Flash : responsable de tous les maux ?
Dans un entretien donné à oneitsecurity, le spécialiste de la sécurité informatique Charles Miller a réaffirmé que Windows 7 était plus sécurisé que Snow Leopard. Son principal grief concernant Mac OS X, c'est qu'il n'offre pas un support complet de la randomisation de l'espace d'adressage (Adress Space Layout Randomization). Ce procédé place des données de façon aléatoire dans la mémoire virtuelle, ce qui minimise les attaques se basant sur des structures fixes (lire à ce sujet : Snow Leopard moins sécurisé que Windows...).
L'autre argument avancé par Charles Miller, c'est que Windows 7 possède une surface d'attaque plus réduite. Contrairement à Mac OS X, il n'inclut pas d'emblée Java et Flash. Il insiste sur le fait que la technologie d'Adobe présente un réel danger d'un point de vue sécurité.
Pour lui, la plupart des navigateurs, à condition d'être à jour, se valent plus ou moins à ce niveau. Mais le fait d'installer ou non Flash change tout de ce point de vue… Il recommande de s'en passer…
Charles Miller, comme tant d'autres, participera fin mars au concours PWN2OWN, organisé dans le cadre de la conférence CanSecWest. Comme chaque année, des hackers seront invités à prendre le contrôle de différentes machines sur Mac OS X, Windows et Linux à l'aide de Safari, Firefox, IE et Chrome (lire : Pwn2own : Safari échouera-t-il pour la 4e fois ?).
L'autre argument avancé par Charles Miller, c'est que Windows 7 possède une surface d'attaque plus réduite. Contrairement à Mac OS X, il n'inclut pas d'emblée Java et Flash. Il insiste sur le fait que la technologie d'Adobe présente un réel danger d'un point de vue sécurité.
Pour lui, la plupart des navigateurs, à condition d'être à jour, se valent plus ou moins à ce niveau. Mais le fait d'installer ou non Flash change tout de ce point de vue… Il recommande de s'en passer…
Charles Miller, comme tant d'autres, participera fin mars au concours PWN2OWN, organisé dans le cadre de la conférence CanSecWest. Comme chaque année, des hackers seront invités à prendre le contrôle de différentes machines sur Mac OS X, Windows et Linux à l'aide de Safari, Firefox, IE et Chrome (lire : Pwn2own : Safari échouera-t-il pour la 4e fois ?).
+1 jinxjab : effectivement d'autant que depuis toujours, 95% des infections ne sont pas dûes à des failles de sécurité, mais à des comportements imprudents de la part des utilisateurs.
http://zs1.smbc-comics.com/comics/20100223.gif
Voilà la réalité des infections.
Tout à fait @Anabys Flash devrait être utilisé pour ce genre de chose : http://thefwa.com/ mais malheureusement dans beaucoup trop de cas c'est pour du rollover de bouton ou des bannières de pub...
le flash est le nouveau blink. :)
-
non mais maintenant que flash est officiellement déclaré ringard, tout le monde se lâche. pourtant le propos contre flash il est _Ancien_
bazino: change de boulot alors! :) avec un macbook pro d'il y a 3 ans, c'est exceptionnel (et fluide)! et sur Flash Mac !
@ jinxjab : ben donnes moi la liste de ces "failles de sécurités induites par Flash" alors :)
Parce que pour le moment, à part une ou deux proof of concept donnés lors de démos pendant lesquelles trois geeks nous montrent qu'on peut aussi prendre le controle de mon mac à distance avec ou sans flash, il n'y a pas de quoi fouetter un chat.
"la mise en place d'un code malveillant hébergé sur une page web et placé dans un contexte sournois.", moui, ok, mais je ne vois pas quel danger supplémentaire flash apporte là dedans. faut il aussi supprimer JS à ce moment là ?
Que ce gars arrête de raconter des conneries les virus ils sont sur windaube pas sur mac.
"Son principal grief concernant Mac OS X, c'est qu'il n'offre pas un support complet de la randomisation de l'espace d'adressage (Adress Space Layout Randomization)."
Il a dit la même chose pour Vista/Windows7 vs Mac X Leopard, cela n'a pas empeché IE d'être compromis lors de la dernière PWN2OWN, donc son argument qui se fonde que sur l'ASLR est totalement nul, il vaut rien.
De plus on si on suit son raisonnement que la sécurité d'un système se réduirait à une seul type de protection, on peut donc lui rétorquer que le sandboxing est mieux implémenté sur Mac OS X que sur Windows.
http://blog.chromium.org/2009/06/google-chrome-sandboxing-and-mac-os-x.html
Et la protrection ASLR de windows 7 soit diant plus complète que sur Mac OS X n'a pas empêché cette attaque zero-day
http://blogs.zdnet.com/security/?p=4938
Pas plus qu'elle n'a empêché l'attaque visant Google et d'autres compagnies via une faille de IE, une attaque zero day également, il en va de soit, sinon ça serait pas windows.
http://www.theregister.co.uk/2010/01/14/cyber_assault_followup/
Il peut nous dire que Windows 7 est plus sécurisé que Mac OS X, mais c'est pas Mac OS X qui s'est fait craqué par des étudiants chinois pour lancer une attaque informatique, certainement la plus importante observée depuis 10-15 ans......
Et que dire de cette faille non corrigée?
http://www.pretentiousname.com/misc/win7_uac_whitelist2.html
Cette faille présente depuis la sortie de Windows 7, que Microsoft qualifie comme un "no-problem" permet une injection de code pure et simple via une erreur dans l'implémentation de son UAC (User Account Control). Et Miller continue à nous dire que Windows 7 est plus sécurisé que Mac OS X?
Ouai.....
Windows 7 est beaucoup plus sécurisé, et de loin, que Macdaube.
@mediapress : on peut faire ça en quelques lignes de html & css. Voici [url=http://www.w3.org/TR/css3-3d-transforms/]la doc pour le faire[/url]. C'est assez pompeux, mieux vaut suivre des exemples, sur le site de webkit par exemple.
La vidéo est jolie mais techniquement, elle est juste plus grande que ce que l'on crois avec des bordures transparentes ; en fait ce n'est qu'une vidéo, aucune prouesse technique. En CSS, on ferait vraiment bouger tout le contenu du site en 3D par contre.
si on isole la vidéo : http://assets.vimeo.com/rev/1/flash/salsa_container.swf
[b]bazino [02/03/2010 12:26]
@ mediapress : réussir à afficher une image toutes les 54 secondes sur mon PC du boulot, HTML devrait y arriver aussi.[/b]
si tu n'arrives pas à lire le lien que j'ai donné, je ne sais pas mais, tu devrais te poser des questions sur ta machine...
à une image toutes les 54 secondes, alors que c'est nickel chez moi (aucune saccades...) il y a quand même un pont entre nos 2 machines (tu utilises un pentium I ??? ou un Mac Classic ???)
Il y eu le H1N1, maintenant le Flash. La suite ?
@ oomu
Ne dit pas ça, HAL-9000 va te dire que l'anti-flash n'existe que depuis janvier 2010 et il ne va pas être content ;)
[b]Il y eu le H1N1, maintenant le Flash. La suite ?[/b]
ton commentaire ???
On m'enlève les mots de la bouche, c'est dingue !!!
;)
@françois:
il est urgent pour vous de relire et de comprendre mon poste!
Flash ?!?
c'est pas le truc Bling Bling qui sert à masquer la pauvreté intellectuelle de certains sites ?
modéré par la rédaction
modéré par la rédaction
Ah, prend ça, Hal
Beaucoup ici s'y connaissent plus que cet homme ^^ il est spécialiste de la sécurité informatique je crois qu'il raconte pas des anneries .
Et pour le fais de IE et l'attaque envers Google c'est juste qu'ils ont utilisé windows et pas mac ça aurait rien changé le mac à été aussi cracké à cause de safari
Windows devient un système de plus en plus sécurisé et il est attaqué de toute part , je voudrais voir à la place mac os x,n'empêche que ce qu'il avance n'est pas rien ;)
Et bim une torniole de plus pour Adobe !
MDR
Hal :
[url]http://pictures.korben.info/cybernetnews.com/wp-content/uploads/2007/12/mac-windows-vulnerabilities.png[/url]
Et c'était avant Windows 7.
OSX est une passoire comme les autres, sa résistance est uniquement due au fait que les hackers s'en moquent parce que perdre du temps pour 5% du parc machine quand il y a tant de jolis Windows pas mis à jours à attaquer, ce n'est pas un bon objectif.
[url]http://secunia.com/advisories/product/96/?task=statistics_2009[/url]
Autant il se plante au sujet de daube 7 plus sécurisé qu'osx, autant il a raison pour flash.
Flash est vraiment la technologie à la mode, on arrête pas d'en parler :-) !
Bof bof, c'est plutôt contextuel comme news… non ?
Je soupçonne que ce soit Flash aussi qui soit à l'origine des retards sur le Macbook Pro pour ma part. Il a ralenti les chaines de production et mis des virus dans les machines qui devaient sortir le mois dernier.
"Contrairement à Mac OS X, il n'inclut pas d'emblée Java et Flash"
Oui, mais vu le nombre de site web utilisant flash et java (bon Java Ok si je peux, j'évite de l'installer sur mes postes windows) il est difficile de ne pas les installer....
je viens de lire quelques vidéos en html 5, franchement, c'est caca boudin...
(beaucoup plus lent que flash...)
mais de toute façon, ça ne sert d'en parler autant, il n'est pas possible de toute faire en html... flash est là pour ça...
Le flash mange vos enfants....
De pire en pire cette polémique.
allez faire ça en html
http://vimeo.com/9194146
Flash : la news à la mode
Gr3gZZ : excelent !!!!! mais oui, c'est exactement ca !!! :-)
@ mediapress : réussir à afficher une image toutes les 54 secondes sur mon PC du boulot, HTML devrait y arriver aussi.
Ben dis donc... ça fait 5 ans que je crie sur tous les toits que Flash bouffe toutes les ressources, compromet la sécurité du système, et ne sert qu'aux bannières de pub et autres saletés multimédia qui clignotent de partout, polluent les pages web et ralentit leur chargement... et c'est maintenant que les gens se réveillent...
@ Gimli fils de Gloin
T'as raison, ne retiens que ce qui te plaît et dénigre le reste...
@ Anabys
+1
Gimli, quels sont tes arguments pour prouver qu'il a tort au sujet de Windows 7 ? Je demande ça en toute simplicité, juste pour voir…
@anabys : Combien de machines infectées à cause de flash à ce jour dans le monde ?
@mediapress : sympa :)
@HAL 9000 : chut.
Tant que les sites utiliseront autant Flash, difficile de demander aux utilisateurs de s'en passer.
C'est comme demander aux utilisateurs d'une voiture diesel de se passer de ce carburant car ses particules fines sont nocives.
@Anabys
Bof l'argument pub ou multimédia ne tient pas. On peut faire des pubs horribles et intrusives en html, javascript et cie. Marre de lire ce genre d'inépties.
(mais je suis d'accord sur les perf et la sécurité)
Gimli fils de Gloin > un argument, peut-être ?
[b] modéré par la rédaction [/b] Hors sujet
Sous un autre angle il y a trop de sites qui utilisent flash alors qu'HTML suffirait. Je le remarque souvent.
@françois :
Quel est le rapport entre infection et les failles de sécurités induites par Flash ?
Il y a infection en cas d'attaque virale, la on parle de failles de sécurité simplement.
Ce n'est pas un secret, cela fait un bon moment que cette aspect insécurité forme un "halo" autour de Flash. Mais elle est survient surtout dans le cadre de la mise en place d'un code malveillant hébergé sur une page web et placé dans un contexte sournois.
@ brume : +1
C'est comme la mode des catalogues en Flash, ça me dépasse...
[b] modéré par la rédaction [/b] Hors sujet