Salut,
J'ai un petit doute sur la faisabilité du certificat letsencrypt par generation en challenge http. Cela signifie avoir contrôle sur le DNS de la cible mais aussi de l'autorité certification. Donc le contrôle du DNS sur lequel est hébergé le site distant.
A ma connaissance pour MitM avec du déchiffrement SSL, l'attaquant dispose d'une autorité de certification qui doit etre installé sur le client (ou depuis une autorité installée par défaut). C'est ce que l'on voit de plus en plus dans les sociétés avec zscaler. Ou l'on doit installer le certificat racine zscaler utilisé pour le dechiffrement SSL sur le PC pro.
A moins que j'ai raté une news, mais dire que n'importe qui peut génèré un certificat letsencrypt à ta place, dit que letsencrypt n'est pas sûr.
Le seul cas serait si la boite est mise devant ton IP publique mais a ce niveau il y a beaucoup de choses de corrompues.
Sur le fait de suivre les certificats générés sur un domaine que tu gères (ou pas) peut s'averer tres util cependant 🙂
Les risques liés à la collecte des données faites par Google (et d'autres) m'inquiètent depuis de nombreuses années.
Croire que leur service éthique est indépendant et dispose d'un pouvoir quelconque me semble dupe.
Oui Google réalise des IA avec les données collectées et sont de plus en plus gigantesques. Et quiconque s'opposera à ça en interne sera sujet a des problèmes. Il s'agit de leur "business model". Qu'il fasse le menage n'a donc rien d'étonnant.
J'ai envie de dire fallait s'inquieter avant et j'imagine que la plupart des lecteurs ici (quoi que?) l'ont fait mais pas le grand public.
Du coup ce qui se passe est le resultat de ces 10 dernières années. Le message le plus important et qu'il faut arreter d'alimenter la machine avec nos données. Mais c'est bien plus facile a dire qu'à faire en 2021.
j'ai l'impression que je n'ai pas été le seul par avoir envie de tester. le serveur semble ne plus répondre :
Retrieve world source from server
thread 'main' panicked at 'called `Result::unwrap()` on an `Err` value: reqwest::Error { kind: Request, url: "http://91.121.134.31:7431/world/source", source: TimedOut }', src/server/client.rs:283:33
note: run with `RUST_BACKTRACE=1` environment variable to display a backtrace
# un doute sur le cert LE
Posté par valvin . En réponse au journal Predator files : surveillez les logs Certificate transparency sur vos domaines. Évalué à 2.
Salut,
J'ai un petit doute sur la faisabilité du certificat letsencrypt par generation en challenge http. Cela signifie avoir contrôle sur le DNS de la cible mais aussi de l'autorité certification. Donc le contrôle du DNS sur lequel est hébergé le site distant.
A ma connaissance pour MitM avec du déchiffrement SSL, l'attaquant dispose d'une autorité de certification qui doit etre installé sur le client (ou depuis une autorité installée par défaut). C'est ce que l'on voit de plus en plus dans les sociétés avec zscaler. Ou l'on doit installer le certificat racine zscaler utilisé pour le dechiffrement SSL sur le PC pro.
A moins que j'ai raté une news, mais dire que n'importe qui peut génèré un certificat letsencrypt à ta place, dit que letsencrypt n'est pas sûr.
Le seul cas serait si la boite est mise devant ton IP publique mais a ce niveau il y a beaucoup de choses de corrompues.
Sur le fait de suivre les certificats générés sur un domaine que tu gères (ou pas) peut s'averer tres util cependant 🙂
# pessimiste ?
Posté par valvin . En réponse au journal Google démantèle son éthique (et tout le monde s'en fout...). Évalué à 10.
Les risques liés à la collecte des données faites par Google (et d'autres) m'inquiètent depuis de nombreuses années.
Croire que leur service éthique est indépendant et dispose d'un pouvoir quelconque me semble dupe.
Oui Google réalise des IA avec les données collectées et sont de plus en plus gigantesques. Et quiconque s'opposera à ça en interne sera sujet a des problèmes. Il s'agit de leur "business model". Qu'il fasse le menage n'a donc rien d'étonnant.
J'ai envie de dire fallait s'inquieter avant et j'imagine que la plupart des lecteurs ici (quoi que?) l'ont fait mais pas le grand public.
Du coup ce qui se passe est le resultat de ces 10 dernières années. Le message le plus important et qu'il faut arreter d'alimenter la machine avec nos données. Mais c'est bien plus facile a dire qu'à faire en 2021.
[^] # Re: victime de son succès? :)
Posté par valvin . En réponse au journal Rolling: un nouveau jeu libre. Évalué à 1.
c'est bien un souci réseau lié au paramétrage de ma box. en passant sur mon téléphone c'est ok.
[^] # Re: victime de son succès? :)
Posté par valvin . En réponse au journal Rolling: un nouveau jeu libre. Évalué à 1.
Bon du coup, j'aurais tendance à dire qu'il y a quelque chose qui fait que ça ne fonctionne pas chez moi :)
Peut-être il y a des dépendances à installer que je n'ai pas?
Si jamais ça peut aider, la stacktrace en question : https://framabin.org/p/?f56292a2c6778e75#4RQIeQ1ZpCgZj7UYSxajIVRDxqp0VjGLHsEG51HzNw4=
# victime de son succès? :)
Posté par valvin . En réponse au journal Rolling: un nouveau jeu libre. Évalué à 1.
coucou,
j'ai l'impression que je n'ai pas été le seul par avoir envie de tester. le serveur semble ne plus répondre :
En tout cas, chouette projet :)