Salut a tous,
 
Avant toute chose, mon environnement:
OS = Win2000 SP4
Kerio 2.5.1 + Avast 4.1
IE 6.0 SP1
Firefox 1.0
 
Le probleme:
J'ai cru avoir la berlue hier soir en essayant de configurer mon firewall Kerio de maniere la plus restrictive possible. En effet, j'ai decouvert des comportements plus qu'etrange avec IE puis avec Firefox.
Je monitore les ports ouverts et les connexions avec le freeware TCPView (equivalent graphique de "netstat -n", avec information sur le process en plus).
 
1. IE
En ouvrant IE avec une page blanche (about:blank), rien de particulier ne se passe. Par contre, des que je me connecte a un site quelconque, Kerio m'alerte que IE tente d'envoyer un paquet UDP en local sur un port >1024. Dans TCPView, je vois bien la connexion au site distant sur le port 80 (normal), mais surtout, IE a ouvert un port UDP en "LISTEN". La connexion HTTP fini par mourrir (normal aussi) par contre, il reste ce maudit port UDP en listen (facon de parler pour de l'UDP bien sur) binder sur mon interface de loopback.
Je n'ai trouve aucune explication sur Google, hormis ca:  
http://ntsecurity.nu/toolbox/inzider/why.php
 
Si avec Kerio je "Deny" cette communication UDP, IE fonctionne de maniere tres lente (comme s'il lui fallait des plombes pour resoudre un nom de domaine comme www.google.com)
 
2. Firefox
Alors avec Firefox, c'est encore un peu different. Ma page par defaut est aussi about:blank. La par contre, des que je lance Firefox, sans meme avoir de connexion vers un site distant, Kerio m'alerte que Firefox se connecte en local sur un port TCP >1024 qu'il a lui meme ouvert ! TCPView confirme: Firefox a un port binde en local en LISTENING et il est lui meme connecte a ce port, localement. C'est quoi ce merdier ??
 
D'autant que si, avec Kerio, je "Deny" cette connection, Firefox marche tres bien malgre tout.
La par contre je n'ai rien trouve sur google concernant cette ouverture de port en local par firefox.
 
Merci d'eclairer ma lanterne (on en apprend tous les jours...)

je voit pas trop le pb si ce sont des ports local ?

C'est juste que j'aimerais comprendre.
Pour moi un browser (que ce soit IE ou Firefox), s'il est connecte en direct (cad: sans proxy), ne doit faire des connexions que vers des serveurs externes sur le port 80 ou 443.
 
Le reste des communications me pose un probleme de comprehension, pas de securite
J'aime comprendre pourquoi des softs ouvrent des ports et pourquoi faire... Ca m'aidera a savoir si je dois autoriser ces communications ou les bloquer (meme si c'est en local)

ce serait pas une communication vers le système de résolution des noms ?

MJules> Concernant IE: non, IE s'envoie des paquets UDP a lui meme sur un port qu'il a lui meme ouvert localement... je trouve ca carrement etrange.
 
Concernant Firefox: ben pareil, il se connecte a lui meme a un port TCP qu'il a lui meme ouvert...etrange aussi.

c'es bizarre, parce que sous linux, Moz/FF n'ouvre aucun port

Salut,
 
Tu es sur que ce n'est pas simplement le port de réception ?

Gaard28: Port de reception de quoi ? Quand je lance Firefox, il n'est encore connecte a aucun serveur HTTP. Il se connecte juste a lui-meme via un port local TCP... ce que je trouve aberrant.
 
Concernant IE: j'ai trouve sur Google plusieurs forums parlant vaguement du fait qu'IE ouvre un port local en UDP, mais personne n'explique a quoi ca sert. C'est quand meme dingue que personne ne se soit jamais pose la question.

Ben quand 2 machines communiquent elles ont toutes les 2 un port de communication. Dans ton cas, c'est le 80 pour le serveur web et un num > 1024 pour ta machine.

Gaard28: Merci, je connais assez bien mes bases TCP/IP. Ce que j'explique c'est que justement il n'y a AUCUNE communication avec un quelconque serveur. Ce que je decris ici c'est une communication "intra" Firefox des le demarrage de l'application. Quiconque peut le constater sous Windows avec un logiciel comme TCPView.
 
Cela etant, concernant FIREFOX, je viens de trouver pourquoi:
L'explication se trouve ici: http://forums.mozillazine.org/view [...] 15&start=0
 
Pour les flemmards, voici l'explication:

 
En clair, Firefox utilise une communication via socket locales, uniquement sous Windows, pour faire de la communication inter-process, car les sockets de type AF_UNIX n'existent pas sous Windows. Un peu plus loin on peut lire que Firefox peut fonctionner sans cette communication (ce que j'ai effectivement constate en bloquant la comm avec Kerio) mais les developpeurs expliquent que cela peut nuire aux performances.
 
Concernant IE:
Le meme mecanisme semble etre utilise par IE, mais via une communication UDP.
 
Je trouve incroyable que personne ne se soit jamais pose la question sur ces deux applications ouvrant des ports localement, simplement pour etre un agent HTTP. Une fois qu'on a l'explication on se sent mieux quand meme  
 
(je suis un acharne, je VEUX comprendre ce qui se passe sur ma machine. Selon moi, c'est meme indispensable de comprendre TOUS les flux de commnunication, fussent-ils locaux, quand on pretend faire de la securite system, c'est comme ca qu'on trouve des failles ou des spywares etc...)

tu serais pas le genre d'admin à écrouler un réseau juste pour capturer des trames histoire de savoir ski se passe dedans ?

Tu crois pas si bien dire Mon meilleur ami se nomme Packetyser et c'est le seul outil ouvert en permanence du Lundi matin au Vendredi soir
 
En meme temps, c'est mon boulot de faire du reverse engineering sur des protocoles proprietaires (ceux de ma propre boite, mais fait ailleurs, oui oui, c'est hallucinant)

j'le savais, c un fou ce gars là

merci pour l'explication et le lien.
car ce crétin utilise parfois un port (1099) dont j'ai besoin pour une autre appli