On Wed, 2007-11-21 at 19:44 +0100, Olivier Allard-Jacquin wrote:
> 1) Si la Freebox remonte des données à Free, il n'y a pas besoin que du
> code spécifique soit écrit dans le Freeplayer. Le code "suspect" n'a
> besoin de se trouver que dans la Freebox elle-même (dont d'ailleurs
> l'utilisateur n'a aucun contrôle sur les mises à jours logiciel).
Oui, ça j'avais bien compris. Mais elle ne peut remonter que ce que tu
lui donnes, et ça tu le contrôles.
> 2) Tu dis que le code du Freeplayer est suffisamment simple. L'as-tu
> audité ? Il n'y a pas de risque d'attaque par, par exemple, buffer
> overflow ? C'est à dire capable d'exécuter un code arbitraire envoyé par
> la Freebox ?
Le code de vlc non. J'ai mélangé ma phrase du précédent mail, je voulais parler de la simplicité
du code de feedbox. J'avais aussi un peu jouer au départ et faire un serveur suffisant pour la freebox, c'est
10 lignes de python...
Et faut dire que je fais quand même relativement confiance, je n'ai pas audité firefox ni emacs, et pourtant,
je les utilise pour me connecter tous les jours.
> > Et si vraiment tu n'a pas confiance, libre à toi de lancer ton vlc à la
> > main sur ton fichier à lire sur la fbx, ça marchera très bien.
>
> Cette méthode serait préférable en effet.
Attention tout de même, la freebox continue d'intéragir avec vlc
(play/pause/ffw/...): je te conseille de bien vérifier le code de vlc,
des fois qu'un combo play/pause fasser exploite un Bof ;)
Bonne soirée,
Marc
