~ lilliput a écrit 275 commentaires

  • # Quelques conseils

    Posté par  (site web personnel) . En réponse au journal Epsilon, un outil de gestion de dépense. Évalué à 2.

    Tu devrais revoir tes filtres de textes:

    http://chiptunes.fr:8081/epsilon/scheduled/search?query=%22%3E%3Cscript%3Ealert%281%29%3C/script%3E
    http://chiptunes.fr:8081/epsilon/budget/edit/dbf999e53f431875013f44561e250011
    http://chiptunes.fr:8081/epsilon/tiers/edit/dbf999e53f431875013f4444556b000e

    Pour le changement de mot de passe il est recommander de demander l'ancien et demander de tapper 2 fois le nouveau.
    http://chiptunes.fr:8081/epsilon/person/edit

    Tu as aussi pas mal d'exception qui ne passe pas regarde tes logs ;)

    Le seul truc qui m'embete c'est le java perso trop lourd ;)

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • [^] # Re: CD DirectPlay

    Posté par  (site web personnel) . En réponse au journal Prochainement : les CDs DirectPlay . Évalué à 1.

    btw tu devrais egalement mettre des htaccess ou des index.html dans tes repertoires:

    c'est pas difficile a trouver :
    http://asso.lanpower.free.fr/images/directplay/s1/CDDirectPlayS1-300x300.jpg
    http://asso.lanpower.free.fr/images/directplay/

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • # CD DirectPlay

    Posté par  (site web personnel) . En réponse au journal Prochainement : les CDs DirectPlay . Évalué à 2.

    spoiler:

    http://asso.lanpower.free.fr/index.php?option=com_content&view=article&id=134

    C'est comme l'iphone oublie dans le pub !!!

    """
    Les CDs DirectPlay sont des compilations de jeux "portables", sans installation et exécutables directement à partir du CD à la manière d'une console de jeux. Ils ne sont pas forcément discrets : on pourra trouver des traces dans le répertoire utilisateur et la Base De Registre. Ces compositions sont fournies sous forme de CD donc en lecture seule. Il n'y a donc pas de possibilités de mémoriser les scores, les parties ou les options.
    Les jeux de cette sélection sont tous libres et existent en version Linux. L'interface est compatible Linux, mais, nous recommandons plutôt, d'utiliser la version native de ces jeux sous Linux.

    Cette compilation a été réalisée à partir du travail sur les GameKeys 700. Une fiche descriptive, des captures d'écran ainsi que des indications pour démarrer, accompagnent chaque jeu. Un effort de traduction a été fait puisque 14 jeux sur 20 sont traduits ou possèdent une documentation en français. Certains jeux sont issus de la collection de jeux portables de Framasoft.

    Version : la série 1 comprend 20 jeux libres.

    Utilisation :
    Lancer windows.bat sous Windows s'il ne se lance pas automatiquement. Sous linux lancer le script linux.sh .

    Ceci est une réalisation de l'association LanPower association informatique orientée jeux en réseau . Elle est sous licence CeCILL A v2 (chaque jeu est sous sa licence libre propre) et a été réalisé à partir des sites internet Jeuxlibres.net, Framasoft, Wikipedia , du Bottin des jeux Linux , cdlibre et Framakey ainsi que des sites officiels des jeux concernés.

    Liste des jeux disponibles :LanPower CD DirectPlay S1
    2H4U
    Area 2048
    BillardGL
    Cuby
    Cultivation
    FishFillets
    Gunroar
    Heroes
    Holotz Castle
    Jump'n Bump
    Kitsune
    ManiaDrive
    Neverball
    Neverputt
    Pathological
    Ri-li
    Sable
    Slime Volley
    SolarWolf
    Yoda Soccer

    Téléchargement : Tuxfamily , Freetorrent

    """

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • [^] # Re: Où sont les sources...

    Posté par  (site web personnel) . En réponse à la dépêche Le Projet "libre" Artica depasse les 20 millions de sites Internet catégorisés.. Évalué à 1.

    Salut,

    Je n'ai pas encore tester le live-cd mais ca ne serai tarder.

    En attendant j'ai lu un peu le code a la recherche de la liste des domaines et la licence de ces derniers. J'ai entre-apercu que certain fichiers n'etaient telechargeable qu'avec un identifiant FTP, d'autre listes externe (phishing et malware) ne sont utilisable que pour une utilisation non commercial.

    Serait-il possible de clarifier la licence de la liste des 20 millions de sites et de comment participer pour la tester et l'evoluer ?

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • [^] # Re: Entêtes binaires???

    Posté par  (site web personnel) . En réponse à la dépêche En route pour HTTP/2.0. Évalué à 0.

    linuxfr.org_session=toto  !!

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • [^] # Re: Traduction franglish

    Posté par  (site web personnel) . En réponse au journal Il sont pas mignons les concepteurs de GNOME 3 ?. Évalué à 0.

    value dans le context est avoir de l'estime pour gnome.

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • [^] # Re: En parlant photos

    Posté par  (site web personnel) . En réponse au journal Un mariage réussi avec du logiciel libre et sans enrichir Microsoft.... Évalué à 0.

    Exactement ça !
    Je n'aurais pas besoin de jouer avec le clavier grasse a la tablette, les utilisateurs n'auront jusqu’à toucher l’écran tactile.

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • # En parlant photos

    Posté par  (site web personnel) . En réponse au journal Un mariage réussi avec du logiciel libre et sans enrichir Microsoft.... Évalué à 2.

    Pour un mariage cet été je pensais mettre un /netbook/tablette pc[1]/ avec une lecteur de carte usb qui permet aux invités de synchroniser leur photos sur un disque dur et en même temps de les visualiser directement sur un vidéo projecteur qui tournerait en permanence.

    Dans le même genre je regarde pour faire un photo maton avec une webcam de qualité correcte et 'cheese' en mode plein écran. Idéalement les grimaces des uns et des autres seraient envoyée sur le vidéo projecteur.

    Je n'ai pas encore implémenté le système mais je suis preneur d’idée de logiciel dans les deux cas :)

    [1]: j'ai en stocke un 'O2 joggler' acheté pas très cher qui est touch screen http://cgi.ebay.co.uk/02-JOGGLER-unmarked-condition-Boxed-Perfect-/150625038724

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • [^] # Re: Pareil

    Posté par  (site web personnel) . En réponse au journal Sécurisation de l'authentification. Évalué à -2.

    Enfin en même temps tant qu'a faire une injection SQL est plus rapide que de se prendre la tête avec du XSS persistent (et plus 'discret') pour récupérer les cookies de session.

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • [^] # Re: Ça va être un beau bordel

    Posté par  (site web personnel) . En réponse à la dépêche IPv4 est mort, vive IPv6 !. Évalué à 2.

    Pas si tu utilises un firewall digne de ce nom en sortie de ton reseau.
    Un reseau d'entreprise, universite, ainsi que les *BOX (je l'espere fortement) une politique de bloquage par defaut du traffic entrant, les fameux modules de connection tracking pour le SIP, FTP seront toujours necessaire. C'est un defaut des conceptions de ces protocoles.

    Et ne me sortez pas l'argument du /64 est tres grand donc pas besoin de bloquer le traffic. Les reconnaissances *passives* de reseaux exisiteront toujours, reverse DNS, DNS, etc...

    La pile IPv4 est a peine securise, y'a pas si longtemps Microsoft a corriger une faille lie a l'IPv4 sur win7, on parle meme pas d'ipv6.

    Le plus grand changement sur l'IPv6 est la notation de l'IP elle meme, le nombre de syntaxe autorise est absolument effarente, j'imagine meme pas le nombre de bugs lies dans les interfaces web et autre lib user space, parce qu'une IP ce n'est pas que du routage.

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • [^] # Re: OBM ?

    Posté par  (site web personnel) . En réponse à la dépêche OpenChange et SOGo : la vraie alternative à Exchange. Évalué à 1.

    Thomas, effectivement vous êtes très actif sur Minig & opush. Question subsidiaire est ce que opush peut s’intégrer sur une plateforme non OBM ?

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • [^] # Re: OBM ?

    Posté par  (site web personnel) . En réponse à la dépêche OpenChange et SOGo : la vraie alternative à Exchange. Évalué à 3.

    Je suis OBM et MiniG de loin (MiniG a un client Jabber dans le webmail) mais il vient de prendre un coup dans l'aile: http://sylvaingarcia.blogspot.com/ c'est bien dommage !

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • [^] # Re: La montagne, ça vous perd

    Posté par  (site web personnel) . En réponse à la dépêche syj: site de partage d'itinéraire. Évalué à 4.

    Le second lien est juste un encodage en base64:

    $ echo djoxLjEqYzptZXRyb3Bv[....] | base64 -d

    v:1.1*c:metropole*cv:1.0*vv:1.1*xy:7.392197339343643|44.11470974309691*s:7*pv:1.0*p:expert*l:Scan|1|100|2

    voila ^^

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • [^] # Re: IPFuck

    Posté par  (site web personnel) . En réponse à la dépêche L'unicité des adresses IP : la fin du rêve HADOPIen ?. Évalué à 1.

    > Évidemment, si tu regardes l'autorité signataire des certificats concernés, tu pourras déceler le pot au roses (et encore : rien n'empêche de rajouter une CA intermédiaire dont l'Organisation serait un truc plus crédible que "Orange Ltd")

    Sur un téléphone 3G de *base* il est tres difficile de pouvoir consulté le certificat SSL en question. Ne possédant pas de iChose je ne saurais dire. Sur le n900 c'est relativement simple, le nom du CA est montré a chaque nouvelle connexion https.

    Mozilla a *récemment* audité les CA distribué avec firefox et ont eu quelques surprise.. ( http://groups.google.com/group/mozilla.dev.security.policy/b(...) )

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • [^] # Re: IPFuck

    Posté par  (site web personnel) . En réponse à la dépêche L'unicité des adresses IP : la fin du rêve HADOPIen ?. Évalué à 1.

    > En fait, pour discriminer deux utilisateurs qui sont allés sur le même serveur, au même moment, derrière la même IP publique, il faudrait logguer tout le contenu des paquets.

    Coupable tous les deux !! C'est tellement plus simple... !
    Non plus sérieusement dans le monde pro ce genre d'information est très utile voire indispensable pour traquer toutes sortes d'incidents. Quand aux logiciels de l'hadopi qui surveilleront l'usage illégale de p2p, ils collecteront très certainement ce genre d'information au minimum pour être exploitable devant un juge. Enfin j'espère que ce soit un pré-requis mais qu'il n'arrive pas à le remplir et finir sur des vis de forme.

    Comme dit une personne précédemment, techniquement les méthodes cités n'empecheront certainement pas les coupures de connexions mais ont le mérite d'être redécouverte, et peut être donner le gout au réseau a quelques un... et qui sait les logiciels Hadopi ne sont peut être pas compatible IPv6 ... :)

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • [^] # Re: IPFuck

    Posté par  (site web personnel) . En réponse à la dépêche L'unicité des adresses IP : la fin du rêve HADOPIen ?. Évalué à 0.

    J'ai oublié d'écrire sur le cout d'un disque qui est globalement pas très important, qu'elle est la période maximum de rétention autorisée par la CNIL ?

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • [^] # Re: IPFuck

    Posté par  (site web personnel) . En réponse à la dépêche L'unicité des adresses IP : la fin du rêve HADOPIen ?. Évalué à 0.

    Tout le trafic HTTP passe par des proxy, ca laisse des logs tout ca. Si vous regardez de plus près dans votre 'dossier' de certificat SSL, des certificats de votre opérateur ont été pré-installé ce qui fait qu'il pourrait faire de l'attaque de l'homme du milieu sur les connexions HTTPS et les loggues également.

    Pour ce qui est des connections, l'adresse source, de destination, port source et port de destination ainsi que l'heure de connexion est en soit unique permettant d'identifier la source de la connection. La question se posant est ce que les connexions sont loguées à cause de leur statut d'opérateur mobile. Sous linux, le module ulog2 permet d'enregistrer les données dans une base de données SQL.

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • [^] # Re: IPFuck

    Posté par  (site web personnel) . En réponse à la dépêche L'unicité des adresses IP : la fin du rêve HADOPIen ?. Évalué à -1.

    Oups, je me suis mélangé les pédales, en Angleterre ils vont utilisé le DPI ou assimilé sur les FAI de plus de 400K utilisateurs.

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • [^] # Re: IPFuck

    Posté par  (site web personnel) . En réponse à la dépêche L'unicité des adresses IP : la fin du rêve HADOPIen ?. Évalué à 0.

    Je pense qu'il y'a une petite confusion dans ce que tu as compris:

    L'adresse IP te servant à te connecter à internet ne peut pas etre modifiée sous peine de ne plus recevoir la reponse. Prenons le cas d'une lettre, tu écrits l'adresse du destinataire et au dos ton adresse pour que l'on puisse te répondre.

    Les analyses HADOPI pour le peux qu'on en connaissent 'ouvrent' et lit le contenu de ta lettre (Deep Packet Inspection), le principe de l'IPFuck est de transmettre des informations qui trompes le système. Le routeur ne modifie pas le contenu du paquet, juste l'adresse de l'envelope. C'est pour cette raison que l'IPFuck fonctionne uniquement sur le traffic HTTP en essayant de faire croire a HADOPI que ton réseau contient un proxy HTTP (relais de la poste).
    Mais le proprietaire du proxy se doit de sécuriser sa connexion cqfd.

    Ce que Benjamin Bayard as vous expliquer c'est qu'il est difficile disolé un individu derrière une addresse IP externe. Dans les réseau universitaire, ou professionnel il n'est pas rare d'avoir quelques centaines d'utilisateurs (adresses internes). Retrouver la personne correspondante nécessite souvent des ressources supplémentaire et ne permet pas avec certitude d'identifier la personne (c.f. mot de passe volé ...)

    La technique de IPFuck & Seedfuck est d'essayer générer des faux positives afin d'augmenter le cout (temps & financier) d'Hadopi.

    Je ne pense pas qu'Hadopi supporte le protocole RFC-1149 sa doit être praticable sur Paris avec des débit nettement supérieure à la fibre optique :)

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • # Article by obscurity

    Posté par  (site web personnel) . En réponse au journal Le logiciel libre aurait plus de problèmes de sécurité…. Évalué à 5.

    Certaines fois une simple commande est plus parlantes que 2 pages d'articles..

    zgrep IN=$EXT_IF /var/log/kernel* |grep -v ICMP| grep -v RST| sed 's/^.*DPT=//;s/ .*$//' | sort | uniq -c | sort -rn | head -n 20
    203459 445 Windows
    22585 23 *nix
    14325 7 *nix
    13149 8080 (Scan pour des proxy webs..)
    12324 8000 (Scan pour des services webs)
    6434 1080 windows worms ISC / (Scan pour des services webs)
    5385 135 Windows
    2741 22 *nix
    2455 60981 ?
    2194 32790 ?
    2188 1433 Windows
    1933 3128 (Scan pour des proxy web..)
    1625 1434 Windows
    1597 48377 ?
    1576 7212 ?
    1469 49153 ?
    1456 8118 (Scan pour des proxy web..)
    1454 80 (Scan pour des services webs)
    1379 2967 Windows Symantec AV

    Windows:
    214036 (72.0%)

    *nix:
    39651 (13.4%)

    Service Webs:
    43465 (14.6%)

    Maintenant il est vrai que les logs de serveur webs regorgent de vieux exploits PHP includes.
    La plus part des IDS reportent sur un certain contenu en utilisant des expressions régulières, il faut donc avoir un service configuré, et donc les statistiques générées seront aussi biaisées que les miennes ! Conclure que le logiciel open source est moins sécurisé y'a qu'un pas!

    Les projets WEB disons le fort et ouvertement sont tres rarement sécurisé, qu'ils soient pro ou pas.

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • # L'affiche ...

    Posté par  (site web personnel) . En réponse au journal Risque calculé : concert à Rouen le 28/04/2010.. Évalué à 1.

    ... elle est sympa, c'est fait avec quoi ? J'ai regardé les meta informations mais c'est vide.

    Je cherche à faire le même genre

    Sinon bon courage pour le concert

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • [^] # Re: Pratiques d'une ère (dé)passée

    Posté par  (site web personnel) . En réponse à la dépêche Threat modeling - Savez vous quelles sont les menaces qui guettent votre application ?. Évalué à 4.

    La bonne excuse !

    Soyons réaliste, la plupart des vulnérabilités que ce soit les projets WEB ou autres applications sont des vecteurs connus et très bien documentés. La communication entre communautés de la sécurité et des programmeurs était certes pauvre mais ce n'est plus le cas [1].

    Si les règles de base étaient appliquées, on verrait une diminution notable de vulnérabilités présentes dans les logiciels. On va prendre le cas *simple* et récurrent des XSS/SQL injections dans les applications web, les filtrages sont souvent soit inexistants et reposent sur le framework parent (ASP/IIS mod_security etc), soit souvent basés sur des blacklists. Prenons l'exemple suivant:
    http://host/script?id=1

    Il est facile de vérifier que "id" est un entier strict compris entre 0-65535 (whitelist). Pourquoi la plupart des programmateurs n'enlèvent juste que les ' " < > sur un *string* (blacklist) ?

    On est d'accord c'est la partie la moins plaisante de la programmation avec la documentation, on reçoit beaucoup moins d'échos quand l'application est simple mais sécurisée que bugguée avec plein de fonctions.

    Côté protocoles, il faut essayer de prendre un peu de recul et regarder les vulnérabilités des autres protocoles similaires [2]. Il est vrai que la fonctionnalité gagne souvent sur la stabilité. Certains protocoles comme les URL souffrent d'une RFC trop laxiste tel que le double encodage pour le HTTP toujours autorisé ou bien la fragmentation IP [3].

    Ne JAMAIS supposer qu'une variable d'entrée est sécurisée (trusted) qu'elle vienne de la base de données, ou d'un DNS [4] ou voire même d'un whois [5].

    En appliquant ces règles simples, le temps passé à la correction des bugs est souvent nettement inférieur (j'ai lu un article récemment sur ce point mais je ne retrouve plus le lien)

    [1]: http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Projec(...)
    [2]: (pub !) http://linuxfr.org/comments/1118391.html#1118391
    [3]: http://www.symantec.com/connect/articles/evading-nids-revisi(...)
    [4]: http://archives.neohapsis.com/archives/bugtraq/2001-10/0223.(...) , http://seclists.org/fulldisclosure/2004/Jun/438
    [5]: http://ha.ckers.org/blog/20071230/xss-on-whois/

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • # Secu

    Posté par  (site web personnel) . En réponse au journal Du DNS Dynamique (suite). Évalué à 2.

    Je n'ai pas regardé le code donc c'est juste les gros points à tester (non exhaustif of course :P ).
    Il faut faire attention que certaines entrée ne puissent pas être automatiquement ajoutée tel que 'WPAD' [1] ou 'ISATAP' [2]. La manipulation dynamique des entrées DNS via DHCP peuvent permettre de rediriger le traffic vers la machine de sont choix (MITM). Microsoft a eu quelques problèmes l'année dernière [3].

    J'ai vu beaucoup de charactères un peu spéciaux dans les noms de PC... Il est toujours bon de garder QUE les charactères a-z 0-9 ça permet d'éviter les injections au niveau LDAP et DNS.

    Il faut aussi que tu ne puisses pas ré-enregistrer des entrées déjà existantes i.e. www. mail. etc...

    Voilà

    [1]: http://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protoco(...)
    [2]: http://en.wikipedia.org/wiki/ISATAP
    [3]: http://blogs.technet.com/srd/archive/2009/03/13/ms09-008-dns(...)

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • # Distribution

    Posté par  (site web personnel) . En réponse à la dépêche Les distributions GNU/Linux sécurisées. Évalué à 3.

    Je pense que comme certains l'ont dit un peu plus haut avec le débat gentoo/debian, la distribution sécurisée est celle que l'on connaît et maîtrise. Il est par exemple *facile* de rendre OpenBSD vulnérable et par opposition rendre windows solide comme un roc (si si c'est possible :) ).

    La sécurité de mon point vue est facilitée par des logiciels simples à configurer avec une bonne doc et un support.. (par exemple perso j'aime bien la configuration des logiciels de DJB).
    L'évaluation de la sécurité se fait aussi par d'autres critères tels que le temps de correction d'une faille de sécurité et de la QA pour tester le patch. On évitera des logiciels avec un historique répétitif de failles.

    On voit cependant une réelle évolution des distributions, tout d'abord avec une remonté des bugs, des personnes dédiées à la sécurité, et même si tout n'est pas parfait on en prend le bon chemin.

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

  • [^] # Re: question subsidiaire

    Posté par  (site web personnel) . En réponse au journal Les Anglais et l'euro. Évalué à 3.

    http://www.populationdata.net/images/cartes/articles/monde-b(...)

    http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk