bah, ca n'a rien a voir avec Firefox, toutes ces donnée doivent forcément être accessibles. Firefox permet de choisir un Master Password pour crypter les données personnelles, mais je ne connais personne qui prenne la peine de l'utiliser.

Moué je ne sais pas, j'ai une configuration similaire au boulot, et pas de problème particulier (enfin à part la consommation mémoire démente, mais bon, ça on y est habitué )

GoldenCrystal (./1619) :
L'intérêt du gestionnaire de mot de passe, c'est de ne pas avoir à taper de mot de passe en dehors de celui de ta session Windows.

Enfin c'est vrai que ça ne coûte pas grand chose de mettre un master password non plus. Je le ferai peut-être

r043v (./1624) :
c'est comme les identifiants ftp "sauvés" dans filezilla, mis tous en clair en clair dans un .xml

il me semble que tu as le choix de ne pas le faire, non ?

il propose de "ne pas sauvegarder les mots de passe"
bref c'est tout en clair ou pas de save, et les ip et logins resterons tout de même eux en clair quoi qu'il advienne

à mon avis tout ça est une cible de choix pour tous les prog malicieux

Pen^2 > tiens chez moi firefox s’est mis à ramer à donf quand :
— je fais clic droit-information sur l’image (il freeze pendant bien 30 secondes avant de m’afficher la boîte de dialogue)
— parfois, mais parfois seulement, quand je clique sur la petite flèche du bouton précédent pour revenir plusieurs pages en arrière (idem, gros freeze avant que finalement ça m’affiche le menu)

toi c’est dans quelles circonstances ? (le coup des informations sur l’image ne rappelle rien à personne, sinon ?)

edit : en fait c’est pas juste les informations sur des images, ça le fait aussi si je choisis informations sur la page dans le menu. Et ça semble le faire parfois si je clique sur le menu historique (cas similaire au clic sur le bouton précédent donc).

Nil (./1620) :
- ça revient à ne faire confiance qu'à un seul et unique gestionnaire de sécurité

Oui, ça fait un seul point d'entrée à défendre correctement, c'est d'autant plus simple
Ce n'est pas pour rien qu'ils ont choisi ce principe sur OS X et Linux...

- encore faut-il que Windows dispose d'un gestionnaire de mot de passe centralisé

Oui, Windows manque beaucoup de centralisation et je n'ai pas l'impression que ça soit parfaitement corrigé avec Windows 8

- si tu dis "pas besoin de cryptage" puisque ta session est sécurisée, ça veut dire qu'il faut que tu cryptes tes données sur le disque, ce qui n'est pas très pratique dans de nombreux cas

Le trousseau est déverrouillé en même temps que la session, mais il est bien évidemment chiffré sur disque !

- si tu veux que le mot de passe Windows soit celui qui soit utilisé comme [générateur de] clé pour le cryptage des données personnelles de Fx, ça pose énormément de problèmes : intercepter un changement de mot de passe Windows n'est pas trivial, d'autant plus lorsque tu fonctionnes dans un domaine.

Sur Linux, si tu changes le mot de passe de session, le trousseau n'est plus déverrouillé en même temps que la session, justement. Je crois qu'il y a le même souci avec OS X.


Au passage, je pense qu'il serait encore mieux de pouvoir centraliser bien plus que les mots de passe, genre les favoris, l'historique...

flanker (./1636) :
et Linux...

Ce n'est pas system wide sous linux et quand il y a c'est le desktop (KDE ou Gnome qui le fait), alors que ça l'es sous Mac OS X, donc je ne peux accepter linux dans cette liste

Sally@./1635> ben je n'ai hélas jamais rien identifié d'évident. Le freeze avait l'air de se produire plus ou moins n'importe quand.
Parfois, simplement lorsque je tapais du texte dans un textarea...
À noter que la musique (player flash) continuait à fonctionner un peu et finissait par se bloquer également. Puis, tout revenait à la normale.
D'ailleurs, il freezait aussit même sans toucher au PC il me semble (ouvert pour la musique)
Mon processeur, un quad core, était utilisé à 25% par firefox, i.e. une core à 100% j'imagine...

Franchement je t'encourage à essayer chromium : à moins que tu n'aies des besoins très spécifiques, on retrouve ses habitudes en cinq minutes.

oui mais c'est webkit, donc c'est le mal

squalyl (./1639) :
oui mais c'est webkit, donc c'est le malbien

Fixed.

flanker (./1636) :
Oui, ça fait un seul point d'entrée à défendre correctement, c'est d'autant plus simple Ce n'est pas pour rien qu'ils ont choisi ce principe sur OS X et Linux...

Oui mais, comme tu dis, les données du trousseau sont cryptées sous OS X. Les données de mots de passe de Fx ne sont pas cryptées, sauf à utiliser un mot de passe centralisé, et baser son cryptage sur le mot de passe du système est techniquement extrêmement compliqué à réaliser (comme je le disais, intercepter un changement de mot de passe est vraiment compliqué ; le faire dans le cadre d'un fonctionnement en domaine ou avec un gestionnaire de session tiers - pGina ou Novell - est carrément du domaine de l'infaisable). D'ailleurs, je suis curieux de savoir comment OS X gère la sécurité du trousseau dans le cas d'une authentification déléguée.

flanker (./1636) :

- si tu dis "pas besoin de cryptage" puisque ta session est sécurisée, ça veut dire qu'il faut que tu cryptes tes données sur le disque, ce qui n'est pas très pratique dans de nombreux cas

Le trousseau est déverrouillé en même temps que la session, mais il est bien évidemment chiffré sur disque !

Cf. au-dessus ^^

flanker (./1636) :
Je crois qu'il y a le même souci avec OS X.

Je ne suis pas sûr. Je n'utilise pas OS X tous les jours, mais il me semble que le système de cryptage utilisé est similaire à celui de TrueCrypt (deux niveaux : une clé - le mot de passe - qui permet de déchiffrer la "vraie" clé ; si le mot de passe change, la vraie clé change, mais c'est son chiffrage qui est modifié... les données, elles, restent toujours cryptées de la même manière).
Par contre, j'avais en mémoire le fait (qui est un plus sur le plan de la sécurité) que même en cas de session ouverte, si le mot de passe n'a pas été saisi depuis un certain temps, il est redemandé à l'utilisateur pour s'assurer qu'il s'agit bien d'un utilisateur disposant du droit d'accéder au trousseau qui est derrière l'écran (un peu comme la durée de validité du sudo sous Linux, et à la différence de l'UAC pour Windows qui est spécifique à chaque action réalisée).

flanker (./1636) :
genre les favoris, l'historique...

Oui et non ; ça revient à nier le fait que des gens puissent avoir besoin, au sein d'une même session, d'environnements de travail différents. Personnellement, je n'ai pas le même paramétrage sous IE et sous Fx, et c'est très bien ainsi. De la même façon, j'ai plusieurs profils actifs sous Fs au travail (je suis sous Linux et je n'ai pas d'autre navigateur installé), ce qui me permet d'avoir un profil de session perso (avec favoris, plug-ins etc. pour un usage perso) et un profil de session boulot. Après, on peut imaginer une option qui serait (un peu comme Fx propose, pour l'accès au réseau sous Windows, d'utiliser les paramètres système) de piocher ces informations au niveau du système, et une autre qui serait de les avoir dans un profil isolé.

Nil (./1642) :
D'ailleurs, je suis curieux de savoir comment OS X gère la sécurité du trousseau dans le cas d'une authentification déléguée.

Sous OS X, la clef "user" peux être différente de la clef du trousseau.

Nil (./1642) :
que même en cas de session ouverte, si le mot de passe n'a pas été saisi depuis un certain temps, il est redemandé à l'utilisateur pour s'assurer qu'il s'agit bien d'un utilisateur disposant du droit d'accéder au trousseau qui est derrière l'écran (un peu comme la durée de validité du sudo sous Linux, et à la différence de l'UAC pour Windows qui est spécifique à chaque action réalisée).

C'est un peu plus complexe, déjà le comportement du trousseau est réglable. Il peux être verrouillé automatiquement après un certain temps d'inactivités et/ou a la suspension d'activités

L'ouverture de session "ouvre" le trousseau, mais OS X ne permet pas a toutes les applications d'utiliser le trousseau par défaut, il faut qu'elle demandent l'accès et l'utilisateur dans ce cas est obligé de taper son mot de passe, et de choisir si l'application a le droit juste cette fois ou de manière permanent.

Sans compter qu'il y a plusieurs trousseaux qui n'ont pas forcement exactement le même comportement. La par exemple je n'ai que le trousseau "session" qui est "déverrouillé" (donc les applications autorisé peuvent y acceder)

Nil (./1642) :
D'ailleurs, je suis curieux de savoir comment OS X gère la sécurité du trousseau dans le cas d'une authentification déléguée.

Bien, mieux que Linux en tout cas (mais bon, Linux est de toute façon un peu pourri pour les authentification déléguée, vu qu'il n'a pas de cache pour ça... )
Après, je ne sais pas comment il fait exactement mais ça fonctionne bien ^^ (et le trousseau ne disparaît pas après une mise en veille, contrairement à Gnome)

Par contre, j'avais en mémoire le fait (qui est un plus sur le plan de la sécurité) que même en cas de session ouverte, si le mot de passe n'a pas été saisi depuis un certain temps, il est redemandé à l'utilisateur pour s'assurer qu'il s'agit bien d'un utilisateur disposant du droit d'accéder au trousseau qui est derrière l'écran (un peu comme la durée de validité du sudo sous Linux, et à la différence de l'UAC pour Windows qui est spécifique à chaque action réalisée).

Tu règles les paramètres comme tu veux (verrouiller après X minutes d'inactivité, après une mise en veille, verrouillage manuel, etc.)

flanker (./1636) :
genre les favoris, l'historique...

Oui et non ; ça revient à nier le fait que des gens puissent avoir besoin, au sein d'une même session, d'environnements de travail différents. Personnellement, je n'ai pas le même paramétrage sous IE et sous Fx, et c'est très bien ainsi. De la même façon, j'ai plusieurs profils actifs sous Fs au travail (je suis sous Linux et je n'ai pas d'autre navigateur installé), ce qui me permet d'avoir un profil de session perso (avec favoris, plug-ins etc. pour un usage perso) et un profil de session boulot. Après, on peut imaginer une option qui serait (un peu comme Fx propose, pour l'accès au réseau sous Windows, d'utiliser les paramètres système) de piocher ces informations au niveau du système, et une autre qui serait de les avoir dans un profil isolé.
[/cite]
Bin à vrai dire, je trouve que le système lui-même pourrait proposer la gestion de plusieurs profils ^^

flanker (./1644) :
Bin à vrai dire, je trouve que le système lui-même pourrait proposer la gestion de plusieurs profils ^^

C'est une solution qui me conviendrait pas mal

Tu fais du dédoublement de personnalité ?

Non, même pas, tu m'as mal lu

Tiens encore une mise à jour vachement utile de firefox aujourd’hui : maintenant quand une URL commence par http://http://, cette partie n’apparaît plus dans la barre d’adresse (par contre si c’est https oui, par exemple). Mais comment se passé-ce donc pour le copier-coller, me demandai-je ? et la réponse semble être : si tu sélectionnes la première lettre, alors implicitement tu as aussi sélectionné le http:// invisible qui est devant (corollaire, si tu veux sélectionner juste le nom de domaine, ben tu peux pas).

C’est juste pour le plaisir de bloater leur code le plus possible avec des features inutiles, ou il y a un intérêt caché ? (là je vais laisser courir parce que c’est pas trop chiant, ça sert juste à rien, mais bon j’ai déjà deux de mes extensions firefox installées — sur six — qui servent juste à reverter des changements idiots dans l’interface, il va y avoir un moment où j’en aurai marre si ça continue)

Faire comme Chrome.

oué...

Sally (./1648) :
corollaire, si tu veux sélectionner juste le nom de domaine, ben tu peux pas

D'ailleurs ça fait pareil sous chromium, je viens de tester.