Re: [Dolibarr-foundation-board] failles de sécurit és

[jean.heimburger]

Je suis ok avec ça. 

Jean


On Thu, 06 Sep 2012 15:33:23 +0200, Régis Houssin
<address@hidden> wrote:
> *   je tiens à préciser qu'entre awstats et dolibarr il y a
> fossé, voir un canyon en terme de données confidentiels
>  je préfère avoir 1 failles corrects sur 56 que de me faire pirater
> toutes les instances de mes clients.
>  et si une société se propose de le faire pour un peu de pub, je
> n'y voit aucun inconvénient.
> 
>  en ce qui concerne la bannière, il n'y a aucun impératif, c'est
> moi qui ai proposé ce logo, mais chacun est libre de mettre la taille
> qu'il veut, voir même juste un lien texte.
> 
>  je vais les contacter et leur proposer un lien ou une bannière sur
> dolibarr.fr, dolibarr.org et doliforge jusqu'à la sortie officielle
> de la 3.3
>  et juste un petit mot et un lien dans l'article de sortie de la
> 3.2.2 après corrections.
> 
>  ensuite nous verrons plus tard suivant la gravité des failles si on
> reconduit l'opération.
> 
>  on est ok là desssus ?
> 
> Le 06/09/12 13:15, Destailleur Laurent a écrit :
>   Il faut aussi voir si on peut se contenter d'un texte link plutot
> que banniere visuel qui est intrusif. 
> Il faut donc aussi clarifier la taille de la banniere : 
> Pour moi un text link en footer, ce serait ok.  
> Une banniere de 800x600 en plein milieu, c'est non. 
> 
> Le 6 septembre 2012 13:12, Destailleur Laurent  a écrit :
>  Qu'est-ce qui nous empêche de mettre la banniere recevoir les 56
> ano et l'enlever en disant que maintenant qu'on a a plus besoin. Il
> faut je pense d'abord clarifier ce délai. Car hors de question de
> garder à vie une bannière d'un truc qui n'a rien a faire la.
> D'autant que si cette société trouve 56 ano, des tas d'autres en
> trouveront d'autre ailleurs. Je recois 10 propositions de ce genre par
> mois sur awstats. On finira en fin de mois avec 120 bannieres si on
> les prends toutes. Et pourquoi prendre ces 56 anos la et pas les
> autres (car ce ne sont pas les memes qui sont reportées).  
>  Pour les sites portails, qui sont autonomes, on ne peut pas non plus
> l'imposer, les sites portails locaux étant autonomes. 
> Donc, mieux vaut d'abord recadrer la propale : 
> A) En définissant une durée (par exemple 4 mois après chaque
> version dont on a reçu le retour d'analyse exhaustif, ainsi c'est du
> temps plein si on fait une version par mois, et si un jour on est plus
> content ou on a plus de retour, on sait quand enlever). 
> B) En limitant aux sites non autonomes (donc dolibarr.org [2],
> doliforge) et pour les sites portails localisés, uniquement les sites
> volontaires mais sans garantie, les communautés étrangères devant
> garder leur autonomie et indépendance. 
> 
> Je reçois une dizaine de propal de ce genre sur AWStats chaque mois.
> 95% des failles remontées n'en sont pas, mais les sociétés (sans
> dire que celle la fait la meme chose) pratiquent une politique de
> chantage pour améliorer la backlink de référencement (c'est
> l'expérience AWStats qui parle): La technique, je fais copain-copain
> avec le projet, mene un accord bidon pour avoir des reflinks. Ensuite,
> je déclare quelques anos de secu sur les service internationnaux.
> Puis j'augmente la cadence, et j'en déclare de plus en plus, des faux
> non avérés pour augmenter cette cadence et la je demande encore des
> echanges (plus de lien, mieux placé, banniere plus grosse), voir
> certains de l'argent directement. Avec le message "Si vous prenez mes
> services, j'arrete de remonter des ano, meme si les bugs ne sont pas
> avérés". 
> Donc attention, à d'abord clarifier l'accord car un jour ou l'autre,
> il faudra la supprimer la bannière et nous aurons plus a perdre qu'a
> gagner, meme si ce n'est pas le cas au début. 
> 
> Si c'est toi qui a contacté, il y a moins de chance que cela arrive,
> mais peux-tu quand meme faire clarifier ces 2 points évoqués (A et
> B)? 
> 
> Le 6 septembre 2012 12:04, Régis Houssin  a écrit : 
> 
>  faut laisser la bannière autant de temps qu'ils vérifieront les
> sources
>  une hotline est aussi à notre disposition.
> 
>  on a bien assez de boulot comme ça pour s'amuser à trouver les
> outils qu'ils utilisent !
>  ils le font gratuitement en échange d'une bannière, c'est pas la
> mère à boire :-)
> 
> Le 06/09/12 11:10, Laurent Destailleur (eldy) a écrit :
> 
> Le 06/09/2012 10:31, Régis Houssin a écrit :
>    J'ai contacté cette société 
> 
>  https://www.httpcs.com/ [4]
> 
>  ils ont testé Dolibarr 3.2.1 et ont découvert plus de 56
> (+2.800€) vulnérabilités.
>  ils consentent à nous donner la liste si en échange nous mettons
> un lien vers leur site
>  Les failles seront divulguées sur leur site une fois que nous
> aurons corrigé.
> 
>  j'ai créé une petite bannière avec leur logo (fichier joint)
> 
>  est-ce que c'est ok pour tout le monde ?
> 
>  Pour moi, on a pas besoin d'eux, si on lance les meme outils qu'eux
> (et nul ne doute qu'ils utilisent des outils opensource), on trouvera
> les meme. Par contre, faut prendre le temps de le faire.
> 
>  Combien de temps faut-il laisser la bannière ?
> 
> Cordialement,
> -- 
> Régis Houssin
> ---------------------------------------------------------
> Cap-Networks
> Cidex 1130
> 34, route de Gigny
> 71240 MARNAY
> FRANCE
> VoIP: +33 1 83 62 40 03 [5]
> GSM: +33 6 33 02 07 97 [6]
> Web: http://www.cap-networks.com/ [7]
> Email: address@hidden [8]
> 
> Dolibarr developer: address@hidden [9]
> Web Portal: http://www.dolibarr.fr/ [10]
> SaaS offers: http://www.dolibox.fr/ [11]
> Shop: http://www.dolistore.com/ [12]
> Development platform: https://doliforge.org/ [13]
> ---------------------------------------------------------
> 
> -- 
> Eldy (Laurent Destailleur).
> 
> EMail: address@hidden [14]
> Web: http://www.destailleur.fr [15]
> 
> Dolibarr (Project leader): http://www.dolibarr.org [16]
> To make a donation for Dolibarr project via Paypal:
> address@hidden [17]
> AWStats (Author) : http://awstats.sourceforge.net [18]
> To make a donation for AWStats project via Paypal:
> address@hidden [19]
> AWBot (Author) : http://awbot.sourceforge.net [20]
> CVSChangeLogBuilder (Author) : http://cvschangelogb.sourceforge.net
> [21]
> 
> Cordialement,
> -- 
> Régis Houssin
> ---------------------------------------------------------
> Cap-Networks
> Cidex 1130
> 34, route de Gigny
> 71240 MARNAY
> FRANCE
> VoIP: +33 1 83 62 40 03 [22]
> GSM: +33 6 33 02 07 97 [23]
> Web: http://www.cap-networks.com/ [24]
> Email: address@hidden [25]
> 
> Dolibarr developer: address@hidden [26]
> Web Portal: http://www.dolibarr.fr/ [27]
> SaaS offers: http://www.dolibox.fr/ [28]
> Shop: http://www.dolistore.com/ [29]
> Development platform: https://doliforge.org/ [30]
> ---------------------------------------------------------
> 
> Cordialement,