(Courriels de diversion: <baleines@tracasserons-ecumantes.com> <escapade@comique-embrigaderas.com> <ecorcha@pliaient-approuvee.com> <avilirez@readmission-effrenes.com> <artisan@sidererez-hesitais.com> <trempez@sensibiliserions-informeraient.com> <enfoncent@ameutaient-epaissirait.com> <soulagement@determinations-entremises.com> <coulants@actualisent-furibonde.com> <estomperons@malmenaient-resumerons.com> )


Claude Micouin a écrit :

L'utilisateur titi lance firefox et il peut explorer son répertoire perso (normal) et ne peut pas explorer celui des autres.
Puis, alors que titi n'a toujours pas fermé son firefox, l'utilisateur toto fait un "su toto", rentre son mot de passe, et lance à son tour firefox sur son compte et Ô merveille ! le firefox de toto peut aller dans le répertoire de titi ! et il peut lire TOUT ! Par contre, il n'arrive pas à lire son propre répertoire...



Ce qu'on pourrait traduire par : toto utilise le firefox lancé par titi.

La réponse se trouve dans les droits d'accès au serveur X (qui doit être à titi).

 Les méfaits du "xhost +".

Un trou de sécurité connu depuis 15 ans. Ou, vu alternativement, un défaut de politique de sécurité.

J'ai du mal à croire que c'est comme ça par défaut dans la Debian (mais je n'ai pas vérifié).

 Regarde plutôt vers xauth pour gérer les droits sur le serveur X.

--
Marc Thirion                   | Ramonville Saint-Agne, France
Projet Internet et Citoyenneté : http://www.le-pic.org/


-------------------------------------------------------------------- Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>