Journal miniurl ki pu

Posté par . Licence CC by-sa
Tags :
17
18
avr.
2016

On savait que les miniurls étaient déjà un risque pour la pérennité des liens hypertextes : un service qui tombe et c'est des millions de lien mort. Maintenant des chercheurs ont brute-forcé les principaux services et ont récupéré pas mal d'informations sensibles.

Bref, ces services sont à éviter. Perso, je pense que les vrais responsables sont les devs webs avec leurs mauvaises manières qui génèrent des urls de 1500 caractères.

L'article : http://www.silicon.fr/hyperlien-court-mini-taille-mais-maxi-risque-de-securite-145076.html

  • PS: brute-forcer, c'est pas beau, vous auriez (...)

Journal Avant c'est trop cher, après c'est trop tard

Posté par . Licence CC by-sa
48
7
avr.
2016

Vu que cette petite phrase semble parler à beaucoup de monde cela peut-être l'occasion d'en profiter pour partager ses expériences autour de cette thématique.

Pour ma part c'était principalement dans le domaine de la sécurité informatique.

Visite chez des prospects et proposition de test d'intrusion, audit de sécurité et mise en place d'une politique de sécurité.
Tu sens que le prospect te considère comme un gros parasite qui ne rêve que de lui piquer son pognon et de mettre des (...)

Les temps sont durs chez TuxFamily.org

Posté par (page perso) . Édité par Benoît Sibaud et palm123. Modéré par Benoît Sibaud. Licence CC by-sa
20
1
avr.
2016
Humour

Dans un courrier envoyé à l'ensemble de ses hébergés, TuxFamily.org propose une approche novatrice pour promouvoir les mises à jour de vos sites web hébergés, notamment du point de vue des failles de sécurité corrigées dans des versions plus récentes des produits que vous avez mis en ligne.

TuxFamily.org est un hébergeur de projets libres proposant des gestionnaires de version pour le code (git, svn… même si certains sont encore sur cvs o_O), espace web permettant de mettre en place forum / wiki / CMS / ce que vous voulez, espaces de téléchargement de 1 Go mais pouvant être augmenté à la demande.

À ce titre, l'équipe de joyeux mythos^W^W^Wde modérateurs et admins dévoués de TuxFamily veut mettre en place dans les prochains jours un système rappelant les bienfaits d'avoir un site à jour avec votre CMS / framework préféré, dans un contexte d'état d'urgence pour éviter les failles qui traîneraient dans de vieilles versions.

À titre expérimental, un exemple est donné sur certains sites sélectionnés(*) avant un déploiement plus général : vous avez de l'ordre d'un mois pour actualiser, avant mise en place effective. Sinon, vous aurez à subir la présence (l'omniprésence) de la trombine d'un des membres de l'équipe si votre site n'a pas été mis à jour : concrètement, elle apparaîtra sur toutes les pages de votre site et suivra le curseur de votre souris (oui, oui, c'est joueur).

Que pensez-vous de cette initiative ?

  • mytho : franchement, ce n'est fait que pour mettre en avant l'équipe !
  • logique : pour promouvoir la sécurité, il faut savoir en arriver à des mises en abîme
  • vous croyez vraiment que je vais mettre à jour mon site qui fonctionne très bien en python 2.4 ? (vécu)
  • hein, TuxFamily.org existe encore alors que tout le monde est sur github^Wgitorious voire auto-hébergé !?
  • autre : les commentaires sont là pour donner votre avis (même si vous n'êtes pas hébergé(e))

Forum Programmation.SQL Mysql piraté

Posté par . Licence CC by-sa
2
29
mar.
2016

Bonjour,

Je travaille dans une petite association et depuis quelques jour des bénévoles qui s'inscrivent sur notre site reçoivent des emails frauduleux les invitants à renvoyer des informations personnelles.

Notre site Web s'appuie sur 2 frontaux APACHE et une bases MySQL.
Savez vous comment je peux détecter des piratages de notre base de données?

Est-ce qu'il y a une possibilité d'obtenir les logs des requêtes Mysql effectuées depuis 20 jours avec l'adresse IP qui a envoyé ces requêtes et la (...)

Root-me: Rémunération des challenges de hacking et naissance de Root-me.pro

Posté par . Édité par Nÿco, Xavier Teyssier, palm123 et ZeroHeure. Modéré par Ontologia. Licence CC by-sa
32
11
mar.
2016
Sécurité

Root-me est un MOOC (Massive Open Online Course) de sécurité informatique. Root Me permet à chacun de tester et d’améliorer ses connaissances dans le domaine de la sécurité informatique et du hacking. Cette communauté met librement à disposition une plateforme dédiée à l’apprentissage du ethical hacking.

Nouveautés et évolution pour Root-Me.org :

  • nouveau design ;
  • rémunération pour les créateurs de challenge sur une liste pré-établie par le staff ;
  • une boutique en ligne en partenariat avec Spreadshirt ;
  • la possibilité aux membres de la communauté de cotiser pour l'association et de bénéficier de privilèges supplémentaires ;
  • de nombreux environnements virtuels ont été ajout ;
  • et bien sur toujours plus de challenges…

Root-Me.pro

Pour répondre aux fortes demandes des entreprises, notamment pour des challenges inter-entreprises et d'autres spécificités, Root-me.pro est né :

  • scoreboard dédié ;
  • sélection de challenge ;
  • support dédié.

Sortie de LemonLDAP::NG 1.9

Posté par (page perso) . Édité par ZeroHeure et Nÿco. Modéré par Nÿco. Licence CC by-sa
26
4
mar.
2016
Sécurité

LemonLDAP::NG est un logiciel libre d'authentification unique (SSO), contrôle d'accès et fédération d'identités. La version 1.9.0 a été publiée le 2 mars 2016.

Logo LemonLDAP::NG

LemonLDAP::NG est écrit en Perl et publié sous licence GPL. Cette nouvelle version majeure apporte de grands changements au logiciel comme le support OpenID Connect, une nouvelle interface d'administration et la compatibilité Nginx.

Revue de presse de l'April pour la semaine 8 de l'année 2016

21
1
mar.
2016
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Journal Docker 1.10 et les user namespace.

Posté par (page perso) . Licence CC by-sa
37
23
fév.
2016

La version 1.10 de Docker est sortie la semaine dernière et apporte de nombreuses fonctionnalités intéressantes. La fonctionnalité la plus intéressante est sans aucun doute l'ajout des Users Namespaces.

Les namespaces permettent de créer des groupes de processus isolés du reste de la machine, c'est l'outil de base pour création des containers sous Linux.

Docker supportait déjà la plupart des namespaces:

  • PID namespace, chaque conteneur a ses propres id de processus
  • UTS namespace, pour avoir son propre hostname
  • (...)

Journal Attention si vous avez téléchargé l'ISO Linux Mint 17.3 sur leur site depuis le 20-02 !

Posté par . Licence CC by-sa
42
21
fév.
2016

Bonjour,

Petit journal pour alerter ceux éventuellement concernés, suite à un sujet sur le blog officiel de Linux Mint : leur Wordpress a été la cible de plusieurs attaques à partir du 20 février (il est hors-ligne à l'heure où je publie), et le lien vers l'Iso de Linux Mint 17.3 Cinnamon a été changé, pointant sur un site tiers délivrant une version modifiée de celle-ci avec backdoor.

Source : http://blog.linuxmint.com/?p=2994

Apparemment, c'est la seule version concernée : les autres (...)

PacketFence 5.7 maintenant disponible

Posté par (page perso) . Édité par Nils Ratusznik, Nÿco et palm123. Modéré par tankey. Licence CC by-sa
18
18
fév.
2016
Sécurité

Inverse a annoncé le 17 février 2016 la sortie de la version 5.7 de PacketFence, une solution de conformité réseau (NAC) entièrement libre (GPL v2), supportée et reconnue. PacketFence dispose de nombreuses fonctionnalités, comme un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaires et sans fil, la prise en charge du 802.1X, l'isolation niveau 2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus. Cette solution peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

Logo PacketFence

La version 5.7 de PacketFence apporte de nombreuses améliorations telles un nouveau mécanisme d'isolation d'appareils basé sur le protocole DNS, la possibilité d'utiliser le protocole SAML pour l'authentification des utilisateurs sur le portail captif, une visibilité complète des appareils connectés au réseau à tout moment donné et la possibilité d'effectuer une vérification en temps réel de tous les fichiers téléchargés et d'isoler les appareils ayant téléchargés des fichiers infectés par des virus informatiques.

Journal Faille de sécurité dans la GNU libc avec les requêtes DNS

54
17
fév.
2016

Une faille très sérieuse (CVE-2015-7547) vient d'être découverte dans la GNU libc (qui équipe tous les serveurs et desktops utilisant Linux…). Lorsqu'on résoud un nom en adresse, avec getaddrinfo(), le tampon où arrive la réponse n'est pas toujours le bon, et une réponse de grande taille peut écraser la mémoire, et mener au crash du client, voire à l'exécution de code (aïe).

Une exploitation typique est : le méchant se connecte à un serveur SMTP GNU/Linux depuis une adresse IP (...)

Revue de presse de l'April pour la semaine 6 de l'année 2016

23
15
fév.
2016
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

PacketFence 5.6 est disponible

22
14
jan.
2016
Sécurité

Inverse a annoncé le 13 janvier 2016 la sortie de la version 5.6 de PacketFence, une solution de conformité réseau (NAC) entièrement libre (GPL v2), supportée et reconnue. PacketFence dispose de nombreuses fonctionnalités, comme un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, la prise en charge du 802.1X, l'isolation niveau 2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus. Cette solution peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

Logo PacketFence

La version 5.6 de PacketFence apporte de nombreuses améliorations telles qu'un module d'audit RADIUS permettant la traçabilité des événements sur le réseau, le regroupement des commutateurs pour leur appliquer une configuration commune, ou encore les filtres DHCP permettant d'effecteur des actions basées sur les empreintes numériques d'un appareil.

Forum Linux.général Comment éviter le masquage de l'extension .desktop par un explorateur de fichiers ?

Posté par . Licence CC by-sa
5
12
jan.
2016

Bonjour.

Suite à la lecture de ce commentaire, et test (en modifiant le script intégré), j'ai donc compris que cet im* d'explorateur de fichiers (Caja, en l'occurence) ne vaut pas mieux que celui de Ms Windows concernant le masquage d'extensions, et que ça crée un gros risque pour l'utilisateur lambda.

Certes, si le droit "x" n'est pas activé, l'extension apparaît. Mais, comme par exemple l'extraction d'une archive tar préserve le droit "x", le risque demeure.

D'où ma question (...)