dolibarr-foundation-board | |
[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [Dolibarr-foundation-board] failles de sécurit és
From: |
jean.heimburger |
Subject: |
Re: [Dolibarr-foundation-board] failles de sécurit és |
Date: |
Thu, 06 Sep 2012 17:22:02 +0200 |
User-agent: |
RoundCube Webmail/0.4 |
Je suis ok avec ça.
Jean
On Thu, 06 Sep 2012 15:33:23 +0200, Régis Houssin
<address@hidden> wrote:
> * je tiens à préciser qu'entre awstats et dolibarr il y a
> fossé, voir un canyon en terme de données confidentiels
> je préfère avoir 1 failles corrects sur 56 que de me faire pirater
> toutes les instances de mes clients.
> et si une société se propose de le faire pour un peu de pub, je
> n'y voit aucun inconvénient.
>
> en ce qui concerne la bannière, il n'y a aucun impératif, c'est
> moi qui ai proposé ce logo, mais chacun est libre de mettre la taille
> qu'il veut, voir même juste un lien texte.
>
> je vais les contacter et leur proposer un lien ou une bannière sur
> dolibarr.fr, dolibarr.org et doliforge jusqu'à la sortie officielle
> de la 3.3
> et juste un petit mot et un lien dans l'article de sortie de la
> 3.2.2 après corrections.
>
> ensuite nous verrons plus tard suivant la gravité des failles si on
> reconduit l'opération.
>
> on est ok là desssus ?
>
> Le 06/09/12 13:15, Destailleur Laurent a écrit :
> Il faut aussi voir si on peut se contenter d'un texte link plutot
> que banniere visuel qui est intrusif.
> Il faut donc aussi clarifier la taille de la banniere :
> Pour moi un text link en footer, ce serait ok.
> Une banniere de 800x600 en plein milieu, c'est non.
>
> Le 6 septembre 2012 13:12, Destailleur Laurent a écrit :
> Qu'est-ce qui nous empêche de mettre la banniere recevoir les 56
> ano et l'enlever en disant que maintenant qu'on a a plus besoin. Il
> faut je pense d'abord clarifier ce délai. Car hors de question de
> garder à vie une bannière d'un truc qui n'a rien a faire la.
> D'autant que si cette société trouve 56 ano, des tas d'autres en
> trouveront d'autre ailleurs. Je recois 10 propositions de ce genre par
> mois sur awstats. On finira en fin de mois avec 120 bannieres si on
> les prends toutes. Et pourquoi prendre ces 56 anos la et pas les
> autres (car ce ne sont pas les memes qui sont reportées).
> Pour les sites portails, qui sont autonomes, on ne peut pas non plus
> l'imposer, les sites portails locaux étant autonomes.
> Donc, mieux vaut d'abord recadrer la propale :
> A) En définissant une durée (par exemple 4 mois après chaque
> version dont on a reçu le retour d'analyse exhaustif, ainsi c'est du
> temps plein si on fait une version par mois, et si un jour on est plus
> content ou on a plus de retour, on sait quand enlever).
> B) En limitant aux sites non autonomes (donc dolibarr.org [2],
> doliforge) et pour les sites portails localisés, uniquement les sites
> volontaires mais sans garantie, les communautés étrangères devant
> garder leur autonomie et indépendance.
>
> Je reçois une dizaine de propal de ce genre sur AWStats chaque mois.
> 95% des failles remontées n'en sont pas, mais les sociétés (sans
> dire que celle la fait la meme chose) pratiquent une politique de
> chantage pour améliorer la backlink de référencement (c'est
> l'expérience AWStats qui parle): La technique, je fais copain-copain
> avec le projet, mene un accord bidon pour avoir des reflinks. Ensuite,
> je déclare quelques anos de secu sur les service internationnaux.
> Puis j'augmente la cadence, et j'en déclare de plus en plus, des faux
> non avérés pour augmenter cette cadence et la je demande encore des
> echanges (plus de lien, mieux placé, banniere plus grosse), voir
> certains de l'argent directement. Avec le message "Si vous prenez mes
> services, j'arrete de remonter des ano, meme si les bugs ne sont pas
> avérés".
> Donc attention, à d'abord clarifier l'accord car un jour ou l'autre,
> il faudra la supprimer la bannière et nous aurons plus a perdre qu'a
> gagner, meme si ce n'est pas le cas au début.
>
> Si c'est toi qui a contacté, il y a moins de chance que cela arrive,
> mais peux-tu quand meme faire clarifier ces 2 points évoqués (A et
> B)?
>
> Le 6 septembre 2012 12:04, Régis Houssin a écrit :
>
> faut laisser la bannière autant de temps qu'ils vérifieront les
> sources
> une hotline est aussi à notre disposition.
>
> on a bien assez de boulot comme ça pour s'amuser à trouver les
> outils qu'ils utilisent !
> ils le font gratuitement en échange d'une bannière, c'est pas la
> mère à boire :-)
>
> Le 06/09/12 11:10, Laurent Destailleur (eldy) a écrit :
>
> Le 06/09/2012 10:31, Régis Houssin a écrit :
> J'ai contacté cette société
>
> https://www.httpcs.com/ [4]
>
> ils ont testé Dolibarr 3.2.1 et ont découvert plus de 56
> (+2.800€) vulnérabilités.
> ils consentent à nous donner la liste si en échange nous mettons
> un lien vers leur site
> Les failles seront divulguées sur leur site une fois que nous
> aurons corrigé.
>
> j'ai créé une petite bannière avec leur logo (fichier joint)
>
> est-ce que c'est ok pour tout le monde ?
>
> Pour moi, on a pas besoin d'eux, si on lance les meme outils qu'eux
> (et nul ne doute qu'ils utilisent des outils opensource), on trouvera
> les meme. Par contre, faut prendre le temps de le faire.
>
> Combien de temps faut-il laisser la bannière ?
>
> Cordialement,
> --
> Régis Houssin
> ---------------------------------------------------------
> Cap-Networks
> Cidex 1130
> 34, route de Gigny
> 71240 MARNAY
> FRANCE
> VoIP: +33 1 83 62 40 03 [5]
> GSM: +33 6 33 02 07 97 [6]
> Web: http://www.cap-networks.com/ [7]
> Email: address@hidden [8]
>
> Dolibarr developer: address@hidden [9]
> Web Portal: http://www.dolibarr.fr/ [10]
> SaaS offers: http://www.dolibox.fr/ [11]
> Shop: http://www.dolistore.com/ [12]
> Development platform: https://doliforge.org/ [13]
> ---------------------------------------------------------
>
> --
> Eldy (Laurent Destailleur).
>
> EMail: address@hidden [14]
> Web: http://www.destailleur.fr [15]
>
> Dolibarr (Project leader): http://www.dolibarr.org [16]
> To make a donation for Dolibarr project via Paypal:
> address@hidden [17]
> AWStats (Author) : http://awstats.sourceforge.net [18]
> To make a donation for AWStats project via Paypal:
> address@hidden [19]
> AWBot (Author) : http://awbot.sourceforge.net [20]
> CVSChangeLogBuilder (Author) : http://cvschangelogb.sourceforge.net
> [21]
>
> Cordialement,
> --
> Régis Houssin
> ---------------------------------------------------------
> Cap-Networks
> Cidex 1130
> 34, route de Gigny
> 71240 MARNAY
> FRANCE
> VoIP: +33 1 83 62 40 03 [22]
> GSM: +33 6 33 02 07 97 [23]
> Web: http://www.cap-networks.com/ [24]
> Email: address@hidden [25]
>
> Dolibarr developer: address@hidden [26]
> Web Portal: http://www.dolibarr.fr/ [27]
> SaaS offers: http://www.dolibox.fr/ [28]
> Shop: http://www.dolistore.com/ [29]
> Development platform: https://doliforge.org/ [30]
> ---------------------------------------------------------
>
> Cordialement,
- Re: [Dolibarr-foundation-board] failles de sécurités, (continued)
- Re: [Dolibarr-foundation-board] failles de sécurités, Destailleur Laurent, 2012/09/06
- Re: [Dolibarr-foundation-board] failles de sécurités, Régis Houssin, 2012/09/06
- Re: [Dolibarr-foundation-board] failles de sécurités, Régis Houssin, 2012/09/06
- Re: [Dolibarr-foundation-board] failles de sécurités, Maxime Longuet, 2012/09/06
- Re: [Dolibarr-foundation-board] failles de sécurités, Régis Houssin, 2012/09/07
- Re: [Dolibarr-foundation-board] failles de sécurités, Maxime Longuet, 2012/09/07
- Re: [Dolibarr-foundation-board] failles de sécurit és, jean.heimburger, 2012/09/07
- Re: [Dolibarr-foundation-board] failles de sécurités, Régis Houssin, 2012/09/07
- Re: [Dolibarr-foundation-board] failles de sécurités, Philippe GRAND, 2012/09/07
- Re: [Dolibarr-foundation-board] failles de sécurités, Destailleur Laurent, 2012/09/06
- Re: [Dolibarr-foundation-board] failles de sécurit és,
jean.heimburger <=
Re: [Dolibarr-foundation-board] failles de sécurités, Maxime Longuet, 2012/09/06