#26 Le 22/12/2008, à 15:10
- Adhémar
Re : A tous les utilisateurs de skype... apt-get remove --purge
Bon, tout d'abord, le fichier /etc/passwd ne contient pas d'infos véritablement confidentielles, contrairement à ce que son nom indique. D'ailleurs, les permissions par défaut ne trompent pas:
-rw-r--r-- 1 root root 1.6K 2008-12-04 12:11 /etc/passwd
Il peut être lu par tout le monde. Son petit frère d'à coté, /etc/shadow, est beaucoup plus sensible, et il possède évidement des permissions limitées et ne contient que des mdp cryptés. Il semblerait que skype aille chercher ton nom dans ce fichier, c'est tout.
Ensuite, si skype va dans les préférences de firefox, c'est en partie pour aller chercher les paramètres de proxy. Vous pouvez vous en convaincre en changeant les options de proxy pour mettre un proxy qui n'existe pas, et voir que skype ne réussira pas à se connecter.
Bref, on peut raisonnablement penser que skype ne fait pas grand chose de bien méchant, mais c'est intéressant comme débat, parce que cela montre un problème à tout les logiciels closed-source: on ne sait justement pas ce qu'ils font. Pour un logiciel open-source, si il y a un problème, il suffit à quelqu'un d'aller vérifier le code. Mais, pour un logiciel closed-source, c'est évidement impossible. Par exemple, la controverse sur le backdoor NSA dans windows aurait été fermée depuis longtemps si windows était open-source.
A+
Adh.
Dernière modification par Adhémar (Le 22/12/2008, à 15:18)
Hors ligne
#27 Le 22/12/2008, à 15:45
- Zergy
Re : A tous les utilisateurs de skype... apt-get remove --purge
J'ai utilisé Skype en entreprise du temps où j'étais en CDD, depuis, plus rien.
Je n'ai ni webcam ni micro, donc bon...
Et puis Skype ne gère pas GnuGP contrairement à Gajim.
Hors ligne
#28 Le 22/12/2008, à 15:49
- Grunt
Re : A tous les utilisateurs de skype... apt-get remove --purge
J'ai utilisé Skype en entreprise du temps où j'étais en CDD, depuis, plus rien.
Je n'ai ni webcam ni micro, donc bon...Et puis Skype ne gère pas GnuPG contrairement à Gajim.
Bouh, mais GnuPG c'est dépassé, en plus c'est interopérable, et ce n'est même pas basé sur la sécurité par l'obscurité, qui est le seul vrai moyen de garantir la confidentialité des données!
Petit chenapan, utilise plutôt Skype (c), qui chiffre les échanges en utilisant l'algorithme Skype (c), lequel n'est compris que par Skype (c) ! Avec ton GPG tout pas beau, ton interlocuteur risque de pouvoir lire tes données même s'il n'utilise pas Gajim, c'est une insécurité intolérable!
#29 Le 22/12/2008, à 16:09
- philpep-tlse
Re : A tous les utilisateurs de skype... apt-get remove --purge
Bon, tout d'abord, le fichier /etc/passwd ne contient pas d'infos véritablement confidentielles, contrairement à ce que son nom indique. D'ailleurs, les permissions par défaut ne trompent pas:
-rw-r--r-- 1 root root 1.6K 2008-12-04 12:11 /etc/passwd
Il peut être lu par tout le monde. Son petit frère d'à coté, /etc/shadow, est beaucoup plus sensible, et il possède évidement des permissions limitées et ne contient que des mdp cryptés. Il semblerait que skype aille chercher ton nom dans ce fichier, c'est tout.
Ensuite, si skype va dans les préférences de firefox, c'est en partie pour aller chercher les paramètres de proxy. Vous pouvez vous en convaincre en changeant les options de proxy pour mettre un proxy qui n'existe pas, et voir que skype ne réussira pas à se connecter.
...
Tu a tout a fait raison sur le premier point, j'allais justement le dire.
Pour qu'un logiciel puisse connaitre le login de l'utilisateur et son $HOME il y a deux manière (en C puisque c'est le langage que je connais)
1 - passer par les variables d'environnement (getenv("HOME") par exemple). Mais il y a un problème avec cette technique c'est que l'environnement peut être vide (ou pire ne pas exister). D'ailleurs on peut lancer un logiciel avec un environnement vide avec
env -i ./programme
et là getenv("HOME") == NULL
2 - Utiliser /etc/passwd avec la structure passwd Cf man pwd.h cette technique a l'avantage de toujours marcher sur tous les UNIX like... (J'utilise toujours cette technique personnellement)
Par contre sur le second point je suis très sceptique. Skype peut bien sûr chercher le proxy dans les préférences firefox mais vu comment il crypte les communication sortantes on peut se douter qu'il puisse envoyer des informations sensibles sur l'utilisateur...
Par ailleurs l'éditeur de Skype n'en est pas a son premier spyware puisque c'est eux qui on fait le logiciel Kaaza bien connus comme ayant plusieurs spyware dans son code...
N'empêche cette histoire m'a fait comprendre une chose très importante sur la sécurité : On pense souvent que la menace viendra d'une personne physique (autres utilisateurs du système, tentatives d'avoir un shell à distance etc), mais en fait elle vient aussi de nous même car les programmes malveillant tournent avec l'UID de l'utilisateur... Donc le chmod 700 (et les droits sur les fichiers) n'est pas une sécurité pour ce genre de choses...
EDIT : puis skype pourrait aussi bien tester les variable d'environnement pour le proxy car elle sont faites pour ça : HTTP_PROXY
Dernière modification par philpep-tlse (Le 22/12/2008, à 16:12)
le "lol" est aux boulets ce que le ";" est aux programmeurs
blog | Wiki Fvwm | Essayez le Window Manager From Scatch | Topic WMFS
Hors ligne
#30 Le 22/12/2008, à 17:06
- Dradge
Re : A tous les utilisateurs de skype... apt-get remove --purge
D'ailleurs je suis en train de me demander si il ne suffirait pas de faire tourner skype sous un utilisateur dédié. Vu les droits de .mozilla, ca devrais rouler.
Hors ligne
#31 Le 22/12/2008, à 17:14
- Grunt
Re : A tous les utilisateurs de skype... apt-get remove --purge
"J'ai invité un type chez moi. Il fouille de partout. D'un autre côté, je n'ose pas le renvoyer, car il sait se servir du téléphone, et j'ai la flemme d'apprendre à m'en servir. Je l'ai enfermé dans une pièce spéciale, où il n'a aucune info à mon sujet. De temps en temps je viens le voir pour lui demander d'appeller les gens auxquels j'ai besoin de parler. Je ne suis qu'à moitié satisfait, car rien ne me dit qu'il n'en profite pas pour appeller d'autres personnes à mon insu, et je ne sais absolument pas ce qu'il leur raconte.. Mais non, pour rien au monde je n'apprendrai à utiliser moi-même mon téléphone, c'est trop compliqué.."
Sans déconner, au lieu de chrooter et chmoder dans tous les sens, c'est pas plus simple de configurer Ekiga?
#32 Le 22/12/2008, à 17:35
- Dradge
Re : A tous les utilisateurs de skype... apt-get remove --purge
Configurer ekiga et convaincre tous mes interlocuteurs de migrer sous le protocole SIP.
Hors ligne
#33 Le 22/12/2008, à 17:47
- Grunt
Re : A tous les utilisateurs de skype... apt-get remove --purge
Tes interlocuteurs doivent être sacrément calés en info: ils t'ont "convaincu" d'utiliser Skype!
#34 Le 22/12/2008, à 17:56
- Grunt
Re : A tous les utilisateurs de skype... apt-get remove --purge
On risque de repartir sur un troll du genre "WLM vs Jabber", donc se reporter à la discussion en question pour toute volonté trollesque, ça évitera de réciter de nouveaux les mêmes arguments.
Avec comme différences le fait que Skype ne fonctionne qu'avec Skype (pas de logiciel libre, comme pour MSN), et (il semblerait) une certaine difficulté à utiliser autre chose que Skype (pas aussi simple qu'un client Jabber).
t'as essayé Mumble? Parait qu'il est user friendly
#35 Le 22/12/2008, à 18:03
- Dradge
Re : A tous les utilisateurs de skype... apt-get remove --purge
A l'époque ou j'ai rejoint skype, je ne connaissait pas ce genre de pratiques faites par l'éditeur du logiciel, je tournais même sous windows ! Maintenant quand tu as les bonnes informations dans les mains, tu peux évaluer correctement la situation et agir en conséquence.
Sinon pour mumble, oui j'ai essayé, mais ca ne convient pas à l'utilisation que j'ai de la VoIP
Hors ligne
#36 Le 22/12/2008, à 19:54
- ꙳♒⏅⚓ ЅаίԼίՈԶ ⚓⏅♒꙳
Re : A tous les utilisateurs de skype... apt-get remove --purge
Sans déconner, au lieu de chrooter et chmoder dans tous les sens, c'est pas plus simple de configurer Ekiga?
Tu as raison, évidemment mais je suis sous Hardy Heron et Ekiga, il marche pas... J'ai demandé au GUL local, personne n'a réussi à faire fonctionner ce LL. Ils attendaient tous la version 3 avec plein d'espoir sous Ibex. Est-il présent et utilisable ?
Quoi ? Tu travailles sous GNU/LInux ? Ba, ça va te passer... quand il existera quelque chose de mieux... et ce ne sera pas windows, à moins que ce devienne libre et bien programmé.
mon petit blog de débutant
Hors ligne
#37 Le 22/12/2008, à 20:32
- LoseMagnet
Re : A tous les utilisateurs de skype... apt-get remove --purge
Ils attendaient tous la version 3 avec plein d'espoir sous Ibex. Est-il présent et utilisable ?
Testé qvec succès :
- Ekiga 2.0.12 sous Mandriva 2009
- Ekiga 2.0.12 sous Debian Lenny
- Ekiga 2.0.12 sous Ubuntu 8.10
- Ekiga 3 sous Ubuntu 8.10 (backport par dépot séparé)
Ça fonctionne bien chez moi dans tous ces contextes, mieux que Skype qui ne gère pas ma webcam
Hors ligne
#38 Le 22/12/2008, à 21:09
- Dradge
Re : A tous les utilisateurs de skype... apt-get remove --purge
Et bien chez moi c'est le contraire, skype fonctionne beaucoup mieux que Ekiga qui m'a juste bousillé ma configuration audio et mes tympans par la même occasion... Bref je chmode et reste sur skype pour le moment.
Hors ligne
#39 Le 22/12/2008, à 22:05
- philpep-tlse
Re : A tous les utilisateurs de skype... apt-get remove --purge
Et bien chez moi c'est le contraire, skype fonctionne beaucoup mieux que Ekiga qui m'a juste bousillé ma configuration audio et mes tympans par la même occasion... Bref je chmode et reste sur skype pour le moment.
Chmoder ne résoudra rien puisque skype tourne sous ton UID
A part si tu fait :
chmod -R 000 .mozilla
Mais dans ce cas firefox ne marchera plus
Dernière modification par philpep-tlse (Le 22/12/2008, à 22:05)
le "lol" est aux boulets ce que le ";" est aux programmeurs
blog | Wiki Fvwm | Essayez le Window Manager From Scatch | Topic WMFS
Hors ligne
#40 Le 22/12/2008, à 22:27
- brakbabord
Re : A tous les utilisateurs de skype... apt-get remove --purge
C'est vrai que sur les ordinateurs dont la configuration de la carte son est délicate (ce qui est mon cas), Skype est ce qui marche le mieux.
J'avais essayé openwengo, et impossible d'avoir un son correct, encore pire si j'avais déjà de la musique qui tournait derrière. Avec Skype, aucun problème.
Enfin perso j'en ai pas l'utilité, et si il fallait je ferai tourner Ekiga ou OpenWengo sur Windows (plus simple à installer et ça marche mieux).
Hors ligne
#41 Le 22/12/2008, à 23:22
- Dradge
Re : A tous les utilisateurs de skype... apt-get remove --purge
Dradge a écrit :Et bien chez moi c'est le contraire, skype fonctionne beaucoup mieux que Ekiga qui m'a juste bousillé ma configuration audio et mes tympans par la même occasion... Bref je chmode et reste sur skype pour le moment.
Chmoder ne résoudra rien puisque skype tourne sous ton UID
A part si tu fait :
chmod -R 000 .mozillaMais dans ce cas firefox ne marchera plus
Je comptais aussi le faire tourner sous un autre utilisateur et chmoder mes fichiers personnels correctements (=pas de droits de lecture pour others)
Hors ligne
#42 Le 22/12/2008, à 23:44
- Grunt
Re : A tous les utilisateurs de skype... apt-get remove --purge
Tant qu'à faire, fais le tourner dans une machine virtuelle
#43 Le 23/12/2008, à 00:07
- Dradge
Re : A tous les utilisateurs de skype... apt-get remove --purge
><
Hors ligne
#44 Le 23/12/2008, à 01:12
- LoseMagnet
Re : A tous les utilisateurs de skype... apt-get remove --purge
Je comptais aussi le faire tourner sous un autre utilisateur et chmoder mes fichiers personnels correctements (=pas de droits de lecture pour others)
Je crois que SeLinux et AppArmor servent justement à ça : limiter les accès d'une application à l'interieur d'un même espace utilisateur
Hors ligne
#45 Le 11/05/2009, à 11:02
- StraTJmortel
Re : A tous les utilisateurs de skype... apt-get remove --purge
Changer le répertoire de Firefox ne serait pas une solution efficace?
Hors ligne