WebLog de Stéphane PAPP [MSFT]

Journal sur le web de Stéphane PAPP sur l'administration de systèmes.

bug contre faille, soyez pro-actifs !

Blog - About

A propos du WebLog de Stéphane PAPP [MSFT]

Après près de 10 ans de conseil dans l'équipe française de Microsoft Consulting Services (MCS), j'ai rejoint l'équipe européenne de Customer Service and Support (CSS) comme ingénieur conseil grands comptes. Mon rôle consiste à délivrer du conseil proactif et réactif sur les logiciels de la gamme System Center (ConfigMgr et OpsMgr, principalement).
Je délivre de l'expertise technique associée aux méthodologies ITIL/MOF sous la forme d'atelier de type vérification de l'état de santé, évaluation des risques, revues de supportabilité, cours magistraux.
Si vous êtes intéressés pour avoir un contact Microsoft dédié pour des ressources techniques, travailler avec vous sur des projets, délivrer une formation ou un transfert d’expertise et vous aider à résoudre vos problèmes, le PFE dédié est fait pour vous. Pour en savoir plus, contactez votre responsable technique de compte ou interlocuteur habituel chez Microsoft.

bug contre faille, soyez pro-actifs !

  • Comments 0

Si l'on compare le nombre de correctifs de sécurité publiés par Microsoft avec celui des articles de la base de connaissances, le score est sans appel ! Ce n'est pas parce que, dans une grande majorité des cas, les correctifs ne sont pas déployés qu'il ne faut pas les ignorer. La bonne démarche est d'éviter de devoir les déployer par des mesures pro-actives.

Le déploiement de correctifs de sécurité répond à une démarche de type "assurance tranquillité". Cette tranquillité s'achète également, pour ce qui concerne les bugs, en évitant de ce trouver dans une situation inhabituelle ; en utilisant les logiciels dans des cadres les plus classiques qui soient.

Prenons, presque au hasard, un correctif récent, le premier de la liste des corrections apportées par le service pack 1 de Windows Vista, le 843289 :

En anglais, Proxy server settings are not set correctly in Internet Explorer after you download a proxy script that uses chunk encoding

En traduction automatique : Des paramètres Serveur proxy ne sont pas configurés correctement dans Internet Explorer après avoir téléchargé un script de proxy qui utilise un codage segment.

Après une petite recherche sur ce que représente ce "chunk encoding", une petite explication s'impose : lorsqu'un client connaît par avance la taille totale des données qu'il désire envoyer, il utilise l'entête Content-Length du protocole HTTP pour spécifier cette taille, puis envoie les données. Dans certains cas, le client ne connaît pas la taille totale, et utilise alors un "chunk encoding". Pour cela, la taille est spécifiée pour chaque fragment de données.

Pour revenir à ma démonstration, ce type de bug est du type de ce que je décris parfois comme "sautez à cloche pied trois fois autour de la maison et la trappe s'ouvrira!". Les conditions pour rencontrer ce problème pourraient aisément être évitées, soit par l'utilisation d'un script simple, soit par l'évaluation de sa taille de manière à éviter ce fameux "chunk encoding". Ce n'est pas parce que c'est autorisé qu'il faut l'utiliser.

Plus les conditions d'utilisation des logiciels sont spécifiques et plus vous risquez de tomber dans une situation qui n'a jamais été testée. Pour reprendre le thème de la standardisation qui m'est cher, rester standard, c'est l'assurance d'éviter les problèmes.

Leave a Comment
  • Please add 5 and 1 and type the answer here:
  • Post