Forum général.général Bonnes pratiques de sécurité avant d'accepter une pull request d'un tiers ?

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
9
28
août
2022

Bonjour,

Je débute dans un rôle de mainteneur sur un projet communautaire hébergé sur GitHub, et je cherche à apprendre les bonnes pratiques de sécurité lors de l'évaluation de 'pull requests' soumises par des tiers (en général inconnus de moi jusqu'au moment où ils/elles soumettent leur pull request).

Le projet en question est constitué de fichiers sources (texte brut et images) utilisés pour générer un site web statique de documentation, et les contributeurs sont donc susceptibles de soumettre des PRs (…)

Journal Les certificats ne marchent plus avec Firefox 4.01 pour la déclaration de TVA

Posté par  .
Étiquettes :
9
10
mai
2011

Les entreprises peuvent faire leur déclaration de TVA par internet. Il faut utiliser le certificat fourni par le ministère ou bien acheter un certificat. Depuis la mise à jour avec Firefox 4.01, un message d'erreur apparaît quand on se connecte au site TéléTVA : Échec de la connexion sécurisée. Ci-joint la solution envoyée par le ministère. Il faut paramétrer une variable dans Mozilla Firefox :

  • Taper about:config dans la barre de navigation
  • Double-cliquer sur la variable security.ssl.renego_unrestricted_hosts
  • Écrire cfspro.impots.gouv.fr,inscriptionpro.impots.gouv.fr dans (…)

Forum Linux.debian/ubuntu [Tuto/HowTo] Monter un serveur VPN avec PiVPN sur Raspbian

Posté par  . Licence CC By‑SA.
Étiquettes :
9
6
mai
2017

musique d'ambiance : Tryo - Watson Tryo - La misère d'en face
Note : PiVPN fonctionne autant sur Raspbian, Debian qu'Ubuntu

_

_

Qu'est-ce qu'OpenVPN ?

  • OpenVPN est un logiciel permettant de créer un Réseau Virtuel Privé (ou Virtual Private Network), plus communément appelé VPN. Le client et le serveur sont sous licence GPLv3 (libre).
  • Dans ce tutoriel nous allons utiliser PiVPN qui est un ensemble de scripts permettant de faciliter l'installation et l'utilisation d'OpenVPN Je vous conseil (…)

Journal La transparence, arme absolue de la surveillance informatique ?

Posté par  . Licence CC By‑SA.
Étiquettes :
9
9
mar.
2014

Bookmark d'une video qui m'a interpellée.

En résumé: la transparence est très utile à la surveillance, car les statistiques sont plus précises lorsqu'elles disposent de plus de données. Or les statistiques sont très utiles pour la prédiction.

C'est très bien expliqué à partir du modèle de prédiction de la météo: les données à priori les plus insignifiantes sont parfois les plus pertinentes en tant que marqueurs des comportements et des évolutions des groupes.

La vidéo (29 min): Fabrice Epelboin et (…)

Journal Où sont passé les offres d'emploi?

Posté par  . Licence CC By‑SA.
Étiquettes :
9
23
août
2013

Bonjour nal,

Il y avait une époque où on avait une à deux offres d'emploi par mois sur les petites annonce du Forum.

J'appréciais les lire. Même si je ne voulais pas postuler et n'étais pas à la recherche d'emploi, cela me permettait de me tenir au courant du marché de l'emploi dans l'informatique en France. Maintenant… Plus rien…

La même chose pour lolix

Que s'est-il passé? Effet Linkeo? Effet grande vacances, ça va repartir à la rentrée? Est-ce que (…)

Journal HardenedBSD mentioned in FreeBSD Quaterly report

Posté par  . Licence CC By‑SA.
Étiquettes :
9
17
oct.
2014

Hello tout le monde,

HardenedBSD évolue petit a petit à ce qu'on peut voir ici … Une fois qu'ASLR est poussé "upstream", les autres features peuvent suivre. En effet, apres un EuroBSDCon 2014 riche en evenements, la mise a jour d'arc4random (qui utilise l'algo Chacha 20 en lieu et place du vénérable RC4) côté userland et kernel, l'addition de l'appel systeme getentropy (je crois que sous Linux c'est plutot getrandom ? à vérifier…), les libraries et quelques binaires compilent respectivement avec (…)

Journal Matriux Krypton, enfin la version finale !

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
9
30
août
2011

Après 2 ans et 2 mois de travaux, la version finale de Matriux a pointé le bout de son nez mi-août, j'ai nommé Matriux Krypton.

Kesako

Il s'agit d'un système d'exploitation basé sur Debian GNU/Linux et qui regroupe tout un tas d'outils spécialisés pour la sécurité informatique.
Il permet en autres de réaliser de tests de pénétration, ethical hacking, administration de système et de réseau, recherches légales, récupération de données, et caetera.

Quelques informations utiles

  • Environnement graphique : Gnome (…)

Journal Un ransomware tout à fait déloyal ... et inquiétant

Posté par  . Licence CC By‑SA.
Étiquettes :
9
2
sept.
2016

Il semblerait que des serveurs linux aient été attaqués par un ransomware particulièrement violent. Il s'attaque aux fichiers systèmes non pas en les chiffrant, mais en les détruisant. Ce qui ne l'empêche pas de demander une rançon en assurant qu'il va restituer les fichiers.

La chose s'appelle Fairware… ce qui est particulièrement cocasse pour un truc aussi peu "fair" que possible.

Celui qui rapporte sa mésaventure précise :

ma machine Linux a été piratée (…) avec un accès root et (…)

Les journaux LinuxFr.org les mieux notés du mois de novembre 2013

Posté par  (site web personnel, Mastodon) . Modéré par ZeroHeure. Licence CC By‑SA.
Étiquettes :
8
2
déc.
2013
LinuxFr.org

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l'équipe de modération avant publication. C'est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux-ci s'appellent des journaux. Voici un florilège d'une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux du mois de novembre passé.

Sortie d'OpenVAS 2.0.0 (fork de Nessus)

Posté par  . Modéré par baud123.
Étiquettes :
8
12
jan.
2009
Sécurité
La version 2 d'OpenVAS, le principal fork de Nessus, vient de sortir un peu plus d’un an après la première version stable.

À mon sens le changement de version ne se justifiait pas, aucune fonctionnalité substantielle n’ayant été ajoutée dans l’intervalle. En effet, OpenVAS utilise encore largement le code originel de Nessus et une partie importante du travail consiste à auditer les sources.

Cette nouvelle version intègre néanmoins pas mal de nouveautés intéressantes :
  • Amélioration du client graphique ;
  • Support partiel d'OVAL (Open Vulnerability Assessment Language). OVAL est un langage -indépendant du projet OpenVAS malgré les similitudes de consonance- de création de tests de vulnérabilités. Un test développé en OVAL est utilisable par tous les outils supportant ce langage, contrairement par exemple à un plugin NASL (Nessus Attack Scripting Language) qui est “propriétaire” Nessus ;
  • Création du protocole OTP (OpenVAS transfert protocol) en remplacement du protocole originel NVT (Nessus transfert protocol). Ces protocoles sont utilisés pour les communications entre les clients et le serveur ;
  • Nouveau format d'identifiants pour les tests de vulnérabilités (OID) ;
  • Support des architectures 64 bits ;
  • Sans compter pas mal de corrections de bogues.
Bref, le projet avance, lentement, mais il avance :-)