Je cite cet article car j'ai rigolé aux éclats à la lecture de cette phrase :
Les chercheurs ont prévenu l'industrie de ces risques depuis déjà 10 ans, mais « l'opinion dominante était que les criminels étaient loin d'être suffisamment instruits et intelligents pour pénétrer dans l'électronique interne des voitures », selon un spécialiste des technologies automobiles.
Tout le monde sait que la sécurité devrait être basée sur le fait qu'un assaillant soit armée d'une profonde gentillesse ou victime de déficits mentale...
Que dire des ces "spécialistes" qui ont prodigué ces bons conseils, escrots ou incompétents ? 🤣
Les cabinets de conseils s'en mettent vraiment plein les fouilles pour pas grand chose.
— Liens directs
En quatre étapes :
1) Récupérer le certificat au format TXT
openssl s_client -connect mon-domaine:443 > mon-certif.pem
2) Nettoyer le fichier TXT pour ne garder que ce qu'il y a entre les sections BEGIN CERTIFICATE
et END CERTIFICATE
inclus, par exemple :
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
3) Dire à git d'aller chercher ce certificat
git config --global http.sslCAInfo /mon/chemin/vers/mon/certif.pem
4) S'assurer que la vérification SSL/TLS n'est pas désactivée dans Git
git config --global http.sslVerify true
]]>OAuth 2.0 est un protocole d'autorisation d'accès à des données. Il s'incrit dans la mouvance RESTful où c'est la sécurisation des données qui compte et où l'idéologie dominante est que la donnée doit être fluide dans les SI.
Selon moi c'est incomplet et cela fait partie des saletés poussées par les GAFAM qui vivent de la récolte et de l'échange des données, tels des vampires.
En complément, cela me semble être très mal indiqué dans le monde industriel "classique" où il figure plusieurs niveaux de sécurité.
Je m'explique :
L'identification
On déclare qui on est et c'est tout.
L'authentification
On prouve que l'on est bien celui que l'on prétend être (par un mot de passe ou un challenge cryptographique par exemple).
L'autorisation (d'accéder aux données)
On peut récupérer les données sensibles ou personnelles qui sont entreposées pour nous dans un système.
L'habilitation (à effectuer des modifications sur les données)
On peut créer ou modifier des données sensibles ou personnelles qui sont entreposées pour nous dans un système.
L'accréditation (permettant de lancer certains traitements)
On peut déclencher des actions sur le serveur qui vont impacter les données. Par exemple supprimer une donnée, lancer un calcul complexe s'exerçant sur les données, ou plus modestement, passer une commande ou signer un document, etc.
OAuth 2.0 répond uniquement au point (3), ce qui représente une usine à gaz pour peu de choses au final. Mais vous permettez aux GAFAM de s'interfacer facilement avec votre SI.
De plus, le protocole part du principe que dès qu'une autorisation est octroyée, alors aussitôt tous les traitements sont permis, comme si certaines actions n'étaient pas réservées qu'aux admins, aux commerciaux, à la direction, à l'ingénierie, etc.
Bref mon sentiment à l'égard d'OAuth 2.0 se cristallise autour d'un "mouais".
@Doudou il faut que nous en discutions.
]]>À la rentrée, je travaillerai sur l'architecture d'un service de sécurité. Voici une liste des protocoles standards qui gèrent la chose.
]]>Je lis cet n-ième article qui annonce la mort des mots de passe et fait l'éloge des passkeys, c'est-à-dire des périphériques qui contiennent le secret qui va bien pour s'authentifier.
Problème, il faut verrouiller le périphérique en cas de perte ou de vol pour que seul son propriétaire puisse l'utiliser et que dit le site alors :
Il peut s'agir d'un déverrouillage biométrique (reconnaissance faciale, empreinte digitale), d'un code PIN, d'un schéma…
Et les deux dernières solutions sont ni plus ni moins que des mots de passe... L'autre étant un moyen irrévocable en cas de vol #FacePalm.
J'adore aussi le fait que l'article prétende que les keepass sont des outils faillibles par nature tout en sous-entendant que les passkeys ne le seraient pas eux parce que juste la magie des passkeys #FacePalmBis
J'espère qu'il s'agit d'une publicité déguisée en article.
Redisons-le, la façon la plus sûr de se connecter à quelque chose est :
Le mot de passe ultra-complexe stocké dans un keepass lui-même dans un endroit sécurisé + une double authentification via un autre périphérique en xOTP + que des logiciels libres et algos publics utilisés dans tout le process.
Et évidemment, les deux moyens étant révocables en cas de vol/perte c'est parfait, le reste c'est de l'arnaque selon moi.
]]>Tout est dans le titre. Je dois implémenter un système d'authentification et d'autorisation. OAuth2 répond à une partie de mes besoins.
— Liens directs
Un guide simple de sécurisation de la commande sudo
.
@Animal j'ai un rôle Ansible à te commander :P
— Liens directs
Un tuto simple parlant de l''injection CRLF avec les loggers en Kotlin/Java.
Penser à ajouter la dépendance suivante pour se prémunir de cela avec LogBack :
<dependency>
<groupId>org.owasp</groupId>
<artifactId>security-logging-logback</artifactId>
<version>1.1.6</version>
</dependency>
(à voir avec ce que propose la 1.4.4 de LogBack sortie récemment).
Edit
Une autre façon de se protéger du problème est de se servir de la fonction replace de logback en lui demandant d'effectuer un search & replace de tous les caractères de type CR/LF by une chaîne connue (ici {EOL}) qui permettra de détecter l'injection de nouvelles lignes dans les logs :
<included>
<appender name="STDOUT" class="ch.qos.logback.core.ConsoleAppender">
<encoder>
<pattern>%replace(%msg){'[\r\n]', '{EOL}'}</pattern>
</encoder>
</appender>
<root level="INFO">
<appender-ref ref="STDOUT" />
</root>
</included>
]]>Cool, Apple ne vous authentifie plus et se contente de vous identifier avec vos données biométriques personnelles (parce que c'est tout à fait normal de confier ses données biométriques à une société commerciale, vous en conviendrez #Facepalm).
Dit autrement, si quelqu'un venait à vous voler votre empreinte, votre image ou quoi que ce soit qui ne soit pas révocable, vous devrez faire face à un très gros problème.
Bref, l'authentification c'est la preuve que la personne est bien celle qu'elle prétend être. L'identification, c'est la déclaration de cette prétention mais sans preuve puisque n'importe qui peut vous voler votre ADN, vous prendre en photo, etc.
Le point du litige est que l'on peut décider de changer de mot de passe quand on veut et sans effort mais ça n'est pas possible de changer de visage, d'ADN, d'empreintes, etc.
— Liens directs
Nous sommes à la mi 2022 et la Caisse d'Épargne n'est toujours pas fichue d'employer des développeurs qui comprennent qu'on ne peut pas partager des requêtes avec des sous-domaines lorsque l'on active le contrôle de sécurité Same Origin !
Blocage d’une requête multiorigine (Cross-Origin Request) : la politique « Same Origin » ne permet pas de consulter la ressource distante située sur https://www.as-ex-ano-groupe.caisse-epargne.fr/api/oauth/v2/token. Raison : échec de la requête CORS.
Blocage d’une requête multiorigine (Cross-Origin Request) : la politique « Same Origin » ne permet pas de consulter la ressource distante située sur https://fonts.gstatic.com/s/ubuntu/v20/4iCv6KVjbNBYlgoC1CzjsGyN.woff2. Raison : échec de la requête CORS.
downloadable font: download failed (font-family: "Ubuntu" style:normal weight:300 stretch:100 src index:0): bad URI or cross-site access not allowed source: https://fonts.gstatic.com/s/ubuntu/v20/4iCv6KVjbNBYlgoC1CzjsGyN.woff2
Et tout leur site est bloqué pour un pauvre token et deux polices de caractères ! Mais leurs développeurs / sous-traitant sont nuls ! C'est incroyable que le B.A.BA ne soit pas maîtrisé à ce point. On se croirait chez ERDF / Enedis (ceux qui y sont passés doivent me comprendre) #FacePalm
Edit : en fait le site a été conçu pour Chrome et je suis sous Waterfox (une fork de Firefox sans les problèmes inhérents à Mozilla / Google). Bref, des polyfills JS sont chargés et font du cross-origin et forcément personne n'a lancé un Firefox like pour vérifier que ça marche...
À toutes ces personnes qui font du spécifiques Chrome je souhaite que ça vous gratte en permanence et à mort quelque part et qu'à chaque fois que votre doigt s'approche du point qui vous démange, celui-ci se déplace !
]]>Après Log4j au tour de Spring d'avoir sa faille zero-day.
— Liens directs
Comment créer un environnement sécurisé avec chroot
. Plus le temps passe et plus je me dis que docker n'est pas si nécessaire.
— Liens directs
A tous les non informaticiens, si vous vous demandez ce qu'est une "backdoor" (ou "porte dérobée" en français). Si vous vous demandez pourquoi tous les informaticiens râlent dès que l'état demande à disposer de clefs numériques privées pour déchiffrer nos communications, et bien l'analogie avec le monde réel est là.
Une seule clef permettant d'ouvrir toutes les boites à lettres, sauf que si cette clef tombe entre de mauvaises mains (ou une de ses copies), cela devient une catastrophe.
— Liens directs
Tiens j'étais passée à côté de ça. Microsoft tente encore une fois de vendre de l'identification pour de l'authentification.
J'avais fait un post à ce sujet il y a quelques temps et je n'ai toujours pas changé d'avis sur la question.
Une fois notre image compromise, une fois que quelqu'un sera parvenu à nous filmer / photographier / enregistrer (emprunte vocale), voire de poster ces images/vidéos sur des réseaux sociaux (chose qui n'arrive jamais n'est-ce pas), alors comment changer de visage ou de voix ensuite ? Via de la chirurgie plastique ? Ça fait cher la resécurisation d'un compte compromis...
D'autant que cette chirurgie bloquera l'accès à tous les comptes sur les autres réseaux sociaux/pro/etc le temps qu'on leur réapprenne et que l'on prouve que cette nouvelle tête, c'est bien nous.... LOL
Le mot de passe est certes contraignant mais c'est le seul et unique système qui puisse être révoqué en cas de corruption. Tout le reste n'est que prétexte pour absorber nos données ou caractéristiques personnelles.
— Liens directs
Merci à je ne sais plus qui pour le lien.
Le problème que j'ai avec l'application, c'est qu'elle associe un périphérique qui se perd, qui se casse et surtout qui se fait voler (coucou le métro parisien) à votre compte.
L'autre problème est que ces applications ne sont disponibles que sur les stores Google et Apple, or comment faire lorsque l'on utilise n'y l'un ni l'autre ?
Enfin, ces applications ne sont en général pas open-source, donc aucun moyen d'être certain qu'elles n'aspirent pas toutes les données persos...
Bref, les niveaux 3/2/1 sont au même degré de sécurité pour moi, seulement si l'on prend l'aspect global de la chose, c'est-à-dire vol du device + vol des données personnelles bien-sûr.
— Liens directs
Si j''ai bien compris, toute la sécurité du DRM Widevine repose sur le fait que la clef privée permettant de déchiffrer les flux audio/vidéo ne soit pas volée côté client lorsqu'elle est envoyée au navigateur...
Redisons-le nous deux trois fois en décomposant bien les étapes afin d'identifier ce qui clocherait :
Si la clef qui doit restée privée est communiquée à toute la terre entière c'est qu'elle n'est plus privée bon-sang ! Je compte regarder dans le détail ce qu'il en retourne mais si c'est bien ce que je pense, alors le fait que Google n'emploierait que "les meilleurs des meilleurs des meilleurs Monsieur... Avec mention Monsieur" ne serait bel et bien qu'un mythe !
La petite citation qui va bien :
]]>En plus de cette demande, nous avons déposé une demande distincte de retrait des données sensibles de ce fichier : /widevine-l3-decryptor, parce qu’il contient la clé privée secrète Widevine RSA, qui a été extraite du CDM de Widevine et peut être utilisée dans d'autres technologies de contournement.
@Guigui : super je me le note. Merci !
— Liens directs
Brihx merci pour le lien. Par contre le coup des fonctions de dérivation de clefs qui doivent êtres rejouées n-fois pour éviter le brut-force j'ai toujours trouvé cela stupide et je m'explique.
Le but d'augmenter le nombre d'itérations est de ralentir l'algorithme de hash/crypto afin de se protéger des attaques de type brut-force. Or la puissance de calcul augmentant sans cesse avec le temps, plus les générations de CPU passent et plus il faut augmenter ce nombre d'itérations, ceci encore et toujours, jusqu'à consommer tout le pétrole sur terre pour le calcul d'un simple hash...
Sinon, on arrête de coder comme des profs de math débiles et on ajoute un Thread.sleep(1000)
après le calcul du hash. Comme ça et quoi qu'il arrive, le check d'un mot de passe prendra toujours au moins 1 seconde quelque soit le CPU derrière, évitant ainsi les attaques du type brut-force, et en plus ça évite de contraindre un algo à utiliser un proc à 100% pour rien et ainsi de exposer son service à des attaques de type DDos.
Après ce n'est pas le rôle des matheux de coder efficace, c'est à nous (les IT) de comprendre ce qu'il faut faire et de bien le faire.
— Liens directs
Outch, la dernière version stable est touchée (1.3.72). Il est recommandé de migrer vers la 1.4.0 aussitôt qu'elle sera publiée.
La criticité est de 8.8/10, avec une faille permettant une élévation de privilèges, ça fait mal.
Edit : je n'avais pas vu mais Kotlin 1.4.0 était déjà sortie. Il semble que le NIST et l'OWASP aient publié l'info qu'une fois la nouvelle version de Kotlin fût corrigée et publiée par JetBrains. C'est très pro !
— Liens directs
Boursorama en ajoutant des trackers de serveurs de pub sur son site permet à des sociétés tierces d'accéder aux comptes de ses clients. Bravo, zetes des champions...
C'est un scandale, information à faire tourner autant que possible en espérant que le bad-buzz leur serve de leçon !
— Liens directs
Je viens de tester chez Free et Free Mobile => les deux sont 100 % ok.
@Chlouchloutte t'es pas chez Orange ou Sosh pour nous dire ?
— Liens directs
@Riduidel et encore le pire c'est lorsqu'on regarde le code même vite-fait !
Certaines classes de tests sont des coquilles vides qui chargent un contexte Spring qui sera rechargé la classe d'après... (Encore ça admettons)
Mais la cerise sur le gâteau c'est ce test qui montre que côté cryptographie ils utilisent 3DES.
Pour ceux qui ne le saurait pas, 3DES (ou Triple DES) est sensible à plusieurs attaques de différents types réduisant la taille de clef la clef privée de 168 bits à 80 bits et que le NIST considère comme déprécié depuis trois ans déjà ; heureusement qu'il ne s'agit que d'une application qui ne contiendrait que les données personnelles de tous les français.
Euh... Attendez une seconde... (눈_눈)
Edit : en fait j'ai lu un peu vite car ce test est bien une classe de test mais qui ne contient qu'une main() et donc qui n'est pas un test... Pareil, je n'avais pas vu le répertoire test dans src/test/java... Ni tous les TU qui n'ont aucune assertion et donc qui ne sont pas des TU mais des fonctions qui s'exécutent et dont le résultat est validé avec "ses petits yeux" par le développeur !!! À ce niveau-là ça n'est plus de l'amateurisme, c'est une forme d'Art aux antipodes du Software Craftsmanship.
]]>Un très bon article sur JWT et comment assurer l'authenticité d'un token et par corollaire la répudiation d'un token douteux.
— Liens directs
Je cite @Sebsauvage :
Un peu violent mais sûrement efficace: Quand PortSentry détecte des connexions sur les services fictifs qu'il expose, il bloque l'IP source.
Du coup via Sebsauvage.
— Liens directs
Bon, je testerai dès la rentrée cette n-ième faille de sécurité de Windows ! lol
— Liens directs
Bon bah tout est dans le titre... Dans ce post j'affirmais que :
Vous pouvez ne faire confiance à personne en ce qui concerne votre vie privée. Les meilleures boites se font hacker tous les jours et celles dont on ne parle pas ou peu sont juste celles qui sont meilleures pour étouffer les affaires !
Est-ce que vous pensez qu'il existe des sociétés ayant plus de moyens que Facebook, pouvant se payer de meilleurs ingénieurs que Facebook et détenant autant de données sensibles et intimes que Facebook ? (Pour info, le développeur-architecte sénior est à 950 K$ / an en 2019 chez Facebook hein).
Ca restreint pas mal le champs des possibles n'est-ce pas ? Et pourtant Facebook s'est encore une fois transformée en passoire... Dégagez votre appli Facebook, cette immondice est littéralement un spyware ; et pour votre santé mentale je vous recommanderais de dégager aussi Facebook de votre vie !
]]>Imaginez le scénario... Vous échangez des SMS intimes... Parfois très intimes avec quelqu'un ou même plusieurs personnes et... Et ??? ET !!?????
Toutes vos conversations se retrouvent sur internet, avec votre nom, votre numéro et votre géolocalisation à chaque fois. Bref de quoi vous identifier, dresser un profil psychologique trèèèèèèès précis comprenant tous vos désirs les plus secrets et de quoi vous retrouver facilement.
Alors là il ne s'agit "que des numéros (émetteur & destinataire) et du contenu des messages" donc "ça va" on ne peut pas encore vous géolocaliser hein... Juste pas lol (è_é)
Combien de temps faudra-t-il encore le répéter : chiffrez vos conversations. Vous pouvez ne faire confiance à personne en ce qui concerne votre vie privée. Les meilleures boites se font hacker tous les jours et celles dont on ne parle pas ou peu sont juste celles qui sont meilleures pour étouffer les affaires !
]]>Globalement pour faciliter le SSO, l'authentification à deux facteurs et se prémunir contre certaines attaques.
Via Eorn.
— Liens directs
Je cite :
Firefox est le seul navigateur à avoir obtenu un sans faute lors d'un récent audit réalisé par l'agence allemande de sécurité informatique - l'Office fédéral allemand de la sécurité de l'information (ou le Bundesamt für Sicherheit in der Informationstechnik - BSI). La BSI a testé Mozilla Firefox 68 (ESR), Google Chrome 76, Microsoft Internet Explorer 11 et Microsoft Edge 44. Les tests n'incluaient pas d'autres navigateurs tels que Safari, Brave, Opera ou Vivaldi.
Bon c'est piègeaclic, mais un peu de publicité pour le navigateur qui n'en a pas ce sera ma contribution du jour au logiciel libre !
— Liens directs
]]>La Sécurité Sociale pour tous !? Non merci, je ne veux pas payer pour la santé d'autres personnes. Je préfère l'assurance privée où je paie pour la santé d'autres personnes ET pour le salaire d’intermédiaires vampires dont le seul rôle consiste à me dire NON quand j'ai besoin de me faire soigner.
Un résumé en une image :
]]>Comment installer, configurer, tuner et sécuriser son instance nginx.
Via Hedi
— Liens directs
Oh comme c'est beau ! La sécurité permet de faire avancer tellement facilement les choses !!!
Pour vous résumer l'article, l'authentification à deux facteurs n'est pas jugée suffisamment sécurisée par l'Union Européenne (oui toujours cette même saleté) et donc les banques ont l'obligation de faire mieux :
Je l'ai dit et je vais le redire, l'oligarchie n'a pas de patrie, pas de sympathie pour les gens et cherche par tous les moyens à mettre en place un contrôle total lui garantissant sa place sous le soleil et au sommet de la pyramide sociale qu'elle a bâti elle-même pour elle-même.
La double authentification par sms n'est pas jugée suffisamment sûr, mais quels problèmes rencontre-t-elle pour justifier de tels propos ? "Pas suffisamment sûr" mais sur quels critères ? À quel moment est-on considéré comme "suffisamment sûr" ? Les citoyens ont-ils le droit de décider du degré de risque qu'ils souhaiteront prendre ou y seront-ils forcés comme des enfants ?
]]>Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux.
Benjamin Franklin
Les liens vers les fichiers de base de données de vulnérabilités (CVE) du consortium OWASP.
— Liens directs
Pour @Doudou. Tout un tas de check-list portant sur les thèmes de la sécurité.
— Liens directs
Je pose ici ce que dit Sebsauvage :
]]>Bon... récemment Mozilla s'est un peu pris les pieds dans le tapis, a laissé un certificat expiré, ce qui a causé la désactivation de TOUTES les extensions. Faire des erreurs, ça arrive à tout le monde. Ils ont fait ce qu'il faut: Communiquer dessus et résoudre le problème.
Mais il y a quand même tout un tas de choses qui ne vont pas dans ce qui est arrivé.Je vais être franc: Je hais cordialement les logiciels qui ne sont pas capables de fonctionner en autonomie et qui s'écroulent dès qu'il ne peuvent plus parler à papa-maman. Comme Chrome, par exemple, qui CESSE DE FONCTIONNER dès que vous bloquez tous les domaines appartenant Google. C'est de l'informatique DE MERDE.
Firefox prend la même voix. L'exemple des extensions est assez parlant.Un problème de certificat lié à leur Appstore ne devrait pas impacter et désactiver les extensions déjà installées. Il y a là un énorme problème de conception.
Imaginez si Linux fonctionnait de la même manière ? Le certificat du dépôt expire, et tous les paquets sont invalidés et votre OS cesse de fonctionner ? Impensable. Personne ne voudrait de ça.On va ma dire que c'est pour notre sécurité. Le problème, c'est que Mozilla commence à faire comme Google : Faire les choix à la place de l'utilisateur "pour son bien", non seulement en ne lui proposant pas de choisir, mais en allant jusqu'à rendre la désactivation de l'option IMPOSSIBLE.
À partir de quand c'est une bonne idée ? Comme on peut considérer ça comme respectueux de l'utilisateur ?
Et la liste commence à s'allonger : Liaison à un service GAFAMesque activé par défaut (Pocket), requêtes vers Google dès que vous lancez Firefox (coucou Safebrowsing), préfetch HTTP et DNS activé par défaut, télémétrie activée par défaut...Ah oui, la télémétrie, on en reparle ? Activée par défaut, cela permet à Mozilla D'INSTALLER SILENCIEUSEMENT DES CHOSES À DISTANCE. Si vous n'avez rien spécifié, Mozilla peut décider de vous enrôler dans des "expériences". C'est tout bonnement inacceptable pour un organisme qui prétend défendre notre vie privée.
Actuellement, quand j'installe Firefox, je fais comme pour une fraîche installation de Windows: Commencer par changer tout un tas de paramètres et bidouiller pour désactiver plein d'options. C'est triste.
On va me dire: « Mais c'est pour la sécurité ! ». Ce que fait Google actuellement (verrouillage massif d'Android, y compris une partie d'adb dans Android 9) part de la même intention : Protéger l'utilisateur. Au final, on sait très bien que ce verrouillage ne sera pas au bénéfice de l'utilisateur.
Vous êtes prêts à troquer votre liberté contre un peu plus de sécurité ?
Je reformule ma question : Êtes vous prêt à troquer votre liberté contre l'économie d'apprendre un minimum de notions de sécurité ?
C'est une question rhétorique : Les GAFAM ont déjà choisi pour vous. Ça sera pour votre "sécurité". Et tant pis pour votre liberté (dans Android, vous ne pouvez même plus récupérer la clé qui sert à chiffrer vos propres données dans le téléphone. Vous ne pourrez donc pas récupérer les données de votre carte MicroSD si votre téléphone est mort).Et ça me fait vraiment chier de voir que Mozilla prend la même voie.
Pourtant, je vais continuer à utiliser Firefox, parce que c'est le seul navigateur à ne pas être à but commercial. fatigue
Pour @Animal
— Liens directs
Merci @Sebsauvage. je hurle tout cela depuis dix au moins et de tout mon corps. Lire ta remarque me touche au plus haut point !
— Liens directs
@Chlouchloutte : je ne confondais pas le Quatar avec Dubaï. Ce dernier fait bien partie des Émirats Arabes Unis et il s'agit bien d'un pays Musulman et mysogine.
Les européennes peuvent y sortir dans la rue sans forcément être voilées mais en cas de problème, il faudra bien garder à l'esprit que le droit ne sera pas de leur côté. Après, tant que les choses se passent bien, elles ne se passent pas mal.
De ce que j'ai retenu de l'article (datant de 2014) :
Un autre point de vue sur TripAdvisor même si ce genre de site pratique les faux commentaires / commentaires sponsorisés. À noter que quelques commentaires ont été supprimés par TripAdvisor.
Et un dernier avis sur LonelyPlanet.
]]>These notes describes how to improve Nginx performance, security and other important things...
Tout est dans le titre.
Lien lien direct.
— Liens directs
We found that in all password managers we examined, trivial secrets extraction was possible from a locked password manager, including the master password in some cases, exposing up to 60 million users that use the password managers in this study to secrets retrieval from an assumed secure locked state. Password Manager, Encryption, Windows Memory Model, Memory Forensics, Key Derivation Function (KDF), Malware, Reverse Engineering, Master Password, Key Logger, Process Memory, Control Flow Analysis, SGX.
Bon apparemment, l'état des gestionnaires de mots de passe n'est pas brillant, même Keepass 😖😥😭.
— Liens directs
Je résume pour ceux qui n'ont pas le temps de lire l'article :
Voilà, voilà...
— Liens directs
Tiens, une nouvelle faille de sécurité dans Docker... Le plus drôle c'est que la solution recommandée est de setuper un conteneur dans une machine virtuelle dédiée... Comment vous dire ? Quel est l'intérêt de se servir des conteneurs alors ???
=> Dans mon entreprise, nous sommes restés sur du bar-métal (linux physique) ou de la VM en flat. Merci à Ansible qui fait le taf sans sourciller !
@Doudou : tu en parles à tes clients, ils vont apprécier je dirai :D
— Liens directs
Depuis le temps que je cherchais une doc claire sur PAM je suis servie !
— Liens directs
Durcissement kesako ? Il s'agit de configurer un système de manière à augmenter son niveau de sécurité.
Pour @Animal et @Lenny qui doivent configurer des Nginx avec Ansible.
— Liens directs
We missed this Blackhat talk back in August, but it’s so good we’re glad to find out about it now. [Christopher Domas] details his obsession with hidden processor instructions, and how …
Pour ceux qui auraient manqué le coche, il semble bien que tous les processeurs x86 aient une porte dérobée permettant à ceux qui la connaissent de prendre le contrôle total de votre machine à distance.
Ce qui veut dire que Théo De Raadt, créateur d'OpenBSD, a raison depuis 20 ans sur le fait que les logiciels doivent partir du principe que leurs matériels sous-jacents leurs mentent.
— Liens directs
Edit : je l'ai baptisé Youtube Policy Remover
C'est en référence à cette vidéo qui n'est accessible si vous êtes connecté à votre compte Google (et vous le savez, je fais tout pour me débarrasser de Google #ViePrivée).
De fait, j'avais écrit le post en lien expliquant comment outrepasser facilement l'obligation technique d'être connecté à Google, qu'impose la firme de Mountain View, pour visualiser certaines vidéos (+18 et autres) qu'elle héberge.
Eh bien j'ai décidé d'automatiser cela via un bouton à ajouter à vos marque-pages Firefox qu'il vous suffit de glisser-déposer dans votre barre personnelle. Enjoy :D
Le bouton est ici : Remove Youtube Policy
P.S : la manip' donne en plus un accès directe à la vidéo Youtube permettant ainsi la lecture sur iBidules (chose qui foire assez régulièrement).
— Liens directs
Ou les choses à modifier pour sécuriser son WordPress... @Strawberry ?
— Liens directs
Un Firefox dont on a supprimé les traceurs hard-codés.
Merci à Liandri pour le lien.
— Liens directs