hello
 
je travaille avec pas mal de programmeurs et de graphistes a l'etranger et je ne connais rien au hacking
 
mais bon, est que je px douter du serieux d'une boite car ils se sont fais "hacker" leur site??
 
j'ai discuté avec des programmeurs avec qui je taff avant et ils m'ont dis, si y a des gars qui arrivent a rentrer sur leur reseau securisé, c'est que il y a un probleme au niveau des programmeurs dans la boite, car d'apres eux, tout bon webmaster international est au courant de ces choses et est préparé!
 
 
moi je n'en sais rien et je ne vx pas prendre partis en manquant d'infos, ce ne serais pas tres "juste" de ma part!
 
 
ps: je ne diffuserais aucune url  sur hfr car c'est souvent des sites avec un caractere gore  ou du meme genre avec qui je bosse, donc pas  de questions  a ce propos , car elles resteront sans reponses!!!!!
 
 
 

Ca dépend, disons que si c'est le hacker du dimanche qui est rentré oui ca fait pas très sérieux, en revanche si c'est des mecs connaissant leur sujet, faut vraiment s'appeller Microsoft, IBM et cie pour avoir réussi à tout sécuriser.

Si un webmaster se la pète en disant que ceux qui se sont fait hacker c'est des nusl, que lui jamais oh grand jamais il ne se fera hacker, alors là oui je doute de son sérieux.
 
C'est comme un nerdz qui affirme "jamais je n'aurai un virus moa, pas comme vous bande de cons".

 
Genre faut s'appeler Microsoft pour etre assez fort pour pas se faire hacker!!! mdr...
Tu sais que pour passport par exemple, qui est quand meme LE truc securise par nature, Microsoft avait quand meme reussi a programmer passport pour que si tu tapais une url sur ton browser du genre:
www.passport.net/[...]/psswdreset?login=kiki&mailto=GregTtr@moi.com
eh bien le password (psswd) de kiki etait remis a zero et un nouveau mot de passe etait envoye a GregTtr@moi.com.
(ce n'était pas exactement cela qu'il fallait taper; mais CT pas plus complique)
 
Avec ca, faut bien s'appeler Microsoft pour pas se faire hacker.
J'ai commence a faire du php il y a 2 mois et meme moi je sais comment on evite ca...
 
Ca faisait quand meme 200 millions de comptes hackables a volonte par n'importe qui, sans outil ni connaissance, juste en ayant regardé l'url qui apparaissait quand on resettait son propre mot de passe

La securite est bien souvent une histoire de cout, voiloir kke chose de nikel coute extremement chere en equipement (firewall, DMZ,...) mais aussi en personne kalife pour gerer tout ca.

 
En fait les gars auquels tu as parlé ont voulu se faire mousser, ou alors comme certains informaticiens ils pensent être les seuls à détenir la connaissance ...
 
Déja il faut savoir comment est hebergé le site, de plus en plus d'entreprises ne s'occupent plus de ceci par elle même, elles mettent ça entre les mains de prestataires.
Ensuite même dans le cas ou le site est hebergé par le prestataire, il y a plusieurs cas possibles, le serveur est administré par le prestataire, ou le serveur est administré par le client ... tout ça pour dire qu'on ne peut pas faire de généralités, un pirate pourra pénétrer le serveur à cause d'un service qui n'aura pas été mis à jour avec une version corrigé par exemple, ou alors à cause d'une erreur de conception du site en lui même qui a laissé des portes ouvertes.
 
Il y a tellement de choses possibles et tellement de personnes qui bossent dans les systèmes d'informations d'entreprises que parfois il est même difficile de savoir qui est responsable ( ça peut être plusieurs personnes ).
 
De plus la sécurité informatique est un domaine très large, et plutôt pointu, souvent dans les entreprises, les personnes qui s'occupent de la sécurité ne sont pas forcément au point car un véritable expert sécurité ça coûte cher ...

je pense qye ca depend de ce qu'il faut porteger, si c'est juste un portail commercial avec 4 visites a la semaine je ne pense pas que ca vaille le coup d'y mettre du tps et de l'argent pour securiser le truc
 
cela dit j'ai bosse dans une boite qui travaille dans la defense, et le reseau internet de l'entreprise n'avait aucune liaison physique vers l'exterieur, mm le courant qui alimantait le machine "interne" n'etait pas celui d'edf  

de toute façon, si on se met dans l'optique d'une équipe de hacker très compétents et très motivés dans leur projet de hacker tel site (ce qui au niveau des probabilités doit être très faibles), ben à mon avis y a rien qui résiste... (bon si ptet un site qui bloque absolument tout, mais ca devient gênant pour le consulter....)

Essaie donc de hacker microsoft.com    
Et oui ce genre de multinationales informatiques ont les moyens et les compétences pour avoir des sytèmes hyper sécurisés.

 
Euuuhhhh tu sais ce que c'est passport.net ?
 

Oui et    
Ca n'a rien à voir avec le site de la société Microsoft.com, c'est une service filé aux internautes.

 
bof. Si tu sers deux pauvres pages avec ton seul Apache sous un nux et rien d'autre, avec un IPtable pour s'en assurer, ben à part essayer de planter httpd à coup de DOS (et encore...) je vois pas trop comment s'y prendre.

 
Non, c'est juste le système d'identification des services microsoft.
 

 
Bah honnetement, vu ce qu'il y a dans ce service et ce qu'il est appelé à devenir, un trou dans ce truc est largement plus grave qu'un problème dans microsoft.com.

 
tu oublies le .44 sur la tempe de l'admin réseau  

 
cai pu du hacking ça

Le site de microsoft etant le plus gros au monde a mon avis c celui qui essuye le plus de tentative, donc a mon avis ils sont pas trop incompetant  

 
Tu as lu ce que j'ai ecrit? Je viens de te dire comment Microsoft avait pu etre hacke parce qu'ils ne savaient pas faire le moindre systeme secu en php.
Je viens de te décrire exactement un truc qui faisait que 200.000.000 de comptes utilisateurs stockés sur les serveurs microsoft avaient ete accessibles, jusqu'a ce qu'on les previenne et qu'ils changent, par n'importe qui qui a des yeux et sait lire une URL.
C'est pas Microsoft peut-etre qui fournit le service passport? Pas Microsoft qui héberge les comptes des utilisateurs? Quand tu tapais cette URL, tu te retrouvais pas sur le PC de qqn, mais bien chez Microsoft.
 
Quand au commentaire sur MSN, il y a aussi eu plein d'attaque sreussies dans le passé, y compris une ou deux totalement triviales.
Microsoft ne fait pas des services fiables, ils copient ce qu'ont fait les autres de facon nulle et en mettant beaucoup de moyen marketting. Et ensuite, ils corrigent au fur et a mesure que les problemes surviennent.
Ce n'est pas forcement mauvais, ca leur permet d'etre plus reactifs que s'ils prenaient le temps de faire un truc secu, mais en tout cas, il ne faut pas dire qu'ils ont les moyens et les ocmpetences de faire des trucs securisés.
 
Au fait, les serveurs de hotmail et msn sont sous Unix, mais C sans rapport avec le sujet

Apache n'etant pas sur a 100% il y a souvent un moyen, meme avec 2 pauvres pages

Je te rassure ms fait pas de php et le php est tres tres loin d'etre securisé

1 - souvent les sites sont meme pas fait par la boite elle meme
 
2 - souvent le serveur est administré par la societé d'hebergement
 
3 - les codeurs de la boites ont probablement jamais vu la couleur du code source du site, et encore moins la configuration du serveur sur lequel il est hebergé
 
4 - meme les plus grands site se font hacker : soit C une faille au niveau du code, donc la C de la faute du programmeur, soit au niveau des logiciels du serveur, la C soit une erreur de configuration, soit qu'il manque une mise a jours. cad qu'il faut verifier tous les jours si des failles ont eté decouvertes
 
5 -  un site n'as pas forcement besoin d'etre ultra protegé, si il sers juste a montrer 3 photo de l'entreprise, et qu'il contient aucune info confidenciel, pk depenser inutilement de l'argent pour le proteger

Faut deja faire la différence entre  
 
Securité du reseau (FW, création d'une DMZ etc...) --> responsabilité Admin réseau + editeur des produits de secu (faille dans un IOS cisco ...)
 
Sécurité du code logiciel (exemple le code même du PHP est il buggé et contient il une faille?) --> responsabilité codeur + Admin Site web (MAJ dès disponibilité)
 
Sécurité du dvppement (le Webmaster a t'il de bonnes connaissances sécu concernant le language sur lequel il travaille) --> responsabilité Webmaster

 
Non effectivement, ca devait etre de l'asp evidemment.
Et effectivement, le php a plein de failles de secu.
Mais au moins, tu peux ne pas programmer comme un cochon et ouvrir les portes toi-mem.
Je veux dire que faire un systeme ou entrer l'url ...:psswdreset?=login=toto&mailto=moi@moi n'est pas yune faille du php mais un trou dans le cerveau du programmeur.
Et il en allait de meme pour l'asp de microsoft sur passport.
Il y a une marge entre avoir une faille de secu dans un langage ou dans du code complexe et de laisser la porte grande ouverte en mettant un panneau (l'url) avec ecrit dessus "si vous voulez pirater les comptes de 200.000.000 d'utilisateurs, voici comment faire"

Le pb c que tu ne connai pas la totalité du programme, de plus c 1 programmeur chez ms, ca ne veux pas dire que chez ms c tous des glands.

D'accord mais bon compte tenu de tout ce qu'ils font comme pub autour de leux nouveaux systemes securisés faut admettre que cette erreur est grossière et j'espere qu'ils procedent a des contrôles de secu apres un dvppement... et je pense pas qu'il était seul a programmer ce truc ...

Faut donc croire que les webmasters de Yahoo, Microsoft, NASA... sont des blaireaux.    
Aucun système n'est 100% inviolable.

   
a par les grandes gueule et ceux qui n'y connaissent rien tout le monde est d'accord la dessus

 
Et malheureusement bcp ne le comprenne pas ...

C'est d'ailleurs un moyen de voir si le prestataire est sérieux : s'il t'annonce que la sécurité est garantie à 100%, il faut fuir en courant.    
Bien souvent, la faille est humaine, genre les MDP qui circulent par E-mail ou les MDP du style "toto" ou "test"...

 
En tant que prestataire, ce n'est pas aussi simple ...
Ne pas dire que la sécu est garantie  à 100% c'est prendre le risque de perdre un client, qui va peut être aller voir chez ceux qui lui garantissent cela; verbalement bien evidemment, car pour garantir cela sur un contrat il faut être fou

C'est une preuve d'honneteté.  
Si tu garantis à l'oral une sécurité absolue = au 1er crash, tu peux dire adieu à ton client et après qq années à ta réputation.

Le Truc c'est qu'il faut trouver le bon ton pour lui faire comprendre ca ...

 
Je le sais bien, et tout le monde le sait ...
Mais en ce moment le marché est vraiment tendu, les commerciaux sont prêts à t'assurer que n'importe quoi fonctionne du moment qu'ils pensent pouvoir décrocher le contrat, et j'ai vu ça de la part de prestataires très réputés

C'est de la stratégie à long terme. Je prèfère déployer mon énergie pour garder les clients, plutôt que pour en conquérir de nouveaux.
Ce genre de comportement explique aussi pourquoi les commerciaux ont une aussi mauvaise image.
 
Pour le ton à employer : il suffit de poser le postulat de départ "aucun système n'est infaillible, pas même ceux de Microsoft ou de la NASA. Ceux qui affirment le contraire sont des charlatans. Le truc, c'est de poser le maximum de sécurité, afin de compliquer le plus possible la tache des hackers (les gentils   ) ou des crasheurs (les méchants.   ), dans l'espoir qu'ils abandonnent."

merci pour vos points de vu