Bookmark d'une video qui m'a interpellée.

En résumé: la transparence est très utile à la surveillance, car les statistiques sont plus précises lorsqu'elles disposent de plus de données. Or les statistiques sont très utiles pour la prédiction.

C'est très bien expliqué à partir du modèle de prédiction de la météo: les données à priori les plus insignifiantes sont parfois les plus pertinentes en tant que marqueurs des comportements et des évolutions des groupes.

La vidéo (29 min): Fabrice Epelboin et (…)

Il n'y a pas si longtemps on a découvert qu'un goto mal placé c'était pas cool du tout.

Bon il y a eu des discussions sympa sur l'intérêt ou non du goto, pour savoir si c'est bien ou pas, dans quel cas, etc.

Ha oui, et un peu de troll sur le fait que bon c'est du code de merde, que ça respecte pas de règles de style de code, etc.

Sauf que GnuTLS a lui aussi un petit bug (…)

Bonjour tout le monde!

Je voudrais profiter de ce journal pour vous annoncer que mon projet personnel, Manux, vient de passer en version 0.0.4.

Pour rappel, Manux est un petit système d'exploitation nativement binairement compatible avec Linux, mais conçu pour encaisser les exploits jour zéro. Son noyau a été entièrement écrit par mes soins, sans reprendre la moindre ligne de Linux (ou de qui que ce soit d'autre), et tant son architecture noyau que son architecture de l'espace utilisateur (…)

Parce que cela va être obligatoire en France, a annoncé le premier ministre aujourd'hui (dans un premier temps, uniquement pour les services de l'État et pour les FAI). Donc, pour aider les bons français à suivre ces excellentes directives, je suggère de mettre dans les commentaires des liens vers les meilleurs tutoriels sur la configuration et le test (toujours oublié, le test) de TLS sur Postfix, exim, etc.

Merci de ne mettre que des tutoriels récents (en deux coups de (…)

Après de multiples heures de discussion sur la liste de diffusion de Wayland et avec des amis ayant la même formation que moi en sécurité système, j'ai décidé de compiler en un article un maximum d'observations et de propositions sur comment gérer les problèmes de sécurité que posent certaines fonctionnalités classiques des serveurs graphiques. Le focus a bien évidement été mis particulièrement sur Wayland car il est actuellement en développement et que c'est le meilleur moment pour influencer l'élaboration des (…)

Peut-être pour faire de la publicité au prochain numéro de MISC qui est consacré aux attaques par déni de service (DoS), l'Internet vit en ce moment au rythme des nombreuses attaques par réflexion+amplification utilisant le protocole NTP. Ces attaques ont atteint des nouveaux sommets (des victimes signalent du 350, voire du 400 Gb/s mais rappelez-vous qu'il n'y a pas d'enquêtes indépendantes sur les attaques DoS).

Le principe de l'attaque est connu depuis longtemps, il est le même que pour (…)

Bonjour Nal,

Les problèmes liés au FireWire sont connus et identifiés depuis longtemps. Voir par exemple cet excellent papier datant de 2008, de Uwe Hermann, développeur Debian, à ce sujet. En gros, à partir du moment où tu as un accès physique à la machine, tu peux :

• lire et écrire arbitrairement dans la RAM ;
• Avoir accès à un disque chiffré sans en connaître la clef ;
• … et plein de trucs visiblement très rigolos

Alors, chez Nal, pourquoi je (…)

Bonjour à tous,

Je vous propose un enième article sur un sujet bien connu : comment sécuriser des mots de passe dans une base de données. Et au passage, comment éviter de se taper la honte si votre BDD est leakée.

Après une longue réflexion, j'ai décidé de présenter ce journal sous forme de niveaux. Deux négatifs (-2 et -1) qui correspondent à des solutions (trop) souvent mises en place mais pas sécurisées du tout.
Puis, un niveau 0 qui (…)