Andre Rodier a écrit 401 commentaires

Excellent jeu de mot, ou peut être acte manqué, en tout cas involontaire…je me demandais quand quelqu'un allait relever.

J'ai voulu corriger après la publication du journal, mais j'ai vu que je ne pouvais pas.

C'est une faille Python:

In fact, the vulnerability I found on #Tchap is a problem that comes from the Python email.utils module 😨

The parseaddr method seems very broken, you should not use it at all. Let me show you why. 1/ pic.twitter.com/qvEEqo9Usn
— Elliot Alderson (@fs0c131y) April 19, 2019

Merci bien, je vais essayer. C'est parfait.

Je veux dire encourager ceux qui sont chez Outlook / Hotmail à changer de fournisseur.

Voilà en gros où j'en suis, donc si quelqu'un a un tuyau pour le boss de la fin, je suis vraiment preneur !

Pour moi, la réponse est souvent de changer d'hébergeur. À court terme, je convainc mes amis d'utiliser leur compte google et la fonction d'import IMAP/POP3. Cela leur permet de garder la même adresse. Outlook et Hotmail ne sont pas des exemples en matière de sécurité, de toute façon.

À long terme, je prône l'auto hébergement, sachant que ce pourrait être plus simple, et j'essaie de le rendre plus accessible.

J'aurais aimé voir dans ce journal quelques informations critiques sur le chiffrage des messages, les licences du logiciel client et du logiciel serveur, etc.

Ce n'est pas comme si il n'y avait rien du côté de l'open source.

J'ai un serveur personnel Jabber, mes messages sont chiffrés avec OMEMO, et je l'utilise avec ma famille (https://homebox.readthedocs.io/en/latest/features/#xmpp-jabber-server).

Avec mes amis, j'utilise Signal, et j'en suis très satisfait. Chiffrage client/serveur, licence libre pour les clients et le serveur: https://github.com/signalapp

Mais bon, c'est tout de même bien de savoir ce qui se fait du côté obscur de la concurrence…

Pendant un moment, j'ai cru que j'étais sur Reddit…

Merci, je l'ai implémenté dans la version master de HomeBox, je le ferais pour la version de Drupal aussi. Bonne soirée.

Quand je vois ça:

Avec un bac +4 en poche […]

Je me dis que je suis pas prêt de retourner dans le sud de la France, ou alors, pour les vacances, comme d'habitude…

le poste est à pourvoir en CDI et le salaire sera compris entre 32-36K€

Je comprends que dans le sud, on a le soleil, mais bon… ou alors c'est du mi-temps?

Dans le pays où je travaille mes diplômes ne me sont jamais demandés, mais mon expérience, oui.

Dans l'informatique, un bac +4 il y a dix ou 15 ans ne vaut plus grand chose.

Par contre, le moindre entretien d'embauche est d'abord conditionné par des exercices pratiques en ligne ou sur site.

Finalement, un site internet sans https, ça fait pas sérieux, surtout avec wordpress 4.9.9

Lorsque je développe, souvent avec une machine virtuelle, je finis par rejouer les scripts plusieurs fois.

Il y a une limite avec LetsEncrypt qui t'empêche de demander les certificats trop souvent. Au bout de par exemple 15 fois, le serveur réponds que la limite est atteinte, et que tu n'aura plus de certificats avec 24h.

C'est nécessaire pour le développement.

Maintenant, c'est vrai que je pourrais limiter ce comportement à la phase de développement.

Merci pour la suggestion.

Le problème c'est oracle java qui a tout un tas soucis avec les caractères unicode.

Je ne suis pas d'accord, certains caractères sont très bien reconnus. La preuve:
⚖ 💰 💵 ©

Il me semble qu'il faut un espace avant le !

Sinon, il y a Stylish pour Firefox: https://addons.mozilla.org/en-US/firefox/addon/stylish/

Si tu veux qu'une règle CSS soit prioritaire sur les précédentes ou futures définitions, tu peux utiliser "!important", à la fin de tes règles.

Par exemple:

#test {
opacity: 1.0 !important;
}

https://css-tricks.com/when-using-important-is-the-right-choice/

C'est gentil, mais vu que je ne suis pas en France, cela coûterais trop cher en frais de livraison.

Merci tout de même.

Je viens de trouver ceci:

DrayTek Vigor 130.

https://www.ebay.fr/sch/i.html?_from=R40&_trksid=m570.l1313&_nkw=Draytek+Vigor+130&_sacat=0

C'est un peu cher, mais ça fait ce que je veux.

merde

L'agenda du libre, c'est bien, mais je n'ai pas vu passer d'information sur l'"Open Source Summit Europe, à Édimbourg".

Je n'ai pu me libérer que pour les deux derniers jours, pour le Security Summit, et j'ai trouvé ça très intéressant.

Quelle est la raison pour laquelle cet événement majeur n'étais pas dans les listes?

Quid du Cyber Europe le 29 Novembre, à Londres. Il y a pourtant un invité de marque.

Merci, je viens de le rajouter. Et en plus, c'est beaucoup plus simple sous Debian:

https://unix.stackexchange.com/questions/411945/luks-ssh-unlock-strange-behaviour-invalid-authorized-keys-file

Les clés publiques sont partagées entre OpenSSH et Dropbear, il n'y a pas de warning lorsque l'on passe d'une connexion de l'un à l'autre.

Encore une fois, Merci!

Il y a plusieurs manières de faire ce que tu veux, comme lire la clé de chiffrage à partir d'une clé USB, par exemple.
L'inconvénient est évidemment la sécurité.
Cela dit, j'ai 2/3 idées en tête pour résoudre ce souci.

Non, pour démarrer le serveur, il faut bien sûr entrer la phrase de passe.

C'est un compromis entre la sécurité que je suis prêt à faire. En même temps, le serveur ne redémarre que très rarement, par exemple après une mise à jour du noyau.

Les mises à jour noyau sont laissées à l'appréciation de l'administrateur. Personnellement, je ne le fais que dans les cas extrêmes, par exemple exploitable à distance, Spectre / Meltdown / etc.

Une mise à jour de sécurité qui concerne une faille exploitable avec un shell, c'est déjà moins grave.

*1 quid en cas de mises a jours ? Quid en cas de jbod/raid ? Quid si a un moment ca bug ? Quid si on oublie la clés de chiffrement ? Quid si le système de fichiers a des erreurs ? Quid si le cambioleur se barre avec la machine ? Quid de l'impacte machine sur x64 et ARM ? Quid de l'utilisation sur SSD, uSD ? 

LUKS peut être vu comme une "couche de chiffrage" au dessus des pilotes de disque. En conclusion, rien n'est visible pour les divers programmes en espace utilisateur (JBOD/RAID)
Tu peux tout de même accéder à ton système avec un live CD moderne, du moment que tu entres ta phrase de passe. Idem si le système de fichier à des erreurs. Elles seront réparées par ext4 / btrfs / etc qui n'auront pas de connaissance de la couche de chiffrement.

Si tu pers ta phrase de passe, il y a une possibilité de backup là aussi chiffré. La clé de chiffrement est générée dynamiquement, et automatiquement stockée sur l'ordinateur qui a lancé le déploiement, avec Ansible.

Si le cambrioleur « se barre avec la machine », il pourra lire le contenu, dans le case suivants:
- Il connaît la phrase de passe,
- Ta phrase de passe est trop simple, et il dispose de moyens suffisants pour la casser…
- Il viens du futur, et les algorithmes de chiffrement se cassent avec des ordinateurs quantiques
- Ou bien:

Dans la majorité des cas, ton matériel se retrouve tout simplement sur eBay ou d'autres sites de vente en ligne…

Côté impact sur les performances, je n'en ai pas vu, et je ne pense pas que le disque d'un serveur de mail personnel soit le goulot d'étranglement du système.

Merci,

N'hésite pas a en faire un tuto section wiki, avec des nimages et de bons retours d'expérience détaillé (*1) :) 

Je dois pouvoir améliorer la documentation déjà existante, mais le projet que j'ai crée simplifie énormément la tâche. En gros, on a un fichier YAML de départ, un script Ansible qui lance une image docker et crée une image ISO Debian personnalisée, avec la phrase de passe déjà configurée.

https://homebox.readthedocs.io/en/latest/preseed/

C'est en Anglais, mais assez facile à comprendre. Je n'ai pas eu le temps de traduire.

Je compatis dans ton malheur.

Est-ce que tes machines étaient protégées contre le vol de données également?
En d'autre termes, est-ce que tes disques durs sont chiffrés avec LUKS ou même Cryptfs?

Le vol d'identité est également quelque chose de très lucratif, malheureusement.

Par exemple, le serveur d'emails que j'ai chez moi est chiffré avec LUKS.
je le conseille à tous ceux qui sont auto-hébergés, d'ailleurs, c'est quand cela arrive que c'est trop tard.

Bonjour Saltimbanque,

La théorie des croyances collectives ne constitue pas un passage à proprement parler, mais plutôt un des éléments formant la trame de fond de l'histoire de l'humanité.

Je n'ai pas trouvé de point où je suis en désaccord avec l'auteur, sauf peut être au début de lecture, lorsqu'il qualifie de religion certains courants politiques comme le capitalisme ou le communisme. Mais, je cite:

Si l'appellation religion vous choque pour qualifier les courants politiques, alors il faut cesser d'appeler religions des courants de pensées comme Taoïsme et Bouddhisme.

Dans l'ensemble, j'ai trouvé le livre intéressant, divertissant et facile d'accès.

L'auteur ne se prends pas non plus au sérieux sur ses visions futures de l'humanité, expliquant qu'il s'agit d'une théorie parmi d'autres. Je cite encore:

Quoi qu'il en soit, avec les progrès technologiques, sociologiques et génomiques, l'humanité en l'an 2500 sera probablement très différentes de toutes les visions futuristes contemporaines que nous essayions vainement d'approcher…

C'est une personne extrêmement intelligente, et humble.

Je conseille la lecture sans hésitation, car on y apprends aussi des faits passées et actuels surprenants.

Ce n'est pas parce qu'on ne fait pas quelque chose qu'on n'est pas à même de le critiquer…

Le passage que j'ai cité «élucubrations de ce vulgarisateur de prisunic» ne constitue pas une critique, mais une attaque personnelle totalement gratuite sur un auteur mondialement reconnu.