Il y a un peu plus d'un an de ça, j'ai travaillé sur une application web de stockage de données sur qrcode utilisant un système proche du Raid des disques dur permettant de proposer à l'utilisateur de stocker des données sur une série de qrcode et de pouvoir n'utiliser qu'une fraction de ces qrcodes pour récupéré ses données.
À l'époque, il s'agissait d'une application web qu'il était compliqué de déployer car nécessitant quelques binaires et notamment une version patché (…)
Cher journal,
Hack.lu, c'est fini, c'était la semaine passée. Alors, je vais te faire un résumé rapide des conférences que j'ai ou dont j'ai entendu parlées qui étaient particulièrement intéressantes. Vous pouvez retrouver une partie des supports de présentation dans les archives, elles n'étaient cependant pas filmées. Je ne vais pas détailler plus que ça parce que je n'ai pas forcément vu les conférences et puis, avec Google et le titre, vous trouverez plein d'informations si le sujet (…)
POODLE signifie Padding Oracle On Downgraded Legacy. Il s’agit d’une vulnérabilité permettant via une attaque de l’« homme du milieu » (MIM, Man In the Middle), en se plaçant entre le navigateur Web et le serveur Web, de déchiffrer les informations chiffrées.
POODLE affecte les anciennes normes de chiffrement, notamment Secure Socket Layer (SSL) version 3.0. Il n’affecte pas le mécanisme de chiffrement plus récent, et standardisé, appelé Transport Layer Security (TLS).
Pour atténuer cette vulnérabilité, désactivez SSL 3.0 en forçant l’utilisation de TLS, tout en vérifiant la compatibilité des navigateurs clients devant y avoir accès.
Salut les packets IP ;)
Mes connaissances en architectures réseaux sont un peu lointaines et j'aimerais profiter de cette manne de connaissances qu'est LinuxFr pour m'aider dans ma réflexion.
Avec la recrudescence des failles découvertes un peu partout en ce moment, les super h4ck3rs du dimanche s'en donnent à coeur joie dans les log Nginx notamment.
C'est l'occasion de revoir un peu l'aspect sécurité sur mes services auto-hébergés, notamment sur la gestion des IP/packets entrant vers mes services.
J'aimerais beaucoup exclure (…)
SELKS est une distribution liv_e et installable qui fournit un système de détection d’intrusion (_Intrusion Detection System, abrévié IDS) Suricata prêt à l’emploi. Elle intègre Scirius, une interface Web de gestion des règles de l’IDS, et le trio Elasticsearch, Logstash et Kibana (ou "ELK"). L’interface Kibana permet d’analyser les alertes et les événements remontés par l’IDS.
Le projet SELKS a été initié pour fournir un moyen de tester rapidement les capacités de l’IDS Suricata dans le domaine de la détection d’intrusion réseau et dans le domaine de la surveillance réseau. En mode live, il est ainsi possible de passer de l’amorçage du système à l’analyse du trafic réseau dans Kibana en 30 secondes.
Hello tout le monde,
HardenedBSD évolue petit a petit à ce qu'on peut voir ici … Une fois qu'ASLR est poussé "upstream", les autres features peuvent suivre. En effet, apres un EuroBSDCon 2014 riche en evenements, la mise a jour d'arc4random (qui utilise l'algo Chacha 20 en lieu et place du vénérable RC4) côté userland et kernel, l'addition de l'appel systeme getentropy (je crois que sous Linux c'est plutot getrandom ? à vérifier…), les libraries et quelques binaires compilent respectivement avec (…)
Bonjour, Nal
Un journal bookmark pour signaler : faut mettre à jour bash
Voilà, c'est tout. Vous pouvez reprendre une activité normale.
Pour les autres, qui ne vont pas reprendre une activité normale de suite, on pourra résumer cela en "c'est sérieux, urgent, et mérite peut être une campagne de patch au pied levé". Cette découverte, qui date d'une vingtaine de jours aujourd'hui, vient d'avoir ses correctifs validés, à priori (…).
Sans cela, il est possible de faire, par exemple (…)
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
hupstream est fier de vous annoncer la 3e édition de Kernel Recipes, les 25 et 26 septembre 2014.
Cette nouvelle édition s’annonce pleine de promesses. Cette année nous vous proposons des conférenciers venus des États‐Unis, d’Europe et de France : Greg Kroah‐Hartman, Hans Peter Anvin, Jean Delvare, Willy Tarreau, Borislav Petkov, Martin Peres, Maxime Ripard, Julien Grall, Eric Leblond, Samir Bellabes et Hans Verkuil.
Nombre d’entre eux interviendront pour la première fois en France.
Quatre ans après la parution du premier tome du Guide d'autodéfense numérique, le second tome, dédié aux enjeux liés de l'utilisation des réseaux et d'Internet est enfin terminé. Cet ouvrage vise à présenter l’« absence d’intimité » du monde numérique et propose des méthodes pour ajuster ses pratiques quotidiennes en conséquence. Les deux volumes sont d’ores et déjà disponibles en consultation et en version imprimable à l’adresse http://guide.boum.org/.
Dans votre bureau ou votre école, il vous arrive parfois de voir qu'un de vos collègues a laissé une session ouverte sur un poste avant de l'abandonner pour faire une pause ou de partir en réunion. Comment réagissez-vous ?
Total : 1734 votes
Le vendredi, c'est la chasse aux trolls. Et là, j'en tiens un beau \o/
http://blog.erratasec.com/2014/07/cliche-open-source-is-secure.html Alors, OK, comme le titre le laisse annoncer, il ne faut pas croire aveuglément que l'open source est plus secure que le closed source, idée à laquelle il est simple d'adhérer.
Par contre, le reste du post est rempli de trolls bien gras. Le premier paragraphe est juste mythique:
Unusable crypto isn't a valid option for most users. Most would rather just not communicate at (…)
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
Un bon petit article alarmiste pour commencer ce trolldi.
L'article source, que je préfère résumer car le ton m'a l'air trop alarmiste : La norme USB possède une énorme faille de sécurité qui ne pourra pas être comblée
Qui a lui-même une source sur Wired.
La Black Hat Security Conference à Las Vegas, c'est dans une semaine ! On va donc faire monter la hype avec une annonce fracassante d'une des conférences : à cause d'une faille de conception, il (…)
ProtonMail est un service de messagerie web sécurisé créé en 2013 par Jason Stockman, Andy Yen et Wei Sun au CERN, situé à côté de Genève en Suisse. À l'opposé de nombreuses messageries web existantes (gmail.com, outlook.com…), ProtonMail chiffre les courriels avant qu'ils ne soient envoyés au serveur. ProtonMail est actuellement en version bêta.
Depuis le 17 juin, une campagne de financement participative a été lancée par l'équipe de développeur dans le but d'atteindre 100 000$. Deux semaines plus tard, le projet avait déjà reçu 200 000$. La prochaine étape est d'atteindre 500 000$ afin que des applications pour iOS et Android soient développées. La campagne se termine le 31 juillet. ProtonMail accepte les paiements par carte bleue, paypal (voir plus bas) et bitcoin.