Nouvelle faille de sécurité OS X ? [MàJ]
69adsl a trouvé une faille de sécurité dans la 10.2.4.
Si nous l'exposons, c'est qu'elle nécessite une manipulation physique de la machine pour se concrétiser.
Considérez donc qu'elle va permettre à certains de s'en protèger.
Une découverte surprenante cet aprem pour moi alors que j’étais en ligne avec Apple Care pour un problème de UID récalcitrant...
Voici une petite manip très simple a faire, mais qui ne respecte pas les règles de sécurité...
Dans system preference faire “file sharing” et activer “FTP”
Dans system preference créer un nouveau profil utilisateur, en lui supprimant tous les droits (admin, changer mot de passe, utilisation des applis, etc...”
A partir d’une autre machine lancer une connexion FTP sur la première machine, en se loguant avec l’ID et le pass du nouvel utilisateur tout juste créé...
Super on a accès aux éléments de ce profil... !
Si on cherche un peu plus loin que voit-on... ? Les autres comptes, y compris les comptes “admin”.
Allons voir ça de plus prêt... Oh des fichiers et des applis ! Mais on peut les récupérer !
Donc méfiez vous de ça avant que des malintentionnés ne puisse l'utiliser !
[MàJ] Merci à tous ceux qui ont réagi. voici le message de Jean-Luc.
Je pense qu'il ne s'agit pas d'un problème de sécurité mais du comportement normal de ftp. Le problème apparent est en fait dû à l'attribution des droits de lecture/écriture/exécution par défaut. C'est le cas pour tous les systèmes unixoïdes que je connais.
Pour lutter contre, il faut soit utiliser un serveur ftp 'chrooté', qui ne permettrait d'accèder qu'au répertoire /Users/.