Revue de presse — mai 2013

Posté par (page perso) . Édité par Benoît Sibaud, xunfr, Xavier Claude et Xavier Teyssier. Modéré par Nils Ratusznik. Licence CC by-sa
19
21
mai
2013
Presse

La revue de presse papier est arrivée. Ceux qui ne sont pas encore passés par leur marchand de journaux ce mois‐ci peuvent actuellement trouver en kiosque les magazines suivants :

  • GNU/Linux Magazine no160 : outils de série pour l'analyse système.
  • Linux Pratique no77 : garder le contact avec ses applications Windows
  • MISC no67 : dossier spécial Apple et Mac.
  • GNU/Linux Magazine hors-série no66 sur Apache, sous forme de mook, mot valise indiquant un contenant à la croisée d'un magazine et d'un livre (alias book en anglais);
  • MISC hors série no7, petit guide de la rétro-ingénierie.

Ce sont tous des bi(tri)mestriels, à part pour GLMF. Précipitez-vous donc pour l'acheter s'il vous intéresse ! Et encore trouvable en kiosque, pour les retardataires : Linux Essentiel no31, Open Silicium no6, Planète Linux no74.

À venir, vous trouverez

  • Linux Pratique hors-série no27 sur la ligne de commande le 31 mai (lui aussi sous forme de mook)

NdM : La revue de presse est ouverte et collaborative. Merci à xunfr, Xavier Claude et Xavier Teyssier pour ce mois-ci. Si vous voulez parler de votre magazine préféré, ou prendre en charge un magazine spécifique, n’hésitez pas à nous rejoindre sur l’espace de rédaction de LinuxFr.org. Nous pourrons même vous faire gagner un abonnement au magazine choisi. Cela a d'ailleurs été le cas pour tOngas le mois passé !

Sommaire

GNU/Linux Magazine no160

Après une entrée en bouche sur la sortie du noyau Linux, dans sa version 3.8, et le délaissement de l'architecture de type 386, ainsi qu'une explication détaillée de la limitation de la mémoire noyau dans les cgroups, ce numéro continue sur les explications du raytracer en Postscript. Ensuite, un petit tutoriel pour installer son serveur de synchronisation pour Firefox. Puis, une critique du livre « Le guide de Lua et ses applications ».

Arrive le dossier de couverture sur les outils à disposition de l'administrateur pour lui permettre d'analyser plus finement son système, et procéder à la résolution de pannes. La suite nous explique la gestion des traps SNMP sous Centreon. Le magazine continue avec une explication de Rancid, un logiciel libre permettant de sauvegarder les configurations des équipements réseaux (Cisco, Juniper, HP…) (souvent non-libres eux). Dans la série « Parce qu'un sysadmin naît tous les jours… », on nous explique comment installer et configurer un serveur DNS avec Bind et d'un DHCP avec isc-dhcp.

Puis, un article sur l'intégration de NFC du point de vue bas niveau sous Android. L'article sur les patrons variables du C++11 du mois précédent est complété par les usages courants relatifs au nombre variable de paramètres. Enfin, deux articles sur les bonnes pratiques du développement en PHP : l'utilisation des exceptions et un autoloader de classes.

Linux Pratique no77

Ce numéro consacre sa couverture aux moyens de garder le contact avec ses applications Windows lorsqu'on a choisi Linux, notamment via Wine, ou la virtualisation de machines. Côté applicatif, on retrouve deux dossiers principaux consacrés à SlowmoVideo (jouer sur la vitesse des scènes vidéos), et à Ekiga (VoIP) dans sa version 4. Le magazine poursuit avec le partitionnement et la mise en place d'un serveur sous 4MLinux, le stockage cloud et sécurisé avec Tarsnap, la réalisation de titres pour OpenShot par le biais de Blender, une partie repères qui parle d'outils de compression actuels, la télédifusion d'applications grâce à la solution GLPI et des fiches pratiques, entre autres sur l"installation d'un environnement LAMP. Sans oublier la partie « codes » avec les deux langages que sont PHP et Python.

MISC no67

Après une étude de l'exploit mémoire du SGBD MySQL (CVE-2012-5611), d'un test d'intrusion (pentest) sur Jboss As, et l'exploitation et la construction d'une frise chronologique (timeline), ce numéro consacre son dossier sur Apple et le système Mac. Comme l'annonce l'introduction du dossier, Microsoft n'a plus le monopole de la firme qu'on aime détester. Les turpitudes de la forme à la pomme sont passées en revue avant d'aborder les types de menaces sur MacOS pour finir sur le passage au crible de Mach-O, le format binaire de MacOS. Côté code, c'est au tour de Got Powershell de faire l'objet d'un article montrant la puissance utilisable pour un attaquant, puis de la détection des failles mémoires avec Address Sanitizer, et de conclure avec une étude de Kon-Boot, lié à l'authentification des systèmes Microsoft Windows.

GNU/Linux Magazine hors-série no66

Ce hors-série traite du serveur web Apache et se présente sous forme de mook (tout comme le précédent hors-série sur GIMP), mot valise indiquant un contenant à croisée d'un magazine et d'un livre (alias book en anglais).
Ce numéro se destine clairement à des personnes souhaitant monter en compétence sur le sujet (car un adminsys naît tous les jours). En effet, c'est une bonne introduction pour qui souhaite mettre en place le serveur http de référence (du monde libre ou pas d'ailleurs). Cinq parties pour avoir les bases (et un peu plus) :

  1. Introduction : l'histoire du web, le protocole HTTP, la fondation Apache et son projet phare éponyme
  2. Installation : en plus des commandes pour Debian/Ubuntu et RedHat, cette section présente les différentes entre MPM Worker, Prefork, Event et ITK ainsi que les éléments de configuration basiques et indispensables
  3. Les applications web : tout ce qu'il faut pour lier Apache avec les interpréteurs PHP, Perl, Python et Ruby
  4. Authentification et chiffrement, avec respectivement LDAP et SSL
  5. Des tutoriels : LAMP sur Ubuntu, la gestion des redirection, phpMyAdmin, mod_evasive, Django et les statistiques basées sur les logs du serveur avec AWStats

Les personnes plus expérimentées attendront le numéro incluant les techniques plus avancées (WAF, Reverse Proxy, WebDAV, etc)

MISC hors-série no7

Consacré à la rétro-ingénierie (« reverse enginering »), c'est fort logiquement que nous commençons par deux articles nous présentant les bases de la rétroconception. Serons ensuite abordés les thèmes de l'obfuscation (obscurcissement disent les Québécois), des packers, puis l'analyse d'un malware afin de déterminer les risques qu'il fait encourir à sa cible. On enchaîne en s'intéressant à la rétroconception des protocoles de communication grâce au framework Netzob, puis on regarde comment analyser un exploit 0-day afin de savoir le détecter lorsqu'il reviendra. Les deux articles suivants nous donnent les bases pour se lancer dans la rétro-ingénierie sur plateforme Android ou sur plateforme iOS. On s'attaque alors à l'analyse de l'API de Facebook, via son application Android, pour découvrir des fonctions non documentées permettant d'outrepasser certaines des limites imposées sur l'interface web. Et on termine en évoquant les méthodes permettant d'analyser le fonctionnement des puces électroniques.
Enfin, relisez l'édito à rebours ;-)

  • # la rétro-ingénierie

    Posté par (page perso) . Évalué à 3.

    J'ai adoré le MISC hors-série sur la rétro-ingénierie.

    Amusant de noter que dans certaines applis Android, 95% du code est pour la publicité…

    L'anecdote sur Google qui trouve des bugs dans le lecteur Flash montre que de gros moyens CPU, ça peut beaucoup aider :
    "Google est parti d'un corpus de 20 Téraoctets de fichiers SWF. La première étape a été d'en extraire une liste de 20 000 fichiers offrant une bonne couverture du code binaire du lecteur Flash. Cela a nécessité une semaine de calcul sur 2 000 coeurs CPU. Ces 20 000 fichiers ont servi à générer aléatoirement des entrées pour une campagne de fuzzing de 3 semaines encore sur 2 000 coeurs.
    Cela leur a permis d'identifier 106 bugs après une première analyse par Adobe des différents crashs observés."

    If you choose open source because you don't have to pay, but depend on it anyway, you're part of the problem.evloper) February 17, 2014

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.