Flux RSS
108538 documents trouvés, affichage des résultats 24141 à 24150.
| < Les 10 documents précédents | Les 10 documents suivants > |
(15/06/2006 17:56:55)
Ajax, une nouvelle génération de virus multiplateformes
L'exécution de code JavaScript sur le poste client combiné aux transferts de données asynchrones sans confirmation ouvre assurément une brèche de sécurité. Le risque n'est pas tant sur le poste de travail, comme se plaît à le croire cet article alarmiste Ajax présente-t-il des risques ?. Après tout, le code JavaScript reste confiné dans sa sandbox, le risque n'est pas pire qu'avec une application JavaScript classique. Le danger concerne le serveur, et plus précisément les données qui transitent entre le client et le serveur. MySpace, site de réseau social et figure emblématique du Web 2.0, permet à un utilisateur d'ajouter dans son profile ses amis qui eux-mêmes peuvent s'ajouter les vôtres, et ainsi de suite. En octobre dernier, « Samy », un adolescent de 19 ans (rien à voir avec notre toulousain préféré) a eu l'idée d'exploiter la plate-forme Ajax pour se faire des amis. Après quelques bidouilles pour contourner le système de protection de MySpace contre l'exécution de code JavaScript, Samy a créé un code JavaScript sur sa page MySpace qui s'exécute automatiquement dès qu'un utilisateur visite son profile. Comme JavaScript permet d'exécuter des confirmations en tâche de fond, ce code rajoute Samy comme ami dans le profile du visiteur. Puis le code se duplique lui-même dans le profile du visiteur, de telle sorte que les visiteurs de ce profile exécutent le même code et le propagent de profiles en profiles. En moins de 20 heures d'activité, le ver avait créé 1 million d'amis à Samy. Quelques heures après, il écroulait le site MySpace. Depuis, Samy est grillé chez MySpace, mais il a publié sur son site I'm Popularle source de son programme maintenant inopérant et relate force détails de son « exploit ». Baptisé MySpace Worm ou Samy Worm, ce virus n'a causé finalement aucun dommage. Cette semaine, Yamanner, un nouveau ver utilisant une technique similaire, est apparu sur le webmail de Yahoo!, autre grande plate-forme Ajax. Contrairement aux autres vers se propageant par email, le code du script n'est plus attaché dans une pièce jointe qu'il faut ouvrir pour exécuter le code, mais il est embarqué dans le corps même du message HTML et s'exécute dès la prévisualisation du message. Il envoie alors le même mail à tous les contacts du carnet d'adresses qui eux-mêmes, en l'ouvrant, propageront le ver. Yamanner envoie également une copie des contacts sur un serveur externe non encore identifié, sans doute à des fins de spamming selon les experts en sécurité. Yahoo Mail a limité l'usage d'Ajax strictement aux interactions entre l'utilisateur et les serveurs de Yahoo, mais Yamanner a exploité une des rares fonctions JavaScript que Yahoo Mail n'avait pas blindées, la possibilité d'exécuter un JavaScript quand une image est uploadée à partir d'un message. Le ver a substitué son propre JavaScript quand le code de téléchargement de l'image s'est lancé. Ces deux exemples illustrent la possibilité d'exécuter un code JavaScript embarqué dans une page. Ce type de virus appelé Cross-Site Scripting (XSS pour les spécialistes) est en général utilisé pour voler des données et usurper des identités (phishing). Ce qu'il y a de nouveau, c'est que ces scripts exploitent l'asynchronicité d'Ajax pour s'exécuter en tâche de fond, sans confirmation. Si l'on peut aisément imaginer les domaines d'applications de tels scripts, les pirates se feront une joie de trouver des domaines auxquels vous n'aviez même pas pensés. Le danger peut aussi venir de l'intérieur. Un code Ajax mal contrôlé peut envoyer à son propre serveur des requêtes à l'infini, créant ainsi un auto déni de service. Les développeurs qui veulent se lancer dans Ajax devront au préalable identifier les risques qui peuvent tous être évités. L'application serveur doit s'assurer que les requêtes XmlHttpRequest qu'il reçoit proviennent bien de l'application Ajax déployée, en cryptant la session par exemple. Un pattern proxy pourra être utilisé pour les interactions AjAX avec des services externes. Pour détecter d'éventuelles failles de sécurité, il existe maintenant Sprajax, un outil Open Source édité par Denim Group (www.denimgroup.com/Sprajax/). Il est annoncé comme le premier scanner de sécurité web spécifiquement conçu pour détecter les failles de sécurité dans les applications AJAX. D'après les premiers retours d'expérience, cet outil n'est compatible qu'avec le framework Atlas et qu'il ne scanne pas dans les fichiers JavaScript les requêtes XmlHttpRequest. Selon Dietrich Kappe sur son blog, le marketing autour de ce produit est un peu exagéré, tout ce qu'il fait pourrait être écrit en Perl en quelques heures. Mais c'est un début, un projet à surveiller. (...)
(15/06/2006 18:12:35)Une pépinière d'ingénieurs en informatique de santé
Le centre universitaire Jean-François Champollion sur le site de Castres (Tarn) ouvre une formation d'ingénieurs en informatique spécialisée dans les systèmes d'information de santé à la rentrée prochaine. Cette formation sera proposée sur trois ans (de bac +3 à bac+5) en partenariat avec d'autres établissements, l'université Paul Sabatier (Toulouse 3), l'Ecole des Mines d'Albi-Carmaux (Enstimac), l'Institut National Polytechnique de Toulouse (INPT) et l'Institut National des Sciences Appliquées de Toulouse (Insa). Elle est centrée sur trois pôles thématiques : informatique et systèmes de communication, sciences humaines et sociales, ingénierie biomédicale, pratiques et usages médicaux. Elle vise à former des jeunes qui travailleront sur l'amélioration des systèmes d'enregistrement et de suivi des données et des informations biomédicales relatives aux patients et aux soins. Ils devront être capables de répondre aux problématiques d'interopérabilité et d'intégration des différents types de SI médicaux ainsi que des systèmes de télémédecine. (...)
(15/06/2006 18:12:22)L'Anif appelle à la mobilisation sur les questions d'emploi
Jeunisme, risque de chômage, compétences valorisées et hasbeen, etc, c'est sur ces questions que l'Anif (Association nationale des informaticiens de France) interpelle la communauté des informaticiens, qu'ils soient employés dans les SSII, les PME ou les grands groupes. Créée au début de l'année, elle invite cette population à la rejoindre afin de réunir des énergies et des fonds au service de son ambition : créer un lieu où les informaticiens puissent poser des questions directement et trouver des informations pour leur choix de carrière ainsi que des services avertis. « Si j'arrive à avoir plusieurs dizaines de milliers d'informaticiens qui cotisent à hauteur de 15 euros, cela permettra de proposer par exemple des bilans professionnels gratuits », explique clairement Michèle Havelka, vice-présidente de l'association. « Je souhaite aussi travailler la maturité dans le travail et sa valeur ajoutée pour aider les quadra et les quinqua au chômage à se mettre en valeur et ne pas baisser leurs prétentions salariales ». Une profession en perte de repère Ancienne DSI d'ECS et ex DGA de la SSII Unilog, Michèle Havelka est aujourd'hui à la tête d'un cabinet de conseil en Relations Humaines. Elle a eu à faire à de nombreuses personnes au chômage qui avait pourtant tous les attributs pour se replacer sur le marché de l'emploi. Ce constat l'a incité à chercher les moyens d'y répondre et au projet de créer une entité capable de faire de la prospective sur l'évolution des besoins en compétences en informatique. Elle estime en effet que la profession change et qu'il n'y a plus de carrière reine et toute tracée. Aujourd'hui, les gens vont et viennent au grès des opportunités et cela a des conséquences fâcheuses sur le recrutement. Le diplôme reprend de l'importance. Plus les carrières se diversifient, moins les recruteurs prennent de risques. Il faut donc pouvoir composer avec cela et trouver des nouveaux repères. Ce raisonnement vaut aussi pour les critères d'âge. « Certains clients demandent des trentenaires sur des postes de pilotage de système d'information. Pourtant, les erreurs qui pourraient être commises par ces managers trop peu expérimentés peuvent leur coûter encore plus cher qu'une embauche d'un profil de plus gros calibre », souligne-t-elle. Michèle Havelka estimer enfin que la France accuse certains retards technologiques qui ont des conséquences sur les compétences développées. Elle considère aussi que le risque de chômage sera grandissant avec la poussée à attendre de l'off-shore. Face à cela, elle invite la profession à se donner les moyens d'anticiper. (...)
(15/06/2006 18:13:14)Netscape.com se mue en un site d'actualités Web 2.0
Changement de cap pour Netscape.com. AOL, sa maison-mère, a décidé de le muer en un très tendance site d'actualité ("Social News") reposant sur les concepts des réseaux sociaux. A l'image par exemple de Scoopeo.com, et de son inspirateur, l'Américain Digg.com. Un portail de "Social News" permet aux internautes de publier, indexer, commenter et surtout voter pour la position du contenu. Lorsqu'il atteint un nombre de vote déterminé, le contenu apparaît sur la homepage du site. Netscape exploitera ce concept mais reprendra également celui des sites tels que del.icio.us dit de "Social Bookmarking", autorisant la publication d'URL de sites web ainsi que celui des réseaux sociaux, basé sur un modèle de partage de contenu et de communauté autour d'un thème. Huit employés à plein temps et quinze à temps partiel seront chargés de modérer et d'animer le site, affirme un responsable de Netscape.com. Espérant ainsi gagner en crédibilité aux yeux des internautes. Netscape.com est actuellement un portail d'agrégation contenu, à l'image de yahoo. Sa prochaine mouture est actuellement testée sur http://www.beta.netscape.com/ jusqu'au 1er juillet. (...)
(15/06/2006 12:20:38)Microsoft : 12 failles corrigées
12 failles d'un coup, le « patch Tuesday » est assez riche ce mois-ci. On y trouve notamment la correction relativement attendue d'un problème Jscript jugé critique et portant la référence MS 06-023, un trou de sécurité dans le RRAS (ce n'était pas arrivé depuis longtemps) immatriculé MS 06-025, encore un problème critique du coté du moteur graphique de Windows sous la référence MS 06-026, un bug majeur dans Windows Media Player étiqueté MS 06-024, un gouffre assez préoccupant sous Word 2000 à 2003 et Works 2000 à 2006 (sensibilité à un fichier Doc forgé, bulletin MS 06-027 ), une possibilité d'exploit à partir également un fichier forgé, mais interprété par Powerpoint cette fois ci -à remarquer que les éditions PC et Mac sont également sensibles à cette faille MS 06-028 ), et enfin, pour couronner le tout, une rustine « cumulative » amoureusement vulcanisée pour Internet Explorer et qui élimine 8 nouveaux risques allant du XSS au spoofing, en passant par le buffer overflow et heap overflow. Le bouchon I.E. porte le numéro MS06-021 et clôt la série des points « critiques » de cette nouvelle vague de correctifs. A coté de ça, une vulnérabilité SMB ou l'éventualité d'un exploit tirant parti d'une faille dans la couche TCP/IP paraissent presque bénignes. Le douzième et dernier bulletin - bug dans l'authentification RPC passe presque inaperçue, qualifiée de « modérée » par le Response Team de Redmond. Ce lot de bouche trou prouve que l'équipe sécurité de Microsoft est loin d'être inactive. Cependant, quelques unes de ces failles avaient fait l'objet de publications sur les ML sécurité, publications laissant clairement entendre que des exploits existaient. Une première vague de patch aurait probablement été la bienvenue il y a au moins 15 jours de cela. Il est important de noter que certaines instabilités, mêmes corrigées, risquent encore de faire parler d'elles dans les jours à venir. Ainsi, les allemands de SEC-Consult promettent la publication prochaine d'un exploit visant le client de messagerie Web OWA (lié à Exchange Server), si l'on en croit un message publié sur le Full Disclosure. Le code en question utilise une inconsistance liée à Jscript. Ce genre d'avertissement est à prendre au sérieux. Les administrateurs de messagerie, tout comme ceux chargés de la maintenance des SGBD, mettent, prudence oblige, un « certain temps » avant que de déployer les rustines...des rustines qui ne sont pas toujours inoffensives, particulièrement sous Exchange pourrait-on ajouter perfidement... et par expérience. Du coté des forums, cette giboulée de failles fait sortir les inventeurs du bois et du mutisme. Notamment chez iDefense, qui revendique la découverte de 4 trous, du coté du « zero day initiative », qui en brandit 2 -trous appartenant à la série « Internet Explorer »-. Cet après-patch-day est assez roboratif pour nous promettre de la lecture et de l'interprétation de code pendant au moins les deux semaines à venir. (...)
(15/06/2006 12:19:49)AOL démarre les tests d'une version pro d'AIM
AOL déclare avoir entamé les tests d'une version professionnelle d'AIM, son logiciel de messagerie instantanée grand public. Baptisée AIM Pro Professional Edition (PE), il se destine avant tout au marché des PME et des petites structures. Actuellement en béta publique librement téléchargeable, la version finale est prévue pour le troisième trimestre 2006. AIM Pro PE, développée en collaboration avec WeEX, embarquera des fonctionnalités de sécurité plus abouties que la version grand public, une interface dépourvue de publicité , ainsi que des outils de conférence en ligne et fonctions de VoIP, - non présentes dans la version béta-. AOL prévoit également d'y inclure un anti-virus. Elle pourra également s'interfacer à Outlook. Côté tarif, AOL indique que son application fonctionnera sur un modèle à l'abonnement, une fois la période de test terminée. Il est à noter qu'AOL développe également une version grand compte de son outil AIM Pro EIM (Entreprise Instant Messaging) qui inclut notamment des fonctions de gestion et d'administration de systèmes. Selon AOL, une béta devrait par ailleurs être disponible dès la semaine prochaine (...)
(15/06/2006 12:17:26)IBM verse son implémentation de WSDM dans le projet open source Muse
Après avoir contribué au standard WSDM à la fondation Eclipse, IBM annonce se tourner vers le projet Muse hébergé par la fondation Apache. Et annonce y livrer ses propres implémentations du standard, Common Event Base framework for WSDM, supporté par plus de 30 produits chez Big Blue (notamment Tivoli, DB2, les outils de développement Rational et Virtualization Engine) WSDM est un standard qui définit la gestion des systèmes dans une architecture de services web. Big Blue explique qu'en livrant son code, il compte attirer des éditeurs vers sa technologies et aussi, éviter les dédoublements de développements reposant sur la standard, notamment chez HP ou CA. (...)
(15/06/2006 12:21:10)AOL France officieusement en vente
Time Warner cherche à vendre les activités européennes d'AOL, dont la filiale française, indiquent nos confrères des Echos. Alors que trois candidats seraient intéressés par la branche britannique - BskyB, British Telecom, voire Orange - le quotidien économique indique qu'un nombre identique de dossiers auraient été déposés pour la filiale française. Les trois prétendants seraient Neuf Cegetel, Free et Deutsche Telekom, via Club Internet. Chacun de ces trois acquéreurs potentiels aurait intérêt à mettre la main sur les 500 000 abonnés d'AOL, une opération estimée à 250 M€. Club Internet atteindrait ainsi le million de clients, pourrait sortir du ventre mou des FAI et se rapprocher des premiers concurrents à Orange. En récupérant un demi-million d'abonnés, Neuf Cegetel talonnerait Free et lui disputerait la place de premier opérateur alternatif avec environ 1,8 million d'abonnés. Enfin, Free écraserait un peu plus la concurrence et serait seul derrière Orange avec près de 2,3 millions de clients. (...)
(15/06/2006 08:59:02)CA rachète MDY et ses solutions de gestion d'enregistrements
CA a complété son offre d'administration du stockage et de gestion de l'information avec le rachat hier de MDY Group International, un spécialiste de la gestion d'enregistrements (records Management). Le logiciel FileSurf de MDY automatise la gestion des courriers entrants dans l'entreprise qu'ils soient physiques ou électroniques et permet aux entreprises de respecter leurs obligations légales e termes de conservation de données. FileSurf devrait permettre à CA de compléter son offre actuelle de gestion et d'archivage des e-mails, basée sur les produits acquis lors du rachat d'iLumin en Octobre dernier. CA entend intégrer les produits de MDY avec Message Manager d'iLumin pour offrir une solution complète de gestion d'enregistrements. (...)
(15/06/2006 08:57:44)IBM ajoute le support du 10 Gbps à ses châssis lames
IBM vient de présenter un nouveau module de liaison montante pour ses châssis lame supportant les connexions 10 Gbps Ethernet, le Nortel 10G Uplink Ethernet Switch Module for BladeCenter. Selon Big Blue, ce module développé par la spin-off de Nortel, Blade Network Technologies, doit permettre de répondre aux besoins de bande passante des applications temps réel et critiques, ainsi qu'aux nouvelles applications de télévision sur IP et de vidéo à la demande. Ce module est adapté aux châssis BladeCenter, BladeCenter H et BladeCenter T. Il est immédiatement disponible à partir de 4 999 $. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |