Un package « nodejs » assez populaire balance les variables d'environnement des imprudents utilisateurs vers son serveur. Bien sur, ces variables contiennent souvent des mots de passes, des tokens API et autres informations spécifiques.

Plus de détail sur https://medium.com/@ceejbot/crossenv-malware-on-the-npm-registry-45c7dc29f6f5 le 3ème point va vous faire halluciner !

Il y a vraiment des gens qui utilisent ça sur des serveurs de production ? Je veux dire dans un mode de vrais professionnels.

L'une des parades seraient un firewall applicatif. Ca existe sous Linux ?

Tout d’abord un peu de contexte.
Grsecurity/PaX est une série de correctifs (patches) développés dans l’optique d’améliorer la sécurité du noyau Linux. Ces correctifs n’ont, pour diverses raisons, pas été intégrés en amont dans le noyau Vanilla et il s’agit donc d’un correctif externe que les utilisateurs doivent appliquer au code source du noyau avant de le recompiler.

Open Source Security, Inc. est la société qui commercialise le correctif Grsecurity auprès de ses clients. L’accès au correctif a été progressivement (…)

2008 : Butter FS (Btrfs) semble le système de fichiers du futur.
[source LinuxFr.org !]

2012 : il avance à grands pas [toujours sur LinuxFr.org].

2017 : dans sa note de publication Red Hat Enterprise Linux (RHEL) 7.4
Red Hat déclare que Btrfs n’est plus de la partie pour RHEL :

« The Btrfs file system has been in Technology Preview state since the initial release of Red Hat Enterprise Linux 6. Red Hat will not be moving Btrfs to a fully supported feature and it will be removed (…)

Le Bitcoin vient de subir un hardfork, donnant naissance au Bitcoin Cash. Je ne prétends pas tout comprendre au Bitcoin (c'est clairement compliqué), mais je vais essayer d'expliquer ce que j'ai compris.

Depuis quelques années déjà se posait le problème de la scalabilité du Bitcoin. La taille d'un bloc étant limitée à 1Mo, et un bloc étant calculé toutes les 10 minutes (par augmentation de la difficulté en réaction à l'augmentation de la puissance de calcul), cela limite le nombre (…)

Bonsoir nal,

Il y a quelques semaines, je fus victime d’un odieux larcin, mon PC portable pro a été dérobé (cher voleur, tu peux faire un git push de mes devs ferroviaires ?). Donc nouveau PC portable pro, installation de Debian, et toute la phase rigolote de sécurisation de la machine.
Je vous passe l’installation de Debian (LUKS, SELinux, nftables…), on va se concentrer ici sur les firmwares.

1^er firmware : le microcode du processeur

Comme vous le savez peut‐être, les (…)

Les symptomes

Vous pondez du code un peu mou ?

Votre dernière analyse d'uri laissait à désirer ?

Vous sentez comme une légère baisse de motivation à propos du énième framework révolutionnaire destiné à un organe de forme circulaire, tournant autour d'un axe passant par son centre ?

Les couleurs de votre term sont ternes ?

Vim s'est perdu dans la matrice en recherchant Neo ?

Vous utilisez Emacs d'une seule main ?

Lire les derniers journaux polémiques de linuxfr ne vous inspire qu'indifférence, et vous (…)

L’AP‐HP propose aux personnes étant atteintes de maladies chroniques de participer à la recherche de deux façons intéressantes et complémentaires :

• ComPaRe, est un projet scientifique collaboratif qui vise à faire avancer la recherche sur les maladies chroniques en impliquant largement les patients.
  L’objectif est de fonder une communauté de 200 000 participants atteints d’une ou plusieurs maladies chroniques qui peuvent, quelle que soit leur maladie, partager leurs expériences directement avec les chercheurs, grâce à Internet ; une fois inscrit à (…)

Je suis tombé sur quelques articles qui me semblent pertinents concernant l’ambiance qu’il y aurait chez Wikimédia France.
Comme c’est du Libre et qu’ici on parle de Libre, je suis étonné de ne pas avoir vu passer un journal sur le sujet, donc je m’y colle, par ordre chronologique des articles (qui copie sur qui ?) :

• Exclusions, menaces, budget recalé : c’est la crise chez Wikimédia France (L’Obs / Rue89) ;
• C’est la crise chez Wikimédia (NovaPlanet) ;
• Démissions, subvention amputée, gouvernance mise en (…)

J’ai découvert via le blog du développeur OpenBSD Ted Unangst (certificat auto‐signé), cette présentation d’Ilja van Sprundel au sujet des bogues noyau des BSD : https://media.defcon.org/DEF%20CON%2025/DEF%20CON%2025%20presentations/DEFCON-25-Ilja-van-Sprundel-BSD-Kern-Vulns.pdf.

Cela commence par une petite citation de Theo de Raadt (datant de 2005) et qui affirme que les développeurs du noyau Linux ne se préoccupent pas vraiment de la qualité, à la différence des devs OpenBSD.

Si l’on regarde les CVE, on voit qu’effectivement les vulnérabilités noyau de Linux sont plus nombreuses que celles des BSD. Est‐ce parce que (…)

Bonjour Nal,

Depuis quelques temps, OVH permet à tout leurs clients d'avoir des certificats SSL gratuits grâce à Let's Encrypt. C'est automatisé, y'a rien à faire, et c'est bien!

Mais quel est l'intérêt si pour envoyer des fichiers sur mon hébergement, je n'ai aucune sécurité? En effet, depuis toujours, les hébergements Perso n'ont qu'un simple accès FTP, avec mot de passe non chiffré.
Pour Héberger mon blog, je n'ai pas besoin de 250 Go d'espace, ou de 100 comptes (…)

Les développeurs GNOME travaillent à ajouter le support des tags dans leur gestionnaire de fichiers Nautilus (sobrement traduit "Fichiers").

Durant le développement, ils se rendent compte que les tags sont une organisation de fichiers à l'opposé de la structure traditionnelle par dossier. Plutôt que de proposer une interface compliquée à intégrer dans l'application à cause de ces natures différentes, ils ont fait le choix très judicieux de restreindre l'utilisation des tags au marquage de fichiers comme « favori ».

C'est une idée (…)