Je viens de tester et effectivement c'est une hérésie en termes d'ergonomie et d'accessibilité. Le site devrait pourtant y être partiellement conforme mais ce n'est sans doute plus le cas car la navigation entièrement au clavier me semble impossible.
Je n'ai pas trouvé de formulaire de contact pour signaler un problème sur le site.
Je ne vois pas pourquoi il y aurait une telle obligation. Ce sont des sociétés privées et elles peuvent faire un peu ce qu'elle veulent, y compris sous-traiter certains services aux GAFAM. Alors que les services publics… euh, non enfin quoi,…
The Network State is a global political project allowing venture capitalists to acquire land, build infrastructure, establish sovereignty and operate as a distributed world power. It is the rise of a global fascist state.
Srinivasan said his plan would exclude Democrats from areas the techies control. He suggested bribing the police (with banquets and jobs for their relatives) to prevent them from enforcing laws disadvantageous to technology companies.
Tu fait comme tu veux sur ta machine où le blog de tonton Pierrot est auto-hébergé, cela n'aura effectivement pas de conséquences visibles.
Par contre si tu es prestataire pour des services professionnels tu ne peux absolument pas te permettre de bloquer des plages entières d'adresses IP, même temporairement.
Ah ? Des bots cherchent à vérifier la présence d'une faille corrigée depuis plus de 10 ans ? De toute façon utiliser SSLv3 en 2025 relève aussi d'une grossière erreur de configuration.
Encore un fois avant de bloquer les requêtes pour la moindre ligne de log que l'on ne comprend pas mieux vaut vérifier sa configuration.
de pouvoir ban des IPv4/24 par exemple, et aussi des IPv6/64 : bannir une IPv6 n'est pas une mesure efficace, vu le stock disponible.
Bannir des plages entières d'IP c'est le plus sûr moyen empêcher des utilisateurs légitimes d'accèder aux services.
je remarque sur les serveurs que j'administre qu'il y a très peu d'attaques via IPv6, et ça m'étonne beaucoup, vu le potentiel pour passer à travers les mailles.
Cela n'a rien d'étonnant. C'est tout à fait logique vu d'une part le temps et la difficulté nécessaire pour trouver les services en écoute en IPv6, d'autre part tous les réseaux ne sont pas en IPv6.
C'est même une bonne manière d'éviter d'avoir des logs qui se remplissement inutilement de tentatives vouées à l'échec d'avoir un service (SSH par exemple) uniquement accessible en IPv6 si c'est possible.
Avec Postfix il vaut mieux utiliser postscreen ou postgrey pour filtrer le plus tôt possible les clients non légitimes.
De manière générale il est préférable de filtrer en amont(*), dès la tentative de connexion en se basant sur des liste noires / blanches fiables par exemple, plutôt qu'après coup.
La requête envoyée ressemble au début d'une transaction TLS.
Il est possible que ce soit une mauvaise configuration sur ton système qui laisse les clients faire des requêtes HTTPS en HTTP (par exemple un routeur ou un proxy qui redirige mal les requêtes).
Dans ma tête il est plutôt là pour bloquer les attaques en brute force, dont en particulier celles des bots.
Cela ne les bloque pas puisque les IP changent, au mieux cela ralenti un peu. Et n'oublie pas que fail2ban agit après coup en analysant les logs. Le temps qu'il réagisse il peut y avoir eu des dizaines de tentatives provenant de la même IP.
Quant aux attaques par force brute des bots elles ne consistent pas à « casser » les mots de passe mais à essayer des combinaisons triviales utilisateurs/mot de passe (je l'ai déjà mentionné et c'est facile à vérifier). Casser un mot de passe à distance un tant soit peu solide prendrait un temps infini en raison du temps entre deux tentatives.
Donc si ton service est bien configuré avec des mots de passe solide ces attaques n'aboutiront jamais et fail2ban est souvent là juste pour rassurer.
Pour le SSH un mot de passe très solide ou une connexion par clés peut sembler équivalent d'un point de vue sécurité. Dans l'absolu une clé ED25519 ou sera toujours beaucoup plus difficile à casser (est-ce seulement déjà arrivé ?) qu'un mot de passe. Et là encore il faudrait un temps et une puissance de calcul phénoménaux.
En Outre une configuration excluant la connexion par mot de passe par défaut peut éviter une étourderie de l'administrateur système qui a créé un compte test, mot de passe test pour tester (situation similaire déjà vue en vrai).
je banni systématiquement les erreur 400 car c'est systématiquement des agressions. (des url forgées pour faire planter le serveur par exemple).
Il serait intéressant de voir les logs du serveur web avec ces erreurs.
L'erreur 400 peut par exemple être très présente avec un serveur ou des clients WebDav mal configuré ou bogués. Ce n'est pas forcément une agression et suivant les services que tu héberges tu risques de bloquer des utilisateurs légitimes
C'est justement sur les attaques ciblées que fail2ban pourrait avoir un rôle en terme de sécurité.
Pour les botnets ce n'est guère utile puisque les IP changent sans arrêt et qu'il cherchent pour la plupart des failles béantes ou des combinaisons d'identifiants triviales (voir les différentes recherches menées avec des honeypots à ce sujet). L'utilité est surtout de réduire un peu la taille des logs et éventuellement de centraliser les adresses IP des machines vérolées (abuseipdb ou autre).
Dans le cas du demandeur l'usage est pour limiter les tentatives de connexions sur son serveur HTTP et je ne suis pas sûr que ce soit une bonne idée de bannir systématiquement les IP qui produisent des erreurs 4xx (surtout l'erreur 400) sauf si le nombre de tentatives est vraiment important, donc avec maxretry=10 au moins.
C'était une boutade. évidement pas besoin d'installer tout l'environnement de bureau KDE Plasma (même si c'est tout à fait possible), le paquet kde-spectacle devrait suffire.
Être bourgeois et d'origine bourgeoise ne disqualifie pas la totalité du discours de ces personnes.
Il y a des choses à retenir pour chacun et il faut écouter les divers points de vue. Mais il est certain que capitalisme, le productivisme ou le solutionnisme technologique plus ou moins défendus par ces trois là sont des impasses.
un paquet malicieux sur un dépôt c'est pas une info exceptionnelle.
Il faut donc être extrêmement prudent avec l'utilisation de ces systèmes de distribution de paquets, et c'est toujours bon de le rappelle avec des exemples concrets.
[^] # Re: Un vrai sujet : l'UX dégueulasse
Posté par Voltairine . En réponse au journal Biberonnage aux services US. Évalué à 10.
Ah oui… ça fait un bail.
[^] # Re: Un vrai sujet : l'UX dégueulasse
Posté par Voltairine . En réponse au journal Biberonnage aux services US. Évalué à 6.
Je viens de tester et effectivement c'est une hérésie en termes d'ergonomie et d'accessibilité. Le site devrait pourtant y être partiellement conforme mais ce n'est sans doute plus le cas car la navigation entièrement au clavier me semble impossible.
Je n'ai pas trouvé de formulaire de contact pour signaler un problème sur le site.
[^] # Re: GAFAM ou non GAFAM, telle est la question
Posté par Voltairine . En réponse au journal Biberonnage aux services US. Évalué à 5. Dernière modification le 26 juin 2025 à 12:27.
Je ne vois pas pourquoi il y aurait une telle obligation. Ce sont des sociétés privées et elles peuvent faire un peu ce qu'elle veulent, y compris sous-traiter certains services aux GAFAM. Alors que les services publics… euh, non enfin quoi,…
[^] # Re: GAFAM ou non GAFAM, telle est la question
Posté par Voltairine . En réponse au journal Biberonnage aux services US. Évalué à 6.
Non ce sont eux qui les hébergent et c'est très facile à vérifier en deux commandes (dig et whois).
[^] # Re: Les libertariens frappent encore...
Posté par Voltairine . En réponse au lien Une nouvelle vision du micro-État. Évalué à 7.
Source : https://www.vcinfodocs.com/what-is-the-network-state
Source : https://en.wikipedia.org/wiki/Balaji_Srinivasan#The_Network_State
Libertariens et techno-fascistes.
[^] # Re: Quand on voit comment fonctionne une IA aujourd'hui ....
Posté par Voltairine . En réponse au journal Warp un terminal dopé à l'IA. Évalué à 10.
Après l'IA qui fait le café, l'IA qui enlève les taches de café.
[^] # Re: Retour d'expérience
Posté par Voltairine . En réponse au journal Fail2ban, ajustement des valeurs par defaut. Évalué à 1.
Tu fait comme tu veux sur ta machine où le blog de tonton Pierrot est auto-hébergé, cela n'aura effectivement pas de conséquences visibles.
Par contre si tu es prestataire pour des services professionnels tu ne peux absolument pas te permettre de bloquer des plages entières d'adresses IP, même temporairement.
[^] # Re: protection par fail2ban
Posté par Voltairine . En réponse au journal Fail2ban, ajustement des valeurs par defaut. Évalué à 1.
Ah ? Des bots cherchent à vérifier la présence d'une faille corrigée depuis plus de 10 ans ? De toute façon utiliser SSLv3 en 2025 relève aussi d'une grossière erreur de configuration.
Encore un fois avant de bloquer les requêtes pour la moindre ligne de log que l'on ne comprend pas mieux vaut vérifier sa configuration.
[^] # Re: Titre traduit par une « IA » :-D
Posté par Voltairine . En réponse au lien La subvention sur le mode de vie assistée par IA sera bientôt retirée. Évalué à 3.
s/par/de
# Titre traduit par une « IA » :-D
Posté par Voltairine . En réponse au lien La subvention sur le mode de vie assistée par IA sera bientôt retirée. Évalué à 4.
Un mode de vie subventionné par l'IA est sur le point de s’éteindre
Me semblerait plus correct dans ce contexte.
[^] # Re: Mauvais article
Posté par Voltairine . En réponse au lien Trump can pull the plug on the internet, and Europe can't do anything about it. Évalué à 10.
Ridicule ! Tu imagines la tailles des clous qu'il faudrait pour cela ?
[^] # Re: Retour d'expérience
Posté par Voltairine . En réponse au journal Fail2ban, ajustement des valeurs par defaut. Évalué à 4.
Bannir des plages entières d'IP c'est le plus sûr moyen empêcher des utilisateurs légitimes d'accèder aux services.
Cela n'a rien d'étonnant. C'est tout à fait logique vu d'une part le temps et la difficulté nécessaire pour trouver les services en écoute en IPv6, d'autre part tous les réseaux ne sont pas en IPv6.
C'est même une bonne manière d'éviter d'avoir des logs qui se remplissement inutilement de tentatives vouées à l'échec d'avoir un service (SSH par exemple) uniquement accessible en IPv6 si c'est possible.
[^] # Re: Retour d'expérience
Posté par Voltairine . En réponse au journal Fail2ban, ajustement des valeurs par defaut. Évalué à 3.
Avec Postfix il vaut mieux utiliser postscreen ou postgrey pour filtrer le plus tôt possible les clients non légitimes.
De manière générale il est préférable de filtrer en amont(*), dès la tentative de connexion en se basant sur des liste noires / blanches fiables par exemple, plutôt qu'après coup.
[^] # Re: protection par fail2ban
Posté par Voltairine . En réponse au journal Fail2ban, ajustement des valeurs par defaut. Évalué à 3.
La requête envoyée ressemble au début d'une transaction TLS.
Il est possible que ce soit une mauvaise configuration sur ton système qui laisse les clients faire des requêtes HTTPS en HTTP (par exemple un routeur ou un proxy qui redirige mal les requêtes).
[^] # Re: Fail2ban ne remplace pas une bonne sécurité
Posté par Voltairine . En réponse au journal Fail2ban, ajustement des valeurs par defaut. Évalué à 6.
Cela ne les bloque pas puisque les IP changent, au mieux cela ralenti un peu. Et n'oublie pas que fail2ban agit après coup en analysant les logs. Le temps qu'il réagisse il peut y avoir eu des dizaines de tentatives provenant de la même IP.
Quant aux attaques par force brute des bots elles ne consistent pas à « casser » les mots de passe mais à essayer des combinaisons triviales utilisateurs/mot de passe (je l'ai déjà mentionné et c'est facile à vérifier). Casser un mot de passe à distance un tant soit peu solide prendrait un temps infini en raison du temps entre deux tentatives.
Donc si ton service est bien configuré avec des mots de passe solide ces attaques n'aboutiront jamais et fail2ban est souvent là juste pour rassurer.
Pour le SSH un mot de passe très solide ou une connexion par clés peut sembler équivalent d'un point de vue sécurité. Dans l'absolu une clé ED25519 ou sera toujours beaucoup plus difficile à casser (est-ce seulement déjà arrivé ?) qu'un mot de passe. Et là encore il faudrait un temps et une puissance de calcul phénoménaux.
En Outre une configuration excluant la connexion par mot de passe par défaut peut éviter une étourderie de l'administrateur système qui a créé un compte test, mot de passe test pour tester (situation similaire déjà vue en vrai).
[^] # Re: protection par fail2ban
Posté par Voltairine . En réponse au journal Fail2ban, ajustement des valeurs par defaut. Évalué à 4.
Il serait intéressant de voir les logs du serveur web avec ces erreurs.
L'erreur 400 peut par exemple être très présente avec un serveur ou des clients WebDav mal configuré ou bogués. Ce n'est pas forcément une agression et suivant les services que tu héberges tu risques de bloquer des utilisateurs légitimes
[^] # Re: Fail2ban ne remplace pas une bonne sécurité
Posté par Voltairine . En réponse au journal Fail2ban, ajustement des valeurs par defaut. Évalué à 3.
C'est justement sur les attaques ciblées que fail2ban pourrait avoir un rôle en terme de sécurité.
Pour les botnets ce n'est guère utile puisque les IP changent sans arrêt et qu'il cherchent pour la plupart des failles béantes ou des combinaisons d'identifiants triviales (voir les différentes recherches menées avec des honeypots à ce sujet). L'utilité est surtout de réduire un peu la taille des logs et éventuellement de centraliser les adresses IP des machines vérolées (abuseipdb ou autre).
Dans le cas du demandeur l'usage est pour limiter les tentatives de connexions sur son serveur HTTP et je ne suis pas sûr que ce soit une bonne idée de bannir systématiquement les IP qui produisent des erreurs 4xx (surtout l'erreur 400) sauf si le nombre de tentatives est vraiment important, donc avec maxretry=10 au moins.
[^] # Re: gnome-screenshot et drawing
Posté par Voltairine . En réponse au message [resolu] capture d'écran. Évalué à 2. Dernière modification le 20 juin 2025 à 19:55.
C'était une boutade. évidement pas besoin d'installer tout l'environnement de bureau KDE Plasma (même si c'est tout à fait possible), le paquet kde-spectacle devrait suffire.
[^] # Re: gnome-screenshot et drawing
Posté par Voltairine . En réponse au message [resolu] capture d'écran. Évalué à 2. Dernière modification le 20 juin 2025 à 17:45.
Sinon utilise KDE et sa très puissante et ergonomique application Spectacle qui rend toutes ses complications inutiles :-P
[^] # Re: On n'est plus à ça près
Posté par Voltairine . En réponse au lien Sam Altman veut qu’une « fraction significative » de l’énergie produite sur Terre soit dédiée à l’IA. Évalué à 5.
Être bourgeois et d'origine bourgeoise ne disqualifie pas la totalité du discours de ces personnes.
Il y a des choses à retenir pour chacun et il faut écouter les divers points de vue. Mais il est certain que capitalisme, le productivisme ou le solutionnisme technologique plus ou moins défendus par ces trois là sont des impasses.
[^] # Re: On n'est plus à ça près
Posté par Voltairine . En réponse au lien Sam Altman veut qu’une « fraction significative » de l’énergie produite sur Terre soit dédiée à l’IA. Évalué à 4.
On te parle des conséquences des progrès technologiques et du consumérisme effréné. Tu parles de progrès social : ce n'est pas le sujet.
[^] # Re: ok
Posté par Voltairine . En réponse au lien Sam Altman veut qu’une « fraction significative » de l’énergie produite sur Terre soit dédiée à l’IA. Évalué à 7. Dernière modification le 21 juin 2025 à 13:08.
Il y a bien des choses à reprocher à sa fondation mais probablement pas celles que tu cites (sans les sourcer).
Concernant l'environnement et la sobriété énergétique Bill Gates état certainement un des plus mauvais exemples à citer ;)
[^] # Re: Qui utilise ça?
Posté par Voltairine . En réponse au lien Un paquet PyPi malveillant vole les secrets des utilisateurs de Chimera. Évalué à 2.
https://engineering.grab.com/chimera-sandbox
Mais peu importe ce qui compte c'est que :
Il faut donc être extrêmement prudent avec l'utilisation de ces systèmes de distribution de paquets, et c'est toujours bon de le rappelle avec des exemples concrets.
[^] # Re: Les méthodes traditionnelles sont plus fiables ?
Posté par Voltairine . En réponse au journal Pétition pour interdire le vote électronique en France. Évalué à 10.
C'est accessible à tout citoyen inscrit sur les listes électorales et on maque régulièrement de volontaires pour le dépouillement.
C'est surtout de ne pas dénoncer un délit qui risque de leur retomber dessus.
[^] # Re: Intéressant. Et pour les assos ?
Posté par Voltairine . En réponse au journal Qui a fait certifier ses logiciels libres de caisse ? Fin de l'attestation individuelle.. Évalué à 3.