Discussion :

[smyley]

S'il faut tout exécuter en admin, ce n'est pas un progrès.

Ce n'est pas ce que j'ai dit.
Si par exemple on a besoin de farfouiller pendant un moment dans les dossiers de Windows à supprimer à la main et modifier des trucs, alors on peut utiliser une instance élevée de l'explorateur pour le faire. (Je le fais). Mais dès que c'est fini, on la ferme et il n'est plus élevé.
Question sécurité, aucun programme non élevé ne pourra accéder à cette instance élevée d'explorer, donc ça limite les possibilités frauduleuses.

La simple suppression de fichiers nécessitant une élévation est tout de même très pénible pour une même instance d'explorateur (x demandes).

ça dépend de l'endroit où est le fichier. S'il est dans les dossiers perso de l'utilisateur ou sur un autre disque, il n'y a pas de demande. S'il est dans program files ou windows, ou C:, alors il y a une demande. Mais du coup, pourquoi supprimer ce fichier et que faisait-il dans un endroit protégé ? (moi c'est spécial, je programme un installeur ...).

je regrette par exemple qu'en faisant 2 modifications à partir du bureau à 5 s d'intervalle, le système ne soit pas suffisamment évolué pour ne pas redemander de mot de passe (parfois lors de l'exécution de la même application)

Et donc offrir une opportunité pour un Virus de profiter de cette fenêtre "d'acceptation de l'OS" pour faire ce qu'il veux ? ce serai très clairement une faille de sécurité. A l'heure actuelle l'UAC est limité par process et par composant COM. Un Processus élevé le reste jusqu'à la fin de son exécution et tout ce qu'il exécute est élevé. Microsoft à aussi prévu la possibilité d'exécuter un composant COM Out-Of-Proc de manière élevé pour les tâches administratives au sein d'une application. Question : combien d'applications utilisent l'un ou l'autre des systèmes pour alléger l'utilisateur ?

je ne serais pas si catégorique. L'UAC est tout de même très rudimentaire : par exemple lors d'une installation de logiciel qui fait appel à des utilitaires systèmes (appels qui pourraient certes être invoqués via les API en interne), on a bien souvent x demandes UAC.

L'installeur est mal programmé
J'ai fait un installeur (DreamShield) et il suffit d'avoir un exécutable principal élevé (avec le manifest Vista). Une fois ceci fait et durant toute la procédure d'installation/désinstallation, tous les processus/utilitaires/actions effectuées par ce processus seront exécutés avec le jeton complet des droits d'administrateurs et il n'y a donc de demande d'élévation que pour l'exécution du Setup.exe. Tout le reste se déroule "comme sur XP". Si un installeur demande x élévation pendant l'installation, c'est vraiment qu'il y a un problème quelque part ...

[nprovost]

oui smyley je suis globalement d'accord, mais je pense toutefois que l'UAC pourrait être plus intelligent. Ce que je veux dire c'est qu'il y a la théorie et la pratique. Et un mécanisme qui n'envisage pas un minimum de cas qui se produisent en réalité n'est pas pour moi un système abouti.

Ce n'est pas parce que des programmes ne se désinstallent pas et qu'il faut les enlever à la main, qu'il faut demander 46 fois le mot de passe dans la même instance d'explorateur, presque au même endroit, dans "Program Files". Ou alors c'est que Microsoft n'est vraiment pas sûr de ses logiciels

Plus exactement, j'attends qu'on puisse configurer ce comportement plus finement : je vais d'ailleurs voir ce que cela donne dans Windows 7.

[smyley]

Ce n'est pas parce que des programmes ne se désinstallent pas et qu'il faut les enlever à la main, qu'il faut demander 46 fois le mot de passe dans la même instance d'explorateur, presque au même endroit, dans "Program Files". Ou alors c'est que Microsoft n'est vraiment pas sûr de ses logiciels

D'où l'utilité de lancer une instance d'explorer.exe élevée. Je pense que question sécurité ce serai trop dangereux de permettre à un processus de s'élever en cours d'exécution car on pourrai alors imaginer un code malveillant qui s'exécuterai en droit d'admin et injecterai du code dans tous les programmes sans droits d'admin (ça c'est possible) et lorsqu'un des programmes serait élevé (ie. explorer.exe) il aurai alors le contrôle totale. Le cas du processus explorer.exe est peut être encore plus terrible à gérer car c'est un processus assez particulier dans Windows ...
Après, pouvoir configurer plus finement l'UAC en effet ça peut être intéressant, mais de là à détester Vista à cause de l'UAC ou le désactiver pour être tranquille comme beaucoup le font, j'ai des doutes

[nprovost]

ce serai trop dangereux de permettre à un processus de s'élever en cours d'exécution

oui peut-être mais je doute un peu s'il y a une faille de toute façon, un jour ou l'autre...

pourquoi ne pas laisser le choix à l'utilisateur s'il veut maintenir l'élévation (pour une durée précise par exemple) plutôt que de l'inciter à désactiver UAC, ce que je ne conseille pas non plus ?

pour moi c'est vraiment un point noir de Vista (et une erreur stratégique vis-à-vis du grand public) qui en version pro me semble plutôt agréable et fiable

[smyley]

pourquoi ne pas laisser le choix à l'utilisateur s'il veut maintenir l'élévation (pour une durée précise par exemple)

Ce serai créer une faille. C'est comme désactiver l'antivirus pendant 10 mn par exemple pendant l'installation d'un truc. C'est sur qu'on est tranquille, mais il faut savoir ce que l'on fait et le grand publique est connu pour toujours savoir exactement ce qu'il fait n'est-ce pas ?
C'est pas un manque chronique de confiance en l'utilisateur, mais un utilisateur lambda peut très facilement faire n'importe quoi : quand on ne connais pas vraiment une technologie il y a un fossé entre ce que l'on veux faire, ce que l'on croie faire, ce que l'on fait, et ce qui est véritablement fait ...

[nprovost]

il faut savoir ce que l'on fait et le grand publique est connu pour toujours savoir exactement ce qu'il fait

Alors dans ce cas il fallait réserver ce fonctionnement à la version "Home" et permettre des réglages plus fins dans la version "Pro" !

Je maintiens que pour l'exemple de l'explorateur, avec un antivirus installé, si un virus peut prendre le contrôle du process, alors c'est que de toute façon on est déjà mal parti, UAC ou non !

Autre exemple quand on fait Ordinateur>Gérer : pourquoi l'UAC ne laisse pas la consultation en lecture seule et ne demande pas un mot de passe uniquement lors des modifs ?

[smyley]

Alors dans ce cas il fallait réserver ce fonctionnement à la version "Home" et permettre des réglages plus fins dans la version "Pro" !

Bah à priori dans Seven les réglages seront disponibles pour tous.

Je maintiens que pour l'exemple de l'explorateur, avec un antivirus installé, si un virus peut prendre le contrôle du process, alors c'est que de toute façon on est déjà mal parti, UAC ou non !

C'est pas parce qu'il y a un antivirus qu'on doit se dire "ah cool, y'a un antivirus alors plus besoin de faire attention à quoique ce soit". Avec l'UAC aucun processus non élevé ne peux communiquer directement avec un processus élevé, ce qui empêche une technique dont les virus sont friands qui consiste à injecter du code dans un autre exe pour se faire passer pour quelqu'un d'autre.

Autre exemple quand on fait Ordinateur>Gérer : pourquoi l'UAC ne laisse pas la consultation en lecture seule et ne demande pas un mot de passe uniquement lors des modifs ?

Comme regedit, on peut pas consulter le registre en lecture seule. C'est vrai qu'il aurai peut être été utile d'avoir un mode lecture seule pour certains utilitaires mais sur ce point je sais pas trop pourquoi c'est cette décision qui a été prise.

[Louis Griffont]

Ce qui aurait été sympa c'est la possibilité de faire (comme avec la plupart des parefeu) des règles concernant la mise à jour de soft. C'est assez énervant de devoir "accepter" chaque mise à jour de son AntiVirus.

[smyley]

Ce qui aurait été sympa c'est la possibilité de faire (comme avec la plupart des parefeu) des règles concernant la mise à jour de soft. C'est assez énervant de devoir "accepter" chaque mise à jour de son AntiVirus.

C'est ton antivirus qui est pourri, avec le mien il ne se signale que lorsque je télécharge un truc douteux

[Louis Griffont]

Je vois pas ce qu'il y a de pourri à dire "Salut, j'installe une mise à jour de la base de données des virus" ou "He mec ! Une nouvelle version est disponible, je l'installe".

Avec XP, je ne fais pratiquement pas attention à ces messages, mais avec Vista, il faut que je clique pour que Windows accepte la mise à jour de mon AV. C'est nul. Encore, si j'avais un bouton me disant "ne plus demander pour ce programme", mais non rien ! Ce système d'UAC est peut-être une bonne idée à la base, mais très mal foutu et pas du tout pensé "user friendly".

[nicroman]

Mon antivirus me demande rien, pas d'UAC... queud
Il met ses fichiers au bon endroit aussi.

L'UAC est *absoluement* nécessaire pour tous les utilisateurs lambda qui ne savent même pas ce qu'est un compte utilisateur (je vous rapelle que dans Vista Home, les mots de passe ne sont pas obligatoire, et qu'il suffit de cliquer sur son icone au démarage !!)

L'UAC est complètement énervant pour les utilisateurs 'avancés' (et encore, j'en connais qui sont assez c...ins pour se donner des droits administrateurs).
[par exemple cette discussion récente: http://www.developpez.net/forums/d78...il-temporaire/ "mon compte utilasateur qui est aussi mon compte adminitrateur" on comprend pourquoi l'UAC est né]

Et comme il est désactivable pour ceux que ca genent vraiment....

[smyley]

Basiquement l'antivirus fait sa vie et nous aussi. Tant qu'il se met à jour que ce soit une fois par jour ou une fois par mois on s'en fiche. Après ça dépend de comment les mises à jour sont implémentées. Avec Norton il y a un service qui tourne en tache de fond avec les droits d'admin qui fait tout donc il n'y a pas de demande d'élévation. Avec ton antivirus pourri () ça doit être une exécutable dédié à la mise à jour lancé à partir d'un processus non élevé et là UAC. Donc pour un programme c'est tout à faire possible de faire un service élevé pour faire les tâches administratives sans intervention de l'utilisateur.

Et puis, une màj c'est la modification des executables et tout et tout, mais si tu fais un bouton "ne plus demander pour cet exe" et que l'exe est mis à jour, tu fais quoi ?
- Soit tu retourne à l'UAC vu qu'il a été modifié et donc retour à la case départ
- Soit tu acceptes et là c'est une faille de sécurité car un virus pourrai modifier l'exe et Windows le lancerai alors comme si de rien était ...

[Louis Griffont]

L'UAC ne sert à rien, et je le prouve !

Que fait l'UAC ? Il demande à l'utilisateur son accord pour qu'un programme ou service s'exécute avec des droits plus élevés que ceux de l'utilisateur.

Que font les utilisateurs ? La première fois, ils sont un peu perdus. Ils ont peur et finalement, ne sachant pas quoi ils acceptent. Deux secondes plus tard, a nouveau, la même question (peut-être que le nom à changer, ou pas...) de toutes façons, c'est trop tard. L'utilisateur à lu une fois (et ne lira plus), il acceptera sans lire, et râlera de cette #@+=#! fenêtre qui apparait tout le temps (même si c'est une fois par mois) et qui ne sert à rien.

Exemple : Un programme qui imprime un journal des ventes, AVANT écriture finale dans les fichiers. A la fin de l'impression, un message demandant de : "Vérifiez les écritures, et si tout est bon, cliquez sur <OK> pour valider les écritures, sinon cliquez sur <Retour> pour les corriger." L'impression prenant quelques temps ce message apparait AVANT la fin des impressions.
Résultat, pendant un certain temps, on attend la fin de l'impression, on regarde les écritures, on vérifie puis on valide. Puis petit à petit on regarde moins, puis moins puis plus du tout. On valide dés qu'on peut et.... le jour ou il y a une erreur on râle, on crie, on pleure... Dans tous les cas, c'est comme ça !

Avant une suppression, on met une demande de confirmation, mais personne ne s'en occupe, etc.

Donc l'UAC ne sert pas plus que ça. C'est juste un dédouanement de Microsoft vis à vis d'éventuelles failles de sécurité ! Juste pour dire ! "Ah Mais vous avez cliquer sur OK, c'est tant pis pour vous !"

Conclusion : Mon antivirus est bien et l'UAC est tout pourri !

[nprovost]

Il faut tout de même se rappeler que c'est Microsoft qui a modifié unilatéralement la gestion de la sécurité des comptes avec l'UAC depuis Vista, ce qui d'ailleurs a engendré la mauvaise réputation du système pour une grande part. Le système UAC ne fait que doubler le jeton de sécurité existant dans les systèmes précédents : on rajoute une couche

Difficile dans ces conditions de reprocher aux logiciels existants d'être mal conçus !

cd page sur le site de Microsoft avec petit schéma :

[smyley]

Difficile dans ces conditions de reprocher aux logiciels existants d'être mal conçus !

Donc pour toi il est tout à fait naturel qu'un programme enregistre ses données de configurations dans C:\Windows\ze-program.ini, tente de créer des fichiers temporaires dans C:\Windows\System32\undossierperso et finisse par enregistrer les données de l'utilisateur dans HKEY_LOCAL_MACHINE ?

Quand on a une application qui enregistre ses données dans C:\Users\Utilisateur, ou HKEY_CURRENT_USER et qui ne laisse dans Program Files que les programmes exécutifs, elle s'exécute sans avoir besoin de l'UAC et n'ouvre pas la porte à d'éventuels suppressions et écrasements involontaires.

C'est justement ce que je dit : l'UAC ne devrais servir qu'à effectuer certaines opérations qu'on fait normalement tous les 36 du mois cf. installation d'un nouveau logiciel et encore ... La sécurité c'est pas dire à l'utilisateur "et voilà, je vais te faire ch* en demandant à chaque fois ton autorisation", mais c'est plutôt pousser les éditeurs de logiciels à respecter un peut plus la sécurité en essayant d'éradiquer toutes les anciennes mauvaises pratiques (cf. le fichier .ini dans C:\Windows que j'ai déjà vu vraiment souvent ou les données d'utilisateur dans HKLM), offrir moins de surface d'attaque au virus (bien sur ça remplace pas un antivirus, mais il est beaucoup plus difficile d'écrire dans la mémoire d'un processus système sur Vista que sur XP ou 2000), et pousser l'utilisateur à réfléchir un peut plus à ce qu'il fait parce que plus de la moitié des utilisateurs répondent "Oui" à la question d'un site douteux qui dit "Voulez-vous installer un antivirus gratuit pour protéger votre ordinateur". Donc du coup, s'il ne sait pas ce qu'il fait et qu'il vois un message "Attention, ce programme risque d'endommager votre ordinateur. Vous êtes sur de vouloir continuer ?" il sera moins tenté de dire "Oui" à l'aveugle.

Après, la dernière fois que j'ai vu l'UAC c'était ce matin en installant un jeu, et avant ça c'était ... il y a 1 mois ... vu que moi j'ai pas un antivirus pourri qui demande une confirmation pour installer une mise à jour des définitions de virus

ça me fait penser que j'ai utilisé un programme hier qui voulais pas passer sur Vista mais qui a fonctionné dans ma machine virtuelle avec XP. Quand je regarde les forums c'est des trucs genre "Vista c'est pourri, retourne à XP". Je me suis quand même demandé pourquoi ça passait pas alors je l'ai décompilé et en regardant le code en asm, pourquoi ça marche pas sur Vista ? Parce que le programme tente de décrypter un fichier en utilisant comme dossier temporaire le dossier C:\Windows\Winsxs et de créer un dossier C:\Windows\repair pour y copier les fichiers .bat situés dans son dossier d'exécution afin de les exécuter à partir de ce nouvel emplacement en les décompressant au passage ... et donc ça marche sur XP. C'est vraiment si bien que ça ?

[nprovost]

il est tout à fait naturel qu'un programme enregistre ses données de configurations dans C:\Windows\ze-program.ini,...

non, mais j'ai beaucoup d'UAC quand même

la qualité de Vista n'est pas en cause : j'utilise un portable HP livré avec XP et Vista (pro) au choix ; eh bien il fonctionne nettement mieux avec Vista !

pour résumer mon sentiment, je trouve cela un peu brutal comme procédé de la part de Microsoft

un autre problème, c'est que je ne suis pas certain que l'utilisateur "lambda" comprenne bien ce qu'il se passe dans la machine lorsque un message UAC apparait soudain...

[smyley]

pour résumer mon sentiment, je trouve cela un peu brutal comme procédé de la part de Microsoft

En même temps, comment il fallait faire pour que les gens cessent de programmer comme des pieds sans aucun respect des guidelines pour des applications un peut plus sûres ?
Déjà sur XP ça fait des années que Microsoft avait réalisé que c'était une erreur d'avoir un seul compte par défaut en Administrateur et qu'une seule partition ... et je crois que c'est encore souvent le cas aujourd'hui pour les nouvelles machines XP. ça fait des années qu'on dit au gens que Windows c'est plus Windows 98 et ils continuent de mettre des .ini un peut n'importe où dans le système et de faire de l'injection pour n'importe quoi. Bah ils en ont eu marre et on décidé de changer les habitudes, tout en gardant un peut de flexibilité avec la virtualisation (qui est un vrai prodige ceci dit).

[Louis Griffont]

Oui, c'est bien...

En oubliant, évidemment que c'est Microsoft qui a incité les programmeurs à créer des .ini dans C:\Windows avec Windows 3 et qui a gardé cette pratique dans 95 et 98 et même XP !

C'est également Microsoft qui a conseillé au démarrage que les DLL d'un programme se placent en priorité dans C:\Windows\System (puis System32).

Bref, si, à l'origine Microsoft n'avait pas fait n'importe quoi, on n'en serait pas là. Mais c'est un autre débat.

Ce que je retiens avec le system UAC de Vista, c'est que trop de messages tue les messages. Et que les fausses alertes tuent les vraies. Les gens voient régulièrement des messages de Windows disant "Autorisez-vous ce programme à faire ceci ou cela ?" et ils n'ont pas le choix que de répondre "Oui". Alors le jour ou le système leur dira : "Un virus veut détruire votre disque dur, êtes-vous sûr ?", ils ne liront même pas le message, ils diront "Oui" comme ils ont appris à le faire à cause de l'UAC !

[smyley]

En oubliant, évidemment que c'est Microsoft qui a incité les programmeurs à créer des .ini dans C:\Windows avec Windows 3 et qui a gardé cette pratique dans 95 et 98 et même XP !

C'est également Microsoft qui a conseillé au démarrage que les DLL d'un programme se placent en priorité dans C:\Windows\System (puis System32).

Bref, si, à l'origine Microsoft n'avait pas fait n'importe quoi, on n'en serait pas là. Mais c'est un autre débat.

Faut pas raconter n'importe quoi. L'informatique est un truc qui évolue extrêmement rapidement. Les considérations que l'on avais avec 98 n'étaient pas du tout les mêmes que maintenant. C'est sur qu'avec la perspective de maintenant on peut dire que ce n'était pas une bonne idée mais en rabâcher encore avec un "C'est la faute à Microsoft", faut modérer ...

Sur Windows 98 et même si on remonte à Windows 3.1, pas de compte utilisateur, pas du tout le même environnement informatique que maintenant, les fichiers .ini étaient le standard avec le registre et tout le monde s'en servait. Maintenant le standard c'est les fichiers .xml et il faut éviter de surcharger le registre. C'est vrai qu'avant par exemple Microsoft conseillait d'utiliser le registre mais il y avait beaucoup moins de choses dans le registre sous Windows 3.1 que sur Windows Vista, il n'avait pas la même utilité et donc ce qu'on pouvais faire avec n'était pas dans la même optique.

Ce que je retiens avec le system UAC de Vista, c'est que trop de messages tue les messages. Et que les fausses alertes tuent les vraies. Les gens voient régulièrement des messages de Windows disant "Autorisez-vous ce programme à faire ceci ou cela ?" et ils n'ont pas le choix que de répondre "Oui". Alors le jour ou le système leur dira : "Un virus veut détruire votre disque dur, êtes-vous sûr ?", ils ne liront même pas le message, ils diront "Oui" comme ils ont appris à le faire à cause de l'UAC !

Bah c'est justement pour ça que les programmeurs devraient se bouger pour adapter le parc des applications disponibles à l'UAC. Avec un peut de bon sens, ce que l'UAC impose pour ne pas afficher de message n'est pas dénué de bon sens (c'est plutôt une bonne idée de stocker la configuration de l'utilisateur dans les dossiers de l'utilisateur). Et avec des bonne pratiques devraient justement réduire le nombre de messages de l'UAC vu qu'avec 1 message par mois on peut quand même espérer que l'utilisateur prenne la penne de ce demander pourquoi le fichier XYCrack.exe demande les droits d'utilisateurs pour fonctionner

[Louis Griffont]

Faut pas raconter n'importe quoi. L'informatique est un truc qui évolue extrêmement rapidement. Les considérations que l'on avais avec 98 n'étaient pas du tout les mêmes que maintenant. C'est sur qu'avec la perspective de maintenant on peut dire que ce n'était pas une bonne idée mais en rabâcher encore avec un "C'est la faute à Microsoft", faut modérer ...

Sur Windows 98 et même si on remonte à Windows 3.1, pas de compte utilisateur, pas du tout le même environnement informatique que maintenant, les fichiers .ini étaient le standard avec le registre et tout le monde s'en servait. Maintenant le standard c'est les fichiers .xml et il faut éviter de surcharger le registre. C'est vrai qu'avant par exemple Microsoft conseillait d'utiliser le registre mais il y avait beaucoup moins de choses dans le registre sous Windows 3.1 que sur Windows Vista, il n'avait pas la même utilité et donc ce qu'on pouvais faire avec n'était pas dans la même optique.

Ben, faut réfléchir aussi ! Pourquoi devoir revoir tous ces softs à chaque changement de version d'OS ? Surtout pour un OS quasiment pas utilisé (Vista) !

Ensuite, il ne faut pas tout mélanger. Pour certains logiciels, je ne vois pas l'intérêt (et même le contraire d'un intérêt) à gérer différemment les utilisateurs. Exemple d'un Antivirus ou d'un PareFeu ! L'administrateur règle les paramètres, et ils doivent s'appliquer à tous les utilisateurs qui ne peuvent les modifier ! L'UAC ne permet donc pas ses pratiques.

Bah c'est justement pour ça que les programmeurs devraient se bouger pour adapter le parc des applications disponibles à l'UAC.

Ben voyons, et puis deux mois plus tard, Microsoft change a nouveau les règles et hop c'est reparti pour refaire tous les softs ! Ben, ça va faire avancer les choses, ça !

Avec un peut de bon sens, ce que l'UAC impose pour ne pas afficher de message n'est pas dénué de bon sens (c'est plutôt une bonne idée de stocker la configuration de l'utilisateur dans les dossiers de l'utilisateur). Et avec des bonne pratiques devraient justement réduire le nombre de messages de l'UAC vu qu'avec 1 message par mois on peut quand même espérer que l'utilisateur prenne la penne de ce demander pourquoi le fichier XYCrack.exe demande les droits d'utilisateurs pour fonctionner

En fait, ce que fait l'UAC c'est ce que fait tout bon parefeu mais en moins bien, en plus verbeux et en moins souple vis à vis des applis existantes !
C'est bien ce qui me semblait, c'est un gadget Microsoft, de la poudre aux yeux pour dire : "Regardez, maintenant Windows est sécurisé !"
Et visiblement, le piège à boby à fonctionner !