Wiki [Tuto/HowTo] HaProxy - bloquer les serveurs renvoyant des erreurs HTTP

Licence CC By‑SA.
Étiquettes :
0
29
août
2018

Introduction

Par défaut HaProxy ne vérifie que la présence en ligne ou non des serveurs web, pas les erreurs renvoyées dans les en-têtes.
Ainsi, un serveur backend non fonctionnel suite à un problème de montage ou d'accès à la base de données, sera quand même considéré comme "UP" et les requêtes réseaux continueront d'y être acheminées, provoquant moult mécontentements chez vos utilisateurs qui pourraient se retrouver spammer de notification d'erreur sur leur smartphone chéri.
Néanmoins, HaProxy permet, via (…)

Wiki [Tuto/HowTo] HaProxy - bannir les requêtes quand l'User-Agent est vide

Licence CC By‑SA.
Étiquettes :
0
20
juil.
2018

Introduction

Il n'est pas rare que des robots crawlent les sites internet sans utiliser d'User-Agent.
Si vous souhaitez les bannir de vos frontends HaProxy, voici comment faire.

Éditez votre fichier de configuration /etc/haproxy/haproxy.cfg

Ensuite selon vos envies: ajoutez une des deux règles suivantes.

  • Si vous souhaitez renvoyer une erreur HTTP 403 Forbidden (accès interdis) quand l'user-agent est vide, ajoutez la règle HaProxy pour frontend suivante.
http-request deny if { hdr_cnt(user-agent) eq 0 }
  • Si vous voulez bannir toute (…)

Journal Les conséquences réseaux d'un partage sur LinuxFR

Posté par  . Licence CC By‑SA.
Étiquettes :
20
9
juil.
2018

Introduction

Le précédent article de votre humble serviteur, intitulé "utiliser android de façon plus sécurisée" (lien), fut riche en requêtes réseau jusqu'à plus soif.
Comme l'ouvrage originale fut linké autant dans la partie forum, que journal et dépêche de LinuxFR: on peut en profiter pour tenter de visualiser un échantillon éphémère des mouvements réseaux engendré par ces links.
Nous n'allons certes pas découvrir la réponse à la grande question, mais découvrir que de simple liens peuvent (…)

Wiki [Tuto/HowTo] [PHP] Troller les annuaires du "darknet|"Deepweb"

Licence CC By‑SA.
Étiquettes :
0
9
juil.
2018

Introduction

Si vous avez un Tor Hidden Web Service, vous avez sûrement déjà croisé le cuivre des crawlers des annuaires qui ont tendance à consommer les ressources machines sans prêter gare. Nous allons voir ici comment mettre en place un script PHP permettant de générer une quantité paramétrable de fichiers rempli de faux noms de domaines Tor et ainsi pourrir les bases de données des robots malveillants.
Si vous ne souhaitez pas punir les robot respectueux, vous pouvez placer vos (…)

Journal chexpire, un nouveau Logiciel Libre

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
3
5
juil.
2018

Un logiciel est considéré comme « libre » si il est publié sous une licence libre (GPL, BSD, etc.) mais à mon humble avis ce n'est pas suffisant. En effet, si l'on se contente de fournir le code source dans un tar.gz sans utiliser de dépôt public et sans Changelog, est-ce que cela donne véritablement la liberté de l'étudier ? Sans l'historique des commits, est-ce que cela permet facilement d'écrire un patch ?

Un Logiciel Libre doit pouvoir être étudié (…)

Wiki [Tuto/HowTo] Ajouter des Tor Hidden Service a vos frontends HaProxy

Licence CC By‑SA.
Étiquettes :
0
26
juin
2018

Introduction

Je pars du principe que vous avez déjà installez au moins un Frontend et un Backend et êtes donc capable de lire et traduire (avec l'aide des moteurs de recherche) les configurations d'HaProxy suivantes sans me forcer à entrer trop dans le détails.
Pour rappel HaProxy est un proxy permettant de répartir la charge réseau sur une ou plusieurs machines. Tor Hidden Service est quant à lui un mécanisme permettant de disposer d'un nom de domaine unique au monde (…)

Formation « Développeur d’applications full stack » à l’INP de Toulouse, épisode 2

Posté par  . Édité par Davy Defaud, palm123, Benoît Sibaud et Pierre Jarillon. Modéré par Nÿco. Licence CC By‑SA.
Étiquettes :
23
25
juin
2018
Éducation

Le 28 août 2016 nous annoncions sur ce site l’ouverture de cette formation 100 % open source, qui vise à former des développeurs d’applications modernes Web et mobiles en cinq mois de cours et cinq mois de stage. À l’époque, beaucoup de commentaires sur ce forum avaient été critiques, estimant qu’un tel projet était voué à l’échec : ce court bilan après deux promotions va démontrer le contraire et faire un appel à candidature.

La suite de l’article devrait vous convaincre…

Journal Atlas toolkit - sur la route du Libre

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
13
13
avr.
2018

Hormis lorsque je fus employé par une SS2L, l'essentiel de mon activité professionnelle, que ce soit en tant que salarié ou, plus tard, en tant que freelance, consistait à concevoir et développer des logiciels propriétaires. Néanmoins, les bibliothèques logicielles plus ou moins généralistes sur lesquelles ces logiciels reposaient m'appartenaient et avaient toujours été développées en-dehors de tout cadre professionnel, et j'ai donc pu les publier, ainsi que certains logiciels de mon crû, sous licence libre, comme (…)

Journal Funkwhale, un serveur de musique libre, moderne et convivial, qui recherche des contributeurs

Posté par  . Licence CC By‑SA.
Étiquettes :
52
21
mar.
2018

Je viens de publier la version 0.7 de funkwhale, et je me suis dis que c'était l'occasion de présenter le projet un peu plus largement.

Liens utiles

Funkwhale, c'est quoi ?

On parle d'un serveur de musique sous licence libre (BSD-3, il n'est pas impossible que ça bouge), fortement inspiré de l'expérience proposée par le désormais défunt Grooveshark.com.

L'idée principale, c'est de pouvoir mettre sa bibliothèque musicale en ligne (…)

Protéger sa vie privée sur le Web, exemple avec Firefox

Posté par  . Édité par antistress, M5oul, Davy Defaud, PolePosition, Bruno Michel, Benoît Sibaud, Xinfe, Anonyme, BAud, Stéphane Aulery, Nils Ratusznik, _PhiX_, aurel, palm123, bolikahult, Julien.D, chdorb, da_kal, Nÿco, alendroi, Rozé Étienne, Gorta, anaseto, ariasuni, Johann Ollivier-Lapeyre, patrick_g, nanoseb, Milo, Jiel, François, DL, Xavier Combelle, Julien Wajsberg et _alex. Modéré par Nils Ratusznik. Licence CC By‑SA.
Étiquettes :
74
26
fév.
2018
Internet

Un internaute peut penser que sa navigation sur le Web est noyée dans la masse, et que personne ne s’intéresse à la pister, puisqu’elle n’a pas d’importance particulière. C’est le genre de réponse que l’on peut entendre autour de soi quand on tente de sensibiliser au pistage. Ces assertions ne sont malheureusement pas valables. Bien au contraire, le comportement des internautes intéresse beaucoup les grandes sociétés : beaucoup fondent leur modèle économique^W de fonctionnement dessus, pour refourguer de la publicité au passage qui est leur vrai client payant (vu que c’est gratuit en utilisateur, tu es le produit :/).

À partir des données recueillies, des techniques de manipulation sont appliquées aux internautes comme le datamining, le neuromarketing, le biais cognitif, etc. Ces techniques ont atteint une telle maturité et efficacité qu’il est impossible de ne pas en être victime. Il ne se passe pas une semaine sans que de nouveaux articles paraissent sur de nouvelles techniques. Même être conscient de l’existence de ces biais ne permet pas de s’en protéger directement. Tout cela est l’objet d’une marchandisation monstre dans lequel nous sommes tous plus ou moins victimes. Cet article vise à sensibiliser le lecteur et à proposer des solutions efficaces afin qu’il puisse préserver sa vie privée, son autonomie, son libre arbitre, sa liberté et son indépendance, ou simplement ne pas se faire polluer de pub clignotant à foison sur chaque page consultée.

Journal Construisez un web décentralisé avec Salut à Toi et XMPP !

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
38
26
jan.
2018

Parmi les nombreuses nouveautés et évolutions de Salut à Toi pour la version 0.7 à venir, une a un particulièrement grand potentiel : Libervia (l'interface web) est devenu un cadriciel web (ou « framework web »).

« Mais il y en a déjà plein ! » vous entends-je dire… C'est vrai, mais celui-ci est décentralisé.

Construire sur du standard, avoir des outils pour créer décentralisé

Utiliser les comptes existants

Libervia s'appuie donc sur SàT et XMPP pour aider à construire voire reconstruire le web. Quel est (…)

Journal web

Posté par  . Licence CC By‑SA.
Étiquettes :
5
16
jan.
2018

Beaucoup de gens le savent, mais peu en soupçonnent l'ampleur : la collecte de nos données personnelles par les services Web et informatiques que l'on utilise.

Lorsque vous naviguez sur le Web, vous êtes suivi en permanence. Chacun de vos clics, chacune de vos activités, chacun de vos emails sont connus et conservés par les géants du Web. Malheureusement cela est également vrai pour de nombreux logiciels ou applications que vous utilisez tous les jours.

Qui fait ça ?

Vous êtes (…)

Wapiti 3.0.0 : Nouvelle version du scanneur de vulnérabilités Web

Posté par  . Édité par Benoît Sibaud, palm123, Davy Defaud et bubar🦥. Modéré par bubar🦥. Licence CC By‑SA.
Étiquettes :
48
14
jan.
2018
Sécurité

Wapiti est un scanneur de vulnérabilités Web publié sous licence GNU GPL v2.

Il permet de détecter la présence de failles courantes (injection SQL, XSS, inclusion de fichier, exécution de code ou de commande, etc.) sur les sites Internet et les applications Web via différents modules d’attaque. L’exploitation des failles remontées n’est pas gérée par le logiciel, l’utilisateur doit donc procéder à l’exploitation lui‐même ou s’en remettre à un logiciel spécifique (comme sqlmap pour les failles SQL).

Wapiti génère des rapports de vulnérabilités dans différents formats (HTML, texte, JSON, XML). C’est un outil en ligne de commande qui a peu de dépendances et s’installe facilement.