Mouai je suis de l'avis de Laurent. Attention à ces pseudo scanner de vulnérabilités.
Ces scanners n'ont aucun intérêt si la faille n'est pas réellement identifié et localisé dans le code. Sans compter les faux positif nombreux dans ce genre de cas. C'est toute la différence entre un scanner et un audit d'un vrai consultant.
ET quand je lis le forum, j'aurais pu vous le dire également d'avance sans avoir cet exemple.
Il ne faut pas tomber dans leur proposition. Je ne cautionnerais jamais le chantage de ce genre, vous tombez dans un vrai piège à touriste.
Maxime
quelques exemples de projets ayant fait cette démarche
http://thelia.net/blog/article/scanner-de-vulnerabilites?archives=2012-07-5
http://www.phplist.com/?lid=579
Le 06/09/12 15:33, Régis Houssin a
écrit :
je tiens à préciser qu'entre awstats et dolibarr il y a fossé,
voir un canyon en terme de données confidentiels
je préfère avoir 1 failles corrects sur 56 que de me faire pirater
toutes les instances de mes clients.
et si une société se propose de le faire pour un peu de pub, je
n'y voit aucun inconvénient.
en ce qui concerne la bannière, il n'y a aucun impératif, c'est
moi qui ai proposé ce logo, mais chacun est libre de mettre la
taille qu'il veut, voir même juste un lien texte.
je vais les contacter et leur proposer un lien ou une bannière sur
dolibarr.fr, dolibarr.org et doliforge jusqu'à la sortie
officielle de la 3.3
et juste un petit mot et un lien dans l'article de sortie de la
3.2.2 après corrections.
ensuite nous verrons plus tard suivant la gravité des failles si
on reconduit l'opération.
on est ok là desssus ?
Le 06/09/12 13:15, Destailleur
Laurent a écrit :
Il faut aussi voir si on peut se contenter d'un
texte link plutot que banniere visuel qui est intrusif.
Il faut donc aussi clarifier la taille de la banniere :
Pour moi un text link en footer, ce serait ok.
Une banniere de 800x600 en plein milieu, c'est non.
Le 6 septembre 2012 13:12,
Destailleur Laurent <address@hidden>
a écrit :
Qu'est-ce
qui nous empêche de mettre la banniere recevoir les 56
ano et l'enlever en disant que maintenant qu'on a a plus
besoin. Il faut je pense d'abord clarifier ce délai. Car
hors de question de garder à vie une bannière d'un truc
qui n'a rien a faire la. D'autant que si cette société
trouve 56 ano, des tas d'autres en trouveront d'autre
ailleurs. Je recois 10 propositions de ce genre par mois
sur awstats. On finira en fin de mois avec 120 bannieres
si on les prends toutes. Et pourquoi prendre ces 56 anos
la et pas les autres (car ce ne sont pas les memes qui
sont reportées).
Pour les sites portails, qui sont autonomes, on ne
peut pas non plus l'imposer, les sites portails locaux
étant autonomes.
Donc, mieux vaut d'abord recadrer la propale :
A) En définissant une durée (par exemple 4 mois
après chaque version dont on a reçu le retour
d'analyse exhaustif, ainsi c'est du temps plein si on
fait une version par mois, et si un jour on est plus
content ou on a plus de retour, on sait quand
enlever).
B) En limitant aux sites non autonomes (donc dolibarr.org, doliforge) et pour
les sites portails localisés, uniquement les sites
volontaires mais sans garantie, les communautés
étrangères devant garder leur autonomie et
indépendance.
Je reçois une dizaine de propal de ce genre sur
AWStats chaque mois. 95% des failles remontées n'en
sont pas, mais les sociétés (sans dire que celle la
fait la meme chose) pratiquent une politique de
chantage pour améliorer la backlink de référencement
(c'est l'expérience AWStats qui parle): La technique,
je fais copain-copain avec le projet, mene un accord
bidon pour avoir des reflinks. Ensuite, je déclare
quelques anos de secu sur les service internationnaux.
Puis j'augmente la cadence, et j'en déclare de plus en
plus, des faux non avérés pour augmenter cette cadence
et la je demande encore des echanges (plus de lien,
mieux placé, banniere plus grosse), voir certains de
l'argent directement. Avec le message "Si vous prenez
mes services, j'arrete de remonter des ano, meme si
les bugs ne sont pas avérés".
Donc attention, à d'abord clarifier l'accord car un
jour ou l'autre, il faudra la supprimer la bannière et
nous aurons plus a perdre qu'a gagner, meme si ce
n'est pas le cas au début.
Si c'est toi qui a contacté, il y a moins de chance
que cela arrive, mais peux-tu quand meme faire
clarifier ces 2 points évoqués (A et B)?
Le 6 septembre 2012 12:04,
Régis Houssin <address@hidden>
a écrit :
faut
laisser la bannière autant de temps qu'ils
vérifieront les sources
une hotline est aussi à notre disposition.
on a bien assez de boulot comme ça pour
s'amuser à trouver les outils qu'ils
utilisent !
ils le font gratuitement en échange d'une
bannière, c'est pas la mère à boire :-)
Le 06/09/12 11:10, Laurent Destailleur
(eldy) a écrit :
Cordialement,
--
Régis Houssin
---------------------------------------------------------
Cap-Networks
Cidex 1130
34, route de Gigny
71240 MARNAY
FRANCE
VoIP: +33 1 83 62 40 03
GSM: +33 6 33 02 07 97
Web: http://www.cap-networks.com/
Email: address@hidden
Dolibarr developer: address@hidden
Web Portal: http://www.dolibarr.fr/
SaaS offers: http://www.dolibox.fr/
Shop: http://www.dolistore.com/
Development platform: https://doliforge.org/
---------------------------------------------------------
Cordialement,
--
Régis Houssin
---------------------------------------------------------
Cap-Networks
Cidex 1130
34, route de Gigny
71240 MARNAY
FRANCE
VoIP: +33 1 83 62 40 03
GSM: +33 6 33 02 07 97
Web: http://www.cap-networks.com/
Email: address@hidden
Dolibarr developer: address@hidden
Web Portal: http://www.dolibarr.fr/
SaaS offers: http://www.dolibox.fr/
Shop: http://www.dolistore.com/
Development platform: https://doliforge.org/
---------------------------------------------------------
|