Journal Vulnérabilités sérieuses dans des dizaines d'applis utilisant TLS (ex-SSL)

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
33
8
déc.
2012

The Most Dangerous Code in the World : Validating SSL Certificates in Non-Browser Software par Martin Georgiev, Subodh Iyengar, Suman Jana, Rishita Anubhai, Dan Boneh et Vitaly Shmatikov

Une excellente étude sur les vulnérabilités des applications utilisant TLS (autrefois nommé SSL), à l’exclusion des navigateurs Web. Des tas d’applications parfois peu connues et discrètes (par exemple pour réaliser la mise à jour des logiciels d’un système) utilisent, comme les navigateurs Web, TLS pour se protéger contre un méchant qui essaierait (…)

Journal Le codec audio libre Opus désormais normalisé

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
45
11
sept.
2012

Il y a désormais plus de deux ans que le groupe de travail codec de l'IETF avait commencé un effort inédit de spécification d'un codec audio libre. Ce nouveau RFC, le 6716, est le couronnement de cet effort : Opus, le codec standard et libre est désormais officiel.

http://www.bortzmeyer.org/6716.html

Journal SPF désigné vainqueur dans le match contre Sender ID

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
42
21
juil.
2012

L'IETF avait créé en 2004 un groupe de travail nommé MARID, qui avait pour tâche de normaliser un mécanisme d'authentification faible du courrier électronique par le biais de la publication dans le DNS des serveurs autorisés à envoyer du courrier pour un domaine. Deux propositions étaient sur la table, SPF et Sender ID. Microsoft avait pratiqué une intense obstruction contre SPF, pour promouvoir sa propre solution, Sender ID. Six ans après est publié le RFC 6686 qui conclut enfin officiellement (…)

Journal Compte-rendus d'expérience avec le Raspberry Pi ?

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
27
21
juil.
2012

On trouve sur LinuxFr pas mal d'articles sur le Raspberry Pi, écrits avant sa livraison et essayant d'imaginer ce qu'on pourrait faire avec (par exemple https://linuxfr.org/news/le-raspberry-pi-est-arrive).

Mais je ne trouve pas d'articles écrits depuis où l'auteur raconte son expérience. On en trouve plein en anglais, peu en français et rien sur LinuxFr. Les LinuxFristes ne sont pas intéressés ? Ou bien sont-ils trop occupés à jouer avec leur Pi ? :-)

RFC 6648 : les en-têtes préfixés « X- » obsolètes

Posté par  (site web personnel, Mastodon) . Édité par Benoît Sibaud, Nÿco, tuiu pol et Florent Zara. Modéré par Nÿco. Licence CC By‑SA.
Étiquettes : aucune
13
28
juin
2012
Internet

Ce RFC (un appel à commentaires sur des aspects techniques) met officiellement fin à une amusante tradition, qui faisait l'un des charmes des protocoles TCP/IP mais qui, en pratique, a causé quelques ennuis, justifiant son abandon. Cette tradition concernait le nommage des paramètres dans les protocoles. Normalement, ces noms étaient enregistrés à l'IANA (Internet Assigned Numbers Authority) pour éviter des collisions (par exemple, il ne doit y avoir qu'un seul champ nommé User-Agent: dans une requête HTTP).

NdM : le protocole SIP est un cas plus exotique avec ces en-têtes préfixés « P- » et la possibilité d'avoir plusieurs fois la même, comme Via: par exemple. On pourrait poursuivre l'analogie avec les préfixes CSS des navigateurs, comme -moz- ou -webkit-(ou encore -o- et -ms-), voir l'appel pour le web ouvert.

Comme cet enregistrement nécessitait une procédure, parfois lente et lourde, cela contrariait les gens qui voulaient expérimenter avec une nouvelle idée, qui impliquait un nouveau paramètre. L'habitude, avec l'appui de quelques RFC, s'était donc répandue de donner à ces paramètres expérimentaux, non officiels, un nom commençant par la lettre X suivie d'un tiret. Cette pratique a rencontré plusieurs problèmes et est donc désormais fortement déconseillée.

NdM : merci à Stephane Bortzmeyer pour son journal.

Journal Rapport sur la résilience de l'Internet en France

19
27
juin
2012

Hier a vu la publication du premier « Rapport sur la résilience de l'Internet en France ».
Il s'agit d'étudier quantitativement la résilience de l'Internet dans ce pays (oui, je sais, l'Internet est mondial, mais il faut bien commencer quelque part). Le rapport définit donc un certain nombre d'indicateurs puis les mesure et publie le résultat.

Le rapport est un travail commun de l'ANSSI et de l'AFNIC. Il comprend deux grandes parties, une sur le protocole BGP et une sur (…)

Journal RFC 6648: Deprecating the X- Prefix in Application Protocols

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
37
25
juin
2012

Ce RFC met officiellement fin à une amusante tradition, qui était un des charmes des protocoles TCP/IP mais qui, en pratique, a causé quelques ennuis, justifiant son abandon. Cette tradition concernait le nommage des paramètres dans les protocoles. Normalement, ces noms étaient enregistrés à l'IANA pour éviter des collisions (par exemple, il ne doit y avoir qu'un seul champ nommé User-Agent: dans une requête HTTP). Comme cet enregistrement nécessitait une procédure, parfois lente et lourde, cela contrariait les gens qui (…)

Journal RFC 6647: Email Greylisting: An Applicability Statement for SMTP

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
27
18
juin
2012

La lutte contre le spam est un domaine où les certitudes (souvent assénées avec conviction) sont plus fortes que les faits. Prenez n'importe quel forum, en ligne ou ailleurs, où on discute des mesures qui pourraient limiter les conséquences du spam, vous y lirez et entendrez des affirmations radicales, par exemple sur l'efficacité du greylisting, sans que les affirmateurs ne se soucient d'appuyer leurs déclarations sur des mesures concrètes, faites dans la réalité. Comme le note le tout nouveau RFC (…)

Journal RFC 6586: Experiences from an IPv6-Only Network

Posté par  (site web personnel, Mastodon) .
Étiquettes :
27
22
avr.
2012

Linux se tire plutôt bien de cette amusante expérience.

La plupart des RFC décrivent, de façon normative, un protocole ou un format qui sera ensuite déployé sur l'Internet. Mais ce document est différent : c'est un récit d'expérience, celle de deux courageux chercheurs qui, au péril de leur usage de Facebook et dans l'intérêt de la science, ont coupé IPv4 et n'ont accédé à l'Internet que via IPv6 pendant la durée de l'expérience. Les machines de l'expérience n'avaient plus du (…)

Journal RFC 6569 : Guidelines for Development of an Audio Codec Within the IETF

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
26
27
mar.
2012

Constatant l'absence d'un codec entièrement libre (pas plombé par des brevets, pas contrôlé par une société unique, implémentable en logiciel libre), l'IETF s'est lancée dans la spécification d'un codec satisfaisant. Le RFC 6366 donnait le cahier des charges technique du futur codec (le produit final) et ce nouveau RFC, le 6569, donne les considérations portant sur le processus de développement (processus déjà bien entamé) : méthodologie d'évaluation des propositions, mécanisme de vérification de la compatibilité des implémentations, questions de propriété intellectuelle. (…)