dolibarr-foundation-board
[Top][All Lists]
Advanced
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [Dolibarr-foundation-board] failles de sécurit és

From: jean.heimburger
Subject: Re: [Dolibarr-foundation-board] failles de sécurit és
Date: Fri, 07 Sep 2012 12:52:35 +0200
User-agent: RoundCube Webmail/0.4 
Au vu des dernières infos, je ne suis plus pour...
On va chercher les failles nous mêmes, en plus 46, c'était pas
beaucoup.

Jean


On Fri, 7 Sep 2012 09:20:10 +0200, Maxime Longuet <address@hidden>
wrote:
> Déformation du sud de la france :)
> 
> On préfère parler de piège à touriste plutôt que de piège à
> … Mais aucun rapport avec les Régis :)
> 
> Bon d'accord c'est du réchauffer mais en même temps j'ai le droit
> c'est vendredi !
> 
> Max
> 
> Le 7 sept. 2012 à 08:08, Régis Houssin  a écrit :
> 
>  et puis tu arrêtes de me traiter de touriste, de troller ou je ne
> sais quoi, je vais le dire à ma mère ! ;-)
> 
> Le 07/09/12 00:48, Maxime Longuet a écrit :
>       Mouai je suis de l'avis de Laurent. Attention à ces pseudo
> scanner de vulnérabilités. 
> 
> Ces scanners n'ont aucun intérêt si la faille n'est pas réellement
> identifié et localisé dans le code. Sans compter les faux positif
> nombreux dans ce genre de cas. C'est toute la différence entre un
> scanner et un audit d'un vrai consultant. 
> 
> Je vous conseil de lire l'avis de thelia sur leur intervention chez
> eux : http://thelia.net/forum/viewtopic.php?id=8611 [2] 
> 
> ET quand je lis le forum, j'aurais pu vous le dire également
> d'avance sans avoir cet exemple. 
> 
> Il ne faut pas tomber dans leur proposition. Je ne cautionnerais
> jamais le chantage de ce genre, vous tombez dans un vrai piège à
> touriste. 
> 
> Maxime 
> 
> Le 6 sept. 2012 à 15:39, Régis Houssin  a écrit : 
> 
>  quelques exemples de projets ayant fait cette démarche
> 
> 
> http://thelia.net/blog/article/scanner-de-vulnerabilites?archives=2012-07-5
> [4]
> 
>  http://www.phplist.com/?lid=579 [5]
> 
> Le 06/09/12 15:33, Régis Houssin a écrit :
> 
>       * je tiens à préciser qu'entre awstats et dolibarr il y a fossé,
> voir un canyon en terme de données confidentiels
>  je préfère avoir 1 failles corrects sur 56 que de me faire pirater
> toutes les instances de mes clients.
>  et si une société se propose de le faire pour un peu de pub, je
> n'y voit aucun inconvénient.
> 
>  en ce qui concerne la bannière, il n'y a aucun impératif, c'est
> moi qui ai proposé ce logo, mais chacun est libre de mettre la taille
> qu'il veut, voir même juste un lien texte.
> 
>  je vais les contacter et leur proposer un lien ou une bannière sur
> dolibarr.fr [6], dolibarr.org [7] et doliforge jusqu'à la sortie
> officielle de la 3.3
>  et juste un petit mot et un lien dans l'article de sortie de la
> 3.2.2 après corrections.
> 
>  ensuite nous verrons plus tard suivant la gravité des failles si on
> reconduit l'opération.
> 
>  on est ok là desssus ?
> 
> Le 06/09/12 13:15, Destailleur Laurent a écrit :
>   Il faut aussi voir si on peut se contenter d'un texte link plutot
> que banniere visuel qui est intrusif. 
> Il faut donc aussi clarifier la taille de la banniere : 
> Pour moi un text link en footer, ce serait ok.  
> Une banniere de 800x600 en plein milieu, c'est non. 
> 
> Le 6 septembre 2012 13:12, Destailleur Laurent  a écrit :
>  Qu'est-ce qui nous empêche de mettre la banniere recevoir les 56
> ano et l'enlever en disant que maintenant qu'on a a plus besoin. Il
> faut je pense d'abord clarifier ce délai. Car hors de question de
> garder à vie une bannière d'un truc qui n'a rien a faire la.
> D'autant que si cette société trouve 56 ano, des tas d'autres en
> trouveront d'autre ailleurs. Je recois 10 propositions de ce genre par
> mois sur awstats. On finira en fin de mois avec 120 bannieres si on
> les prends toutes. Et pourquoi prendre ces 56 anos la et pas les
> autres (car ce ne sont pas les memes qui sont reportées). 
>  Pour les sites portails, qui sont autonomes, on ne peut pas non plus
> l'imposer, les sites portails locaux étant autonomes. 
> Donc, mieux vaut d'abord recadrer la propale : 
> A) En définissant une durée (par exemple 4 mois après chaque
> version dont on a reçu le retour d'analyse exhaustif, ainsi c'est du
> temps plein si on fait une version par mois, et si un jour on est plus
> content ou on a plus de retour, on sait quand enlever). 
> B) En limitant aux sites non autonomes (donc dolibarr.org [9],
> doliforge) et pour les sites portails localisés, uniquement les sites
> volontaires mais sans garantie, les communautés étrangères devant
> garder leur autonomie et indépendance. 
> 
> Je reçois une dizaine de propal de ce genre sur AWStats chaque mois.
> 95% des failles remontées n'en sont pas, mais les sociétés (sans
> dire que celle la fait la meme chose) pratiquent une politique de
> chantage pour améliorer la backlink de référencement (c'est
> l'expérience AWStats qui parle): La technique, je fais copain-copain
> avec le projet, mene un accord bidon pour avoir des reflinks. Ensuite,
> je déclare quelques anos de secu sur les service internationnaux.
> Puis j'augmente la cadence, et j'en déclare de plus en plus, des faux
> non avérés pour augmenter cette cadence et la je demande encore des
> echanges (plus de lien, mieux placé, banniere plus grosse), voir
> certains de l'argent directement. Avec le message "Si vous prenez mes
> services, j'arrete de remonter des ano, meme si les bugs ne sont pas
> avérés". 
> Donc attention, à d'abord clarifier l'accord car un jour ou l'autre,
> il faudra la supprimer la bannière et nous aurons plus a perdre qu'a
> gagner, meme si ce n'est pas le cas au début. 
> 
> Si c'est toi qui a contacté, il y a moins de chance que cela arrive,
> mais peux-tu quand meme faire clarifier ces 2 points évoqués (A et
> B)? 
> 
> Le 6 septembre 2012 12:04, Régis Houssin  a écrit : 
> 
>  faut laisser la bannière autant de temps qu'ils vérifieront les
> sources
>  une hotline est aussi à notre disposition.
> 
>  on a bien assez de boulot comme ça pour s'amuser à trouver les
> outils qu'ils utilisent !
>  ils le font gratuitement en échange d'une bannière, c'est pas la
> mère à boire :-)
> 
> Le 06/09/12 11:10, Laurent Destailleur (eldy) a écrit :
> 
> Le 06/09/2012 10:31, Régis Houssin a écrit :
>    J'ai contacté cette société 
> 
>  https://www.httpcs.com/ [11]
> 
>  ils ont testé Dolibarr 3.2.1 et ont découvert plus de 56
> (+2.800€) vulnérabilités.
>  ils consentent à nous donner la liste si en échange nous mettons
> un lien vers leur site
>  Les failles seront divulguées sur leur site une fois que nous
> aurons corrigé.
> 
>  j'ai créé une petite bannière avec leur logo (fichier joint)
> 
>  est-ce que c'est ok pour tout le monde ?
> 
>  Pour moi, on a pas besoin d'eux, si on lance les meme outils qu'eux
> (et nul ne doute qu'ils utilisent des outils opensource), on trouvera
> les meme. Par contre, faut prendre le temps de le faire.
> 
>  Combien de temps faut-il laisser la bannière ?
> 
> Cordialement,
> -- 
> Régis Houssin
> ---------------------------------------------------------
> Cap-Networks
> Cidex 1130
> 34, route de Gigny
> 71240 MARNAY
> FRANCE
> VoIP: +33 1 83 62 40 03 [12]
> GSM: +33 6 33 02 07 97 [13]
> Web: http://www.cap-networks.com/ [14]
> Email: address@hidden [15]
> 
> Dolibarr developer: address@hidden [16]
> Web Portal: http://www.dolibarr.fr/ [17]
> SaaS offers: http://www.dolibox.fr/ [18]
> Shop: http://www.dolistore.com/ [19]
> Development platform: https://doliforge.org/ [20]
> ---------------------------------------------------------
> 
> -- 
> Eldy (Laurent Destailleur).
> 
> EMail: address@hidden [21]
> Web: http://www.destailleur.fr [22]
> 
> Dolibarr (Project leader): http://www.dolibarr.org [23]
> To make a donation for Dolibarr project via Paypal:
> address@hidden [24]
> AWStats (Author) : http://awstats.sourceforge.net [25]
> To make a donation for AWStats project via Paypal:
> address@hidden [26]
> AWBot (Author) : http://awbot.sourceforge.net [27]
> CVSChangeLogBuilder (Author) : http://cvschangelogb.sourceforge.net
> [28]
> 
> Cordialement,
> -- 
> Régis Houssin
> ---------------------------------------------------------
> Cap-Networks
> Cidex 1130
> 34, route de Gigny
> 71240 MARNAY
> FRANCE
> VoIP: +33 1 83 62 40 03 [29]
> GSM: +33 6 33 02 07 97 [30]
> Web: http://www.cap-networks.com/ [31]
> Email: address@hidden [32]
> 
> Dolibarr developer: address@hidden [33]
> Web Portal: http://www.dolibarr.fr/ [34]
> SaaS offers: http://www.dolibox.fr/ [35]
> Shop: http://www.dolistore.com/ [36]
> Development platform: https://doliforge.org/ [37]
> ---------------------------------------------------------
> 
> Cordialement,
> -- 
> Régis Houssin
> ---------------------------------------------------------
> Cap-Networks
> Cidex 1130
> 34, route de Gigny
> 71240 MARNAY
> FRANCE
> VoIP: +33 1 83 62 40 03
> GSM: +33 6 33 02 07 97
> Web: http://www.cap-networks.com/ [38]
> Email: address@hidden [39]
> 
> Dolibarr developer: address@hidden [40]
> Web Portal: http://www.dolibarr.fr/ [41]
> SaaS offers: http://www.dolibox.fr/ [42]
> Shop: http://www.dolistore.com/ [43]
> Development platform: https://doliforge.org/ [44]
> ---------------------------------------------------------
> 
> Cordialement,
> -- 
> Régis Houssin
> ---------------------------------------------------------
> Cap-Networks
> Cidex 1130
> 34, route de Gigny
> 71240 MARNAY
> FRANCE
> VoIP: +33 1 83 62 40 03
> GSM: +33 6 33 02 07 97
> Web: http://www.cap-networks.com/ [45]
> Email: address@hidden [46]
> 
> Dolibarr developer: address@hidden [47]
> Web Portal: http://www.dolibarr.fr/ [48]
> SaaS offers: http://www.dolibox.fr/ [49]
> Shop: http://www.dolistore.com/ [50]
> Development platform: https://doliforge.org/ [51]
> ---------------------------------------------------------
> 
> Cordialement,
reply via email to
[Prev in Thread] Current Thread [Next in Thread]