Film X

Sujet: Film X 10/28/2010, 20:53

Lancer X11 et ouvrir une fenêtre xterm.
Taper :

Code:: xwd -display 127.0.0.1:0 -name xterm -silent -out ~/Desktop/xterm.xpm

Ouvrir le fichier xterm.xpm sur le bureau (avec GraphicConverter par exemple).
Voilà une copy d'écran de la fenêtre xterm.
Si vous avez un autre Mac, essayez en indiquant son adresse à la place de 127.0.0.1
Vous pouvez ainsi capturer discrètement ce que fait quelqu'un d'autre sur son écran.

Aux réglages du firewall près.

La même commande est utilisable vis-à-vis d'un PC exécutant Exceed ou Xmanager.
S'il est mal configuré, la commande

Code:: xwd -display 127.0.0.1:0 -root -silent -out ~/Desktop/pc.xpm

copie carrément l'écran complet (Bureau Windows, menus, tout).

C'est faisable depuis un Linux aussi. Vers un Linux, ça dépend sans doute de la distribution : il y a des réglages possibles de X11 pour interdire la manip.

_______________
[Winckler] [ePhotos]

Sujet: Re: Film X 10/29/2010, 04:01

Code:: unable to open display '127.0.0.1:0'

C'est tout ce que j'arrive à en tirer, que ce soit sur mac en x11 ou dans un terminal dans linux.

_______________
J’étais né pour rester jeune et j’ai eu l'avantage de m’en apercevoir le jour où j’ai cessé de l'être.
Épitaphe de Georges Moinaux, dit Courteline

Sujet: Re: Film X 10/29/2010, 14:44

Pas mieux.

En plus, y'a tout ce qu'il faut dans OS X pour faire cela sans s'emmerder avec le XTerm. Ça s'appelle le partage d'écran.

_______________
Art. 10. Nul ne doit être inquiété pour ses opinions, même religieuses, pourvu que leur manifestation ne trouble pas l'ordre public établi par la Loi.
Art. 11. La libre communication des pensées et des opinions est un des droits les plus précieux de l'Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l'abus de cette liberté dans les cas déterminés par la Loi.
Art. 12. La garantie des droits de l'Homme et du Citoyen nécessite une force publique : cette force est donc instituée pour l'avantage de tous, et non pour l'utilité particulière de ceux auxquels elle est confiée.

Sujet: Re: Film X 10/29/2010, 17:31

Doubleyou a écrit:: Pas mieux.

En plus, y'a tout ce qu'il faut dans OS X pour faire cela sans s'emmerder avec le XTerm. Ça s'appelle le partage d'écran.

Oui, mais c'est pas le but du post.
C'est pour montrer un risque potentiel (essentiellement pour ceux qui utilisent un serveur X en entreprise ou derrière un modem ou sur un point d'accès WiFi public).

_______________
[Winckler] [ePhotos]

Sujet: Re: Film X 10/29/2010, 18:26

Le risque me semble avoir pour origine de ne pas savoir ce qu'on fait au juste.

Le mec ou la gonzesse (soyons pas sexiste) qui laisse les portes ouvertes prend aussi un risque de voir défiler chez lui des voleurs de portables (surtout s'il travail dans un organe de presse hostile à la politique de notre leader, lumière des magyars).

Un serveur X, tu connais, tu sais, ou tu ne touches pas.

WiFi public, c'est comme les filles du même épithète.

_______________
Art. 10. Nul ne doit être inquiété pour ses opinions, même religieuses, pourvu que leur manifestation ne trouble pas l'ordre public établi par la Loi.
Art. 11. La libre communication des pensées et des opinions est un des droits les plus précieux de l'Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l'abus de cette liberté dans les cas déterminés par la Loi.
Art. 12. La garantie des droits de l'Homme et du Citoyen nécessite une force publique : cette force est donc instituée pour l'avantage de tous, et non pour l'utilité particulière de ceux auxquels elle est confiée.

Sujet: Re: Film X 10/29/2010, 20:56

Doubleyou a écrit:: WiFi public, c'est comme les filles du même épithète.

Pffff.… j'aurais dit vécés.… et tu dis que t'es pas sexiste ? Hein !?

Sujet: Re: Film X 10/30/2010, 06:31

Oui, c’est comme ça que je l’avais compris, s’il est possible se recopier l’écran de cette façon à distance alors que rien n’a été explicitement autorisé c’est bien un problème de sécurité. Reste à savoir si c’est accessible même de l’extérieur du réseau local.
Déjà j’aimerai faire fonctionner ça mais ça ne veut rien savoir. Tu es vraiment sûr de ta ligne de commande ? J’en ai fit un copier/coller sur le mac et le pc et j’ai eu le même message d’erreur.

_______________
J’étais né pour rester jeune et j’ai eu l'avantage de m’en apercevoir le jour où j’ai cessé de l'être.
Épitaphe de Georges Moinaux, dit Courteline

Sujet: Re: Film X 10/30/2010, 10:27

Fixons les conditions initiales :
- je lance le Terminal sur mon Mac
- je n'ai pas encore lancé X11, donc pas de fenêtre xterm
Si j'envoie la commande

Code:: xwd -display 127.0.0.1:0 -name xterm -silent -out ~/Desktop/xterm.xpm

j'obtiens bien le message xwd: unable to open display '127.0.0.1:0'.

Maintenant, je lance X11 et ouvre, si ça ne se fait pas tout seul au lancement, une fenêtre xterm et je retape la commande indiquée. Là, le fichier xterm.xpm apparaît sur le bureau.

Je peux voir la différence d'ouverture en faisant un Port Scan avec l'Utilitaire de réseau sur l'adresse 127.0.0.1 :

Code:: X11 off
Port Scanning host: 127.0.0.1

Open TCP Port: 88    kerberos
Open TCP Port: 631    ipp
Open TCP Port: 3689    daap
Port Scan a terminé…

X11 on
Port Scanning host: 127.0.0.1

Open TCP Port: 88    kerberos
Open TCP Port: 631    ipp
Open TCP Port: 3689    daap
Open TCP Port: 6000
Port Scan a terminé…

Le port 6000 est le port d'écoute par défaut de X-window.

Maintenant, passons à la phase sur vrai réseau.

Parce que l'adresse 127.0.0.1 est l'adresse dite de loopback. Cette adresse permet de faire fonctionner en local des applis prévues pour fonctionner en réseau (comme X-window en l'occurrence). Selon les implémentations, l'utilisation de cette adresse met en branle des mécanismes plus ou moins bas dans les couches réseau standard. Sur le Mac, elle est mise en œuvre de façon à n'être pas gérée par le firewall et elle n'est semble-t-il pas vue non plus des outils comme Little Snitch.
C'est ce qui permet de verrouiller son poste sans voir d'effets indésirables en local.

En vrai réseau, donc.

Il y a bien des éléments qui peuvent faire échouer la commande.

D'abord, au niveau de X11 lui même
Les préférences de sécurité de X11 permettent de mettre en place un système d'authentification et d'autoriser ou non les connexions entrantes. Si on n'a pas usage d'un affichage sur un poste avec exécution sur un autre (le cas le plus courant, notamment quand on n'a qu'un seul ordinateur, évidemment), il suffit de désactiver la seconde case à cocher et on est à l'abri (y compris pour l'adresse 127.0.0.1). Si on a besoin de ce mode de fonctionnement, il vaut mieux activer l'authentification. Les autorisations sont gérées dans ~/.Xauthority
Problème, ça merde souvent si on est en DHCP (l'adresse réseau peut changer), ce qui conduit parfois à décocher cette option. Il vaut mieux passer alors son réseau en adressage fixe (pas uniquement une machine, mais toutes. Toutes celles en tout cas qui ont besoin d'afficher sur l'écran X).

Notons un bug de traduction dans X11 au niveau de cette option :

X11 Security Preferences a écrit:: Authentifier les connexions
Le lancement d'X11 créera des touches de contrôle d'accès Xauthority.

Les "touches" sont des "clés" (keys, dans les deux cas).

Ensuite au niveau système
Si au niveau firewall on bloque toutes les connexions entrantes, évidemment, on se protège. Mais ça ferme trop de choses.
On peut aussi ne pas autoriser automatiquement les logiciels signés à recevoir des connexions entrantes. Ainsi, au lancement de X11 (au premier lancement), le système nous demande si on autorise le logiciel à recevoir des connexions entrantes. Si on répond non, évidemment, on se protège.

Enfin au niveau réseau
Si on est derrière un routeur et qu'on n'a pas défini de serveur virtuel vers le port 6000 de la machine qui exécute X11, il n'y a pas moyen d'atteindre X11 depuis l'extérieur.
Mais c'est possible en local. Local au sens même réseau IP. C'est le cas sur un PA WiFi public, par exemple, ou sur son propre PA s'il est mal protégé.

Alors, quel est le problème ?
Tout dépend de ce qu'on fait de son ordinateur.
Je tenais simplement à signaler que X11 représente un risque dès qu'on l'utilise en réseau si on ne prend pas quelques précautions. Comme c'est un outil souvent utilisé (ne serait-ce que pour utiliser des solutions issues du monde Linux) et qu'une case est vite cochée, une petite vérification avec la commande xwd ne mange pas de pain.

_______________
[Winckler] [ePhotos]

Sujet: Re: Film X 10/30/2010, 12:25

J’avais ça, dans les préférences de X11 :
Film X Xterm10

Donc évidemment ça ne marchait pas. Je n’ai certainement rien touché à ça et je pense que c’était par défaut.
J’ai changé et immédiatement j’ai eu un fichier xpm sur mon bureau avec comme icône la mine réjouie du toutou de Gimp avec son pinceau dans la bouche. J’ai donc ouvert avec Gimp cette image blanche avec ma ligne de commande en haut, qui était donc l’image de la fenêtre de xterm.

Donc ça veut dire que par défaut ça va bien mais que si on bidouille les options il faut savoir ce qu’on fait. D’autre part ça veut dire aussi que sur Ubuntu c’est verrouillé aussi par défaut et ce n’est pas plus mal.

_______________
J’étais né pour rester jeune et j’ai eu l'avantage de m’en apercevoir le jour où j’ai cessé de l'être.
Épitaphe de Georges Moinaux, dit Courteline

Sujet: Re: Film X 10/30/2010, 15:17

Pomme-I a écrit:

Doubleyou a écrit:: WiFi public, c'est comme les filles du même épithète.

Pffff.… j'aurais dit vécés.… et tu dis que t'es pas sexiste ? Hein !?

Bah! Je préfère la chaleur humaine à la froideur des sanisettes Decaux. gna gna gna

_______________
Art. 10. Nul ne doit être inquiété pour ses opinions, même religieuses, pourvu que leur manifestation ne trouble pas l'ordre public établi par la Loi.
Art. 11. La libre communication des pensées et des opinions est un des droits les plus précieux de l'Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l'abus de cette liberté dans les cas déterminés par la Loi.
Art. 12. La garantie des droits de l'Homme et du Citoyen nécessite une force publique : cette force est donc instituée pour l'avantage de tous, et non pour l'utilité particulière de ceux auxquels elle est confiée.

Sujet: Re: Film X 10/30/2010, 16:43

hr a écrit:: Donc ça veut dire que par défaut ça va bien mais que si on bidouille les options il faut savoir ce qu’on fait. D’autre part ça veut dire aussi que sur Ubuntu c’est verrouillé aussi par défaut et ce n’est pas plus mal.

Oui, sans doute.
Mais on peut souhaiter utiliser X11 pour son usage d'origine, à savoir l'affichage déporté, même si, sur notre plateforme, c'est surtout un moyen de rewamper des applis Unix/Linux.
Dans ce cas, il vaut mieux prendre des précautions.

Re:

Si on utilise des outils tels qu'Exceed ou Xmanager sur PC, dans leur configuration d'origine, on a carrément accès à tout l'écran (en remplaçant -name xterm par -root)

_______________
[Winckler] [ePhotos]

Sujet: Re: Film X 6/20/2011, 16:05

Merci pour l'info

Sujet: Re: Film X 6/20/2011, 16:45

Your welcome.

Merci à vous également. Ça fait toujours plaisir de savoir qu'on a été utile.

A noter que depuis ce post de TG, j'ai durci ma politique vis-à-vis de X11 : je n'installe plus.

Selon le principe qu'un service inutilisé doit être désactivé, je me passe de ce terminal underground.

_______________
Art. 10. Nul ne doit être inquiété pour ses opinions, même religieuses, pourvu que leur manifestation ne trouble pas l'ordre public établi par la Loi.
Art. 11. La libre communication des pensées et des opinions est un des droits les plus précieux de l'Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l'abus de cette liberté dans les cas déterminés par la Loi.
Art. 12. La garantie des droits de l'Homme et du Citoyen nécessite une force publique : cette force est donc instituée pour l'avantage de tous, et non pour l'utilité particulière de ceux auxquels elle est confiée.