+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Coriolan
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2016
    Messages
    414
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Maroc

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2016
    Messages : 414
    Points : 10 136
    Points
    10 136

    Par défaut Gmail : il ne sera plus possible d'envoyer des fichiers JavaScript par email

    Gmail : il ne sera plus possible d'envoyer des fichiers JavaScript par email
    Pour des raisons de sécurité

    Google a annoncé que les fichiers JavaScript (.js) ne pourront plus être attachés aux messages envoyés par Gmail. Pour des raisons de sécurité, ces scripts ne pourront plus être envoyés en tant que pièces jointes, Google recommande désormais aux utilisateurs habitués à cette pratique de passer à d’autres services pour les partager.

    Cette mesure va entrer en vigueur à partir du 13 février prochain et fait partie des derniers efforts du géant de la recherche pour contrecarrer la montée en puissance des attaques informatiques et les pièges conçus pour faire tomber des victimes en recourant aux pièces jointes, comme les attaques d’hameçonnage et différents genres de messages de spam. « Gmail restreint actuellement certains types de fichiers (.exe, .msc et .bat) pour des raisons de sécurité et à partir du 13 février 2017, nous n’autoriserons plus les pièces jointes contenant des fichiers .js. Comme pour les autres fichiers prohibés, vous ne pourrez plus attacher un fichier .js, au lieu de cela, vous verrez un message d’alerte expliquant le motif de ce choix par l’éditeur », a expliqué Google dans un billet de blog.

    Pour ceux qui sont habitués à partager des fichiers .js par email, Google recommande de passer à Google Drive, Google Cloud Storage ou d’autres solutions de stockage permettant de partager et envoyer des fichiers.

    Nom : gmail-alert.JPG
Affichages : 5811
Taille : 34,3 Ko
    Aperçu du message d'alerte de Gmail

    Les autres types de fichiers qui ne peuvent pas être envoyés sur Gmail incluent : .ADE, .ADP, .BAT, .CHM, .CMD, .COM, .CPL, .EXE, .HTA, .INS, .ISP, .JAR, .JSE, .LIB, .LNK, .MDE, .MSC, .MSP, .MST, .PIF, .SCR, .SCT, .SHB, .SYS, .VB, .VBE, .VBS, .VXD, .WSC, .WSF, .WSH. Gmail peut même scanner les versions compressées de ces fichiers dans des archives .ZIP et .RAR afin de bloquer leur envoi. Le service de messagerie bloque également les fichiers et les archives protégés par mot de passe qui peuvent être utilisés pour mener des attaques malicieuses sur les victimes.

    La plupart de ces fichiers ont un point commun, ils sont exécutables. Pour cette raison, ils peuvent être exploités par les pirates informatiques pour mener des attaques sur leurs cibles et les infecter. Les fichiers .js sont particulièrement dangereux puisqu’ils permettent d’exécuter automatiquement le Windows Scripting Host (WSH), un logiciel permettant d’exécuter des scripts directement sur le système d’exploitation Windows.

    Il faut savoir que des cas de ransomwares se propageant par fichiers .js ont été détectés par le passé. Des rapports indiquent que les cybercriminels recourent de plus en plus à l’email pour infecter les victimes, malgré les campagnes de sensibilisation. Des fichiers Word aux fichiers .js bien cachés dans des archives .zip, ces techniques permettent aux pirates informatiques d’extorquer des milliards de dollars aux victimes.

    Source : blog G Suite

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    GoldenEye : un ransomware qui se propage à l'aide de demandes d'emploi et cible les services de ressources humaines

  2. #2
    Modérateur
    Avatar de Gugelhupf
    Homme Profil pro
    Analyste Programmeur
    Inscrit en
    décembre 2011
    Messages
    1 119
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Analyste Programmeur

    Informations forums :
    Inscription : décembre 2011
    Messages : 1 119
    Points : 2 637
    Points
    2 637
    Billets dans le blog
    12

    Par défaut

    En tant que développeur, il m'arrive parfois d'envoyer des mails contenant des scripts en pièce jointe. Il est toujours possible de placer ses scripts dans un fichier compressé, les serveurs de Google (et autres) ne prennent pas la peine d'analyser le contenu en profondeur.
    N'hésitez pas à consulter la FAQ Java, lire les cours et tutoriels Java, et à poser vos questions sur les forums d'entraide Java

    Mon profil Developpez | Mon profil Linkedin | Mon site : https://gokan-ekinci.appspot.com

  3. #3
    Membre confirmé
    Homme Profil pro
    Développeur Web
    Inscrit en
    juin 2013
    Messages
    136
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juin 2013
    Messages : 136
    Points : 453
    Points
    453

    Par défaut

    Pour le coup la boite nous paye un abonnement à dropbox, du coup un petit clic droit partager fait le taff. Mais pendant longtemps partager un petit script était bien pratique, je pense qu'un service comme pastebin ou autre fera toujours le taff. Sinon slack forever

  4. #4
    Membre actif
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2009
    Messages
    79
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : avril 2009
    Messages : 79
    Points : 253
    Points
    253

    Par défaut

    Il suffira donc de changer l'extension du fichier pour y mettre un .patate à la place. Incroyable....

  5. #5
    Rédacteur
    Avatar de Songbird_
    Homme Profil pro
    Bidouilleur
    Inscrit en
    juin 2015
    Messages
    288
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 18
    Localisation : France, Ardennes (Champagne Ardenne)

    Informations professionnelles :
    Activité : Bidouilleur
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juin 2015
    Messages : 288
    Points : 2 288
    Points
    2 288
    Billets dans le blog
    5

    Par défaut

    Il suffira donc de changer l'extension du fichier pour y mettre un .patate à la place. Incroyable....
    Oui mais non, parce qu'une extension ne permet que de différencier un fichier d'un autre, ni plus ni moins.
    Pour détecter la nature d'un fichier, on peut utiliser les nombres magiques ou, à la limite, effectuer une analyse de la grammaire du fichier pour voir si c'est un fichier javascript valide.
    Avant de poster: FAQ Dart; FAQ TypeScript; FAQ Java; FAQ JavaFX.
    Vous souhaiteriez vous introduire au langage Rust ? C'est par ici ou ici !
    N'hésitez pas à contribuer ou nous faire part de vos retours !
    Release Rust FAQ #7


    Ninja Gaiden meets Metal.

  6. #6
    Nouveau Candidat au Club
    Homme Profil pro
    Développeur Web
    Inscrit en
    janvier 2017
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Corée

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : janvier 2017
    Messages : 1
    Points : 1
    Points
    1

    Par défaut

    Non mais non, parce que un fichier js est juste un fichier text/plain, comme beaucoup d'autres fichiers contenant des scripts interprétés.

    Les signatures de fichiers dont vous parlez n'existent que pour les fichiers binaires.

    Bien qu'il y ait différents MIME-Type pour les fichiers scripts javascript (text/javascript , application/javascript, et même text/ecmascript, vous n'avez aucun moyen de savoir s'il sagit vraiment d'un fichier javascript avant de l'avoir interprété (et même dans ce cas vous ne pouvez pas être sûr qu'un script dans un autre language n'y a pas été dissimulé) et surtout, vous pouvez nommer votre fichier avec n'importe quelle extension, et même sans extension, et même sans fichier, directement dans le corps du mail.

    Je trouve cette annonce très déplaisante et ne la considère en fait que comme un très mauvais 'workaround' d'une réelle faille dans un logiciel Windows, qui va malheureusement pénaliser tout le monde alors que c'était bien aux développeurs de ce Windows Scripting Host de combler leurs failles.

  7. #7
    Expert confirmé
    Avatar de Matthieu Vergne
    Homme Profil pro
    Chercheur en informatique
    Inscrit en
    novembre 2011
    Messages
    1 784
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Chercheur en informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 1 784
    Points : 5 613
    Points
    5 613
    Billets dans le blog
    2

    Par défaut

    Autant je comprends d'interdire leur envoi en direct, pour éviter les exécutions automatiques, mais interdire l'envoi au format compressé me dépasse totalement, vu que le fichier doit dés lors être intentionnellement décompressé (on parle de zip, pas d'exécutable avec auto-décompression) et donc on ne parle plus de fichiers qui se lancerait à l'insu de l'utilisateur. Autrement, pourquoi ne pas interdire par exemple les fichiers Excel, qui peuvent avoir des macros dangereuses, ou que sais-je encore ? La logique m'échappe.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  8. #8
    Membre expérimenté Avatar de SkyZoThreaD
    Homme Profil pro
    Technicien maintenance
    Inscrit en
    juillet 2013
    Messages
    517
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : juillet 2013
    Messages : 517
    Points : 1 361
    Points
    1 361

    Par défaut

    On est d'accord que le souci est le même avec des xls à macro et même les pdf infectés qui passent crème sur la plupart des messageries
    Ceci-dit, l'immense majorité des utilisateurs s'envoient légitimement des pdf et des classeurs par mails. L'impact sur la convenience serait trop important pour trop de personnes.
    C'est pas malin du coup par-ce que les attaques sérieuses ne sont jamais des scripts envoyés par mail
    La liberté est à la sociologie ce que l'instant présent est à la physique relativiste.

  9. #9
    Membre averti

    Homme Profil pro
    formateur web, linux
    Inscrit en
    mars 2002
    Messages
    201
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 67
    Localisation : Belgique

    Informations professionnelles :
    Activité : formateur web, linux
    Secteur : Enseignement

    Informations forums :
    Inscription : mars 2002
    Messages : 201
    Points : 360
    Points
    360
    Billets dans le blog
    1

    Par défaut pourquoi ne pas laisser le choix à l'utilisateur ?

    On pourrait imaginer que par défaut, une pièce jointe en javascript soit interdite mais en modifiant son profil,un développeur pourrait l'autoriser.
    Une remarque, en passant; est-ce bien sérieux d'utiliser Gmail pour un développeur ! Il y a de nombreux serveurs mail et certains sont même compris dans le pack internet.
    Je dis cela, je ne sdis rien ....

  10. #10
    Expert confirmé
    Avatar de Matthieu Vergne
    Homme Profil pro
    Chercheur en informatique
    Inscrit en
    novembre 2011
    Messages
    1 784
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Chercheur en informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 1 784
    Points : 5 613
    Points
    5 613
    Billets dans le blog
    2

    Par défaut

    Quand tu parles de pack internet, tu parles que ceux qui ont un abonnement à Internet via Orange ont une boîte mail Orange ? Si c'est ça, ces boîtes là sont souvent bourrées de pub, limitées en fonctionnalités, et orientées avant tout vers te vendre plus de produits de la même marque. Je me trompe ?

    Les boîtes mail, chacun son point de vue, mais si on parle de sérieux, à part dire qu'ils devraient être assez compétents pour faire leur propres boîtes mail, je ne vois pas. Et dans ce cas, le soucis est que tenir sa boîte mail c'est bien, mais le PC perso doit tourner continuellement pour recevoir les e-mails, sinon on reçoit des notifications d'échec d'envoi (avec future tentative de prévue, mais si à chaque fois qu'on t'envois un mail on reçoit une notif de ce genre c'est chiant). Ajoute à cela le fait qu'une boîte mail n'est pas si triviale à mettre en place que ça (j'ai essayé, mais ça ne marche pas encore), que le filtrage des spams est encore autre chose à savoir faire, et j'en oublie probablement.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  11. #11
    Membre expérimenté Avatar de SkyZoThreaD
    Homme Profil pro
    Technicien maintenance
    Inscrit en
    juillet 2013
    Messages
    517
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : juillet 2013
    Messages : 517
    Points : 1 361
    Points
    1 361

    Par défaut

    Non, sans déconner, Michel a tout à fait raison. Et je dirais même plus: Quand on prog sérieusement on utilise un git, un svn ou autre équivalent. Les mails c'est sympas mais c'est un boxon innommable.
    Enfin, le souci reste entier: Supprimer les scripts des PJ gmail ne sauvera les utilisateurs des pirates faut pas rêver.
    La liberté est à la sociologie ce que l'instant présent est à la physique relativiste.

  12. #12
    Expert confirmé
    Avatar de Matthieu Vergne
    Homme Profil pro
    Chercheur en informatique
    Inscrit en
    novembre 2011
    Messages
    1 784
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Chercheur en informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 1 784
    Points : 5 613
    Points
    5 613
    Billets dans le blog
    2

    Par défaut

    Est-ce qu'il parle des mails en général ou juste de Gmail ? Je comprendrais mieux la remarque dans le premier cas, mais ça ressemble plus au second.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  13. #13
    Membre averti

    Homme Profil pro
    formateur web, linux
    Inscrit en
    mars 2002
    Messages
    201
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 67
    Localisation : Belgique

    Informations professionnelles :
    Activité : formateur web, linux
    Secteur : Enseignement

    Informations forums :
    Inscription : mars 2002
    Messages : 201
    Points : 360
    Points
    360
    Billets dans le blog
    1

    Par défaut

    Quand je parle de pack, personnellement je suis chez proximus (Belgique) et j'ai une vrai boite mail accessible par le client thunderbird (imap) mais je pourrais aussi utiliser celle d'OVH chez qui j'ai un site mutualisé.
    Il n'est donc pa nécessaire de casser sa tirelire ou de faire tourner son pc pour avoir une vrai adresse.
    J'ai même utilisé la boite de laposte.net qui était gratuite et fonctionne toujours !

  14. #14
    Membre habitué
    Profil pro
    Inscrit en
    décembre 2002
    Messages
    202
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : décembre 2002
    Messages : 202
    Points : 188
    Points
    188

    Par défaut

    Ils interdisent les MDE (fichiers Access) mais on laisse passer les Doc et Xls et /ou PDF qui peuvent contenir des macros ou scripts malicieux......

  15. #15
    Expert éminent

    Homme Profil pro
    Développeur Web
    Inscrit en
    septembre 2010
    Messages
    4 368
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : septembre 2010
    Messages : 4 368
    Points : 8 264
    Points
    8 264

    Par défaut

    Je partage l'avis de Michel. Il existe tellement d'autres possibilités que cela ne devrait pas impacter les développeurs. Et pour les autres, je peux témoigner que j'ai également une adresse à laposte.net qui fonctionne très bien. Certes ça fait peut-être moins sexy, mais on ne devrait jamais être dépendant d'un seul prestataire. C'est comme si un fabriquant n'avait qu'un seul client, il n'a plus aucune autonomie et n'est plus maître de son destin.

    J'utilise google pour ce qu'il sait faire de mieux, c'est à dire comme moteur de recherche. Pour les autre services, notamment pour les mail, d'autres prestataires savent faire aussi bien avec une confidentialité au moins égale (puisque l'on sait que les gmail sont scannés, ça peut difficilement être pire), alors pourquoi s'en priver ?
    Les multi nationales ont le pouvoir qu'on veut bien leur donner. Et donc vive la diversité, sinon nous fabriquons nous-même des monstres qui ont de plus en plus de pouvoir. Faut pas râler ensuite en disant que ce sont quelques multi nationales qui gouvernent le monde

  16. #16
    Expert confirmé
    Avatar de Matthieu Vergne
    Homme Profil pro
    Chercheur en informatique
    Inscrit en
    novembre 2011
    Messages
    1 784
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Chercheur en informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 1 784
    Points : 5 613
    Points
    5 613
    Billets dans le blog
    2

    Par défaut

    Sauf qu'il met en cause le sérieux des dévs ayant une adresse Gmail. Je suis un nomade, je n'ai donc pas d'abonnement Internet à mon nom et me contente des accès WiFi que je peux utiliser au boulot ou là où je loge. Et comme dit précédemment, j'ai bien un serveur avec un nom de domaine, je peux donc effectivement avoir une adresse 100% perso, mais avec le peu de temps que j'ai passé sur la mise en place d'une boîte ça ne marche pas encore. Pourtant, j'en fais des choses avec mon serveur. Me faire qualifier de "pas sérieux" dans ces conditions ne me semble pas des plus justifié.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  17. #17
    Expert éminent

    Homme Profil pro
    Développeur .NET
    Inscrit en
    janvier 2012
    Messages
    3 633
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 60
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Finance

    Informations forums :
    Inscription : janvier 2012
    Messages : 3 633
    Points : 7 362
    Points
    7 362
    Billets dans le blog
    17

    Par défaut

    Et si jamais Google invente son propre langage scripts, est-ce que celui-ci va être autorisé ?
    À ma connaissance, le seul personnage qui a été diagnostiqué comme étant allergique au mot effort. c'est Gaston Lagaffe.

    À force de vouloir considérer les utilisateurs comme des imbéciles patentés, on risque de se mettre dans le trouble.

    Excel n'a jamais été, n'est pas et ne sera jamais un SGBD, c'est pour cela que Excel s'appelle Excel et ne s'appelle pas Access junior.

  18. #18
    Expert confirmé
    Avatar de Matthieu Vergne
    Homme Profil pro
    Chercheur en informatique
    Inscrit en
    novembre 2011
    Messages
    1 784
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Chercheur en informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 1 784
    Points : 5 613
    Points
    5 613
    Billets dans le blog
    2

    Par défaut

    Ils ont déjà fait leur langage de programmation Go.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

Discussions similaires

  1. Plus possible de créer des utilisateurs
    Par jncoffy dans le forum Windows 7
    Réponses: 3
    Dernier message: 03/01/2014, 16h00
  2. Est-il possible d'envoyer des message JMS non textuel ?
    Par ctardella dans le forum Développement de jobs
    Réponses: 0
    Dernier message: 12/08/2009, 20h33
  3. Réponses: 13
    Dernier message: 13/08/2008, 16h55
  4. Est-ce possible d'envoyer des emails ?
    Par Raiden1234 dans le forum Struts 2
    Réponses: 2
    Dernier message: 30/04/2008, 11h36
  5. Réponses: 2
    Dernier message: 19/09/2007, 10h21

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo