Ton approche semble très orientée « défense ». Le monsieur a l'air plus intéressé par l'attaque :)
Écrire un noyau, en sois, ne me semble pas super pertinent. Même pour la défense. Étudier les choix techniques d'OpenBSD par exemple me semble plus productif. Mais pour un attaquant ça ne reste utile qu'assez indirectement.
Par ailleurs je te suggère d'apprendre pourquoi il est préférable d'utiliser strlcpy plutôt que strncpy.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Ça vient pas forcément tout seul, il faut aussi cultiver le « security mindset » comme indiqué plus haut. Tu peux faire ça en essayant de trouver des « failles » dans la vie de tous les jours par exemple. Mais pour appliquer cet esprit à l'informatique ou tout autre domaine, ça aide énormément d'avoir une bonne connaissance de ce domaine.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Sinon il y a plein de formations de pentesters / offensive security mais j'ai aucune idée de celles qui valent le coup ou pas. D'où ma suggestion d'apprendre les fondamentaux via une filière académique reconnue. L'aspect sécurité pouvant être vu comme une spécialisation par dessus.
Évidemment ça marche que si t'as le temps, n'es pas rebuté par un environnement académique d'apprentissage et que tu n'as pas de problème à rester à un niveau relativement théorique pendant un moment (au moins dans le cadre des études). Il y a d'autres moyens mais c'est celui avec lequel je suis le plus familier.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Ça dépend de quelle définition de « hacker » tu prends. Si tu veux spécifiquement apprendre à cracker des mots de passe et « infiltrer un réseau », tu peux étudier les réseaux, systèmes d'exploitations et la cryptographie. Pour la pratique, sur base de Python, Scapy est pas mal.
L'écriture d'exploits requiert une expertise un peu différente et je m'y connais moins. Ça dépend un peu de ce que tu as en tête mais tu peux sans doute commencer par pratiquer du C, étudier comment le CPU l'exécute, les failles classiques et comment les exploiter. Si tu veux quelque chose de spécifique pour commencer tu peux lire Smashing The Stack For Fun And Profit (Aleph One, 1996). Une fois que tu as compris ce papier (ce qui va sans doute nécessiter d'apprendre plein d'autres trucs bas niveau) tu peux essayer de le mettre en pratique et essayer de comprendre pourquoi ça ne marche plus et comment adapter la technique pour une plateforme moderne.
Si tu as cinq ans, tu peux faire des études d'informatique (Computer Science, pas la version « technicien / pisseur de code » mais je sais pas comment les études supérieures sont structurées là où tu vis) qui te donneront des bonnes bases fondamentales et t'orienter vers l'aspect sécurité (l'équivalent de CSE 484 comme mentionné dans l'article de Schneier ci-avant par exemple).
La liste de gUI est pas mal comme « checklist » de trucs basiques à couvrir pour un débutant mais c'est un assez orienté Unix / bas niveau et ça n'explique pas vraiment comment acquérir ces connaissances.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Bien sûr qu'ils sont capable de détecter de tels messages. D'ailleurs ils le font. Juste que ce qu'ils font de ces données ne correspond pas à ce que certaines personnes pensent qu'il faudrait faire.
Using data from a Facebook tool called the “Hate Bait dashboard,” which can track content from groups and pages that leads to hateful interactions, the data scientist listed the 10 US pages with the “largest concentrated volume of likely violating Hate Speech comments” in the past 14 days.
[…]
“They all create dozens or hundreds of posts like this [a] day, each eliciting endless volumes of hateful vile comments—and we reward them fantastically for it,”
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Je pense que l'approche idéale peut varier selon tes intérêts, la manière dont tu apprends le mieux et le but. Si tu veux faire du pentesting pratique et potentiellement (mal) rémunéré dans les 6-12 mois, le WAHH que j'ai cité ci-avant est sans doute une approche raisonnable que tu peux pratiquer avec root-me.org etc.
Si tu préfères une approche plus large et pas spécialisée web, en gros je dirais qu'il te faut acquérir un « security mindset » [0], que tu peux affuter en étudiant des classes de failles bien documentées (cf WAHH pour le web par exemple) et de là tu peux étudier tout système (informatique ou non) et trouver comment l'exploiter pour lui faire faire ce qu'il n'a pas été conçu pour.
Les technique spécifiques à apprendre varient selon le domaine. Si tu peux élaborer tes connaissances actuelles, ton but et combien de temps tu veux y passer on peut sans doute te recommander des trucs plus spécifiques.
En bouquins on m'a recommandé :
The Art of Software Security Assessment (Down, McDonald, Schuh)
The Web Application Hacker's Handbook (Stuttard, Pinto)
Pour tous ceux qui ont une adresse personnelle avec un nom de domaine à vous, continuez vous d'utiliser une adresse autre juste pour ce genre de cas ?
J'utilise uniquement un nom de domaine personnel, parfois via jetable.org. J'utilise aussi mailinator.com selon ce que je veux faire. Je ne me souviens pas avoir été dans l'impossibilité de m'enregistrer avec mon domaine personnel.
Cependant j'utilise régulièrement le "+" pour donne une adresse unique à chaque site et il y en a plein qui ne l'acceptent pas (e.g. krunch+spam@linuxfr.org). Cela peut se manifester de manière plus ou moins subtile. Le cas facile c'est quand ça cause une erreur « address invalide » à 'inscription. Ce qui est moins pratique c'est quand le site te laisse créer un compte mais qu'il est ensuite impossible de s'y connecter.
Il y a aussi pas mal de sites qui n'acceptent pas @mailinator.com mais il y a des domaines alternatifs (qui ne semblent malheureusement plus documentés). J'ai vu aucun site qui refuse jetable.org.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Pourquoi sans cesse les développeurs pensent-ils que les gens lambdas utilisent uniquement les adresses des géants de l'informatique ?
Vu que la vaste majorité des gens utilisent des adresses de « géant », il ne me semble pas idiot d'optimiser pour ce cas d'utilisation tant que ça ne bloque pas le reste. Je suspecte que le nombre de gens qui tapent mmemichu@google.com par erreur au lieu de mmemichu@gmail.com n'est pas trivial et leur offrir l'opportunité de corriger à la volée me semble une bonne idée.
Mais évidemment ça n'excuse pas ton expérience avec Dofus et, si c'est la logique pour le comportement de Leetchi, ça semble bogué.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
À moins de vivre sur la planète Mars, nul ne peut ignorer notre magnifique application franco-française (autrement dit non compatible avec celles de nos voisins européens)
Tu sembles fort francocentré pour quelqu'un qui a l'air de de critiquer le manque d'interopérabilité international. Il y a plein de gens en dehors de France qui ne vivent pas sur Mars. Je dirais même que c'est là que la majorité des gens vivent, dont un certains nombre lisent DLFP.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
La génération d'énergie qui se base sur la chaleur nécessite une « source de froid » aussi. Un désert qui est chauffé uniformément à 60C n'est pas très utile pour ça.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Tu parles visiblement de la côte ouest (pas vu de midges à l'est de Achnasheen) qui est déjà envahie de touristes en été. J'ai jamais vu autant de plaques minéralogiques belges en dehors de Belgique.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Ben, si. En tout cas dans mon client Mumble sous GNU/Linux je peux envoyer et recevoir des messages écrits. Ou alors je comprend pas ce qu'est un salon textuel.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Pour ceux qui ont fait des ventes à découvert ces 3 dernières semaines (GSPC +28%), c'est plus un short qu'ils se sont fait tailler. Ils sont vraisemblablement à poil.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Pour faire du trading de cryptomonnaie, c'est toujours le bon moment pour cramer du pognon. Pour investir sur le long terme, c'est un excellent moment : tout est en solde.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Tu peux utiliser un trader US pour les marchés européens. Je dois avouer que j'ai pas vu beaucoup de traders dans l'eurozone qui ont des prix intéressants et aucun qui ait un API (mais j'ai pas creusé).
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# supply chain attack
Posté par Krunch (site web personnel) . En réponse au journal Virus Mirai dans Ventoy. Évalué à 6.
Décidément https://en.wikipedia.org/wiki/SolarWinds#2020_supply_chain_attack
Quelle garanties y a-t-il que le deuxième lien que tu proposes n'ait pas un problème similaire ?
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: root-me.org
Posté par Krunch (site web personnel) . En réponse au message Devenir un hacker. Évalué à 3.
Ton approche semble très orientée « défense ». Le monsieur a l'air plus intéressé par l'attaque :)
Écrire un noyau, en sois, ne me semble pas super pertinent. Même pour la défense. Étudier les choix techniques d'OpenBSD par exemple me semble plus productif. Mais pour un attaquant ça ne reste utile qu'assez indirectement.
Par ailleurs je te suggère d'apprendre pourquoi il est préférable d'utiliser strlcpy plutôt que strncpy.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: root-me.org
Posté par Krunch (site web personnel) . En réponse au message Devenir un hacker. Évalué à 4.
Ça vient pas forcément tout seul, il faut aussi cultiver le « security mindset » comme indiqué plus haut. Tu peux faire ça en essayant de trouver des « failles » dans la vie de tous les jours par exemple. Mais pour appliquer cet esprit à l'informatique ou tout autre domaine, ça aide énormément d'avoir une bonne connaissance de ce domaine.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: root-me.org
Posté par Krunch (site web personnel) . En réponse au message Devenir un hacker. Évalué à 2. Dernière modification le 19 décembre 2020 à 11:05.
Sinon il y a plein de formations de pentesters / offensive security mais j'ai aucune idée de celles qui valent le coup ou pas. D'où ma suggestion d'apprendre les fondamentaux via une filière académique reconnue. L'aspect sécurité pouvant être vu comme une spécialisation par dessus.
Évidemment ça marche que si t'as le temps, n'es pas rebuté par un environnement académique d'apprentissage et que tu n'as pas de problème à rester à un niveau relativement théorique pendant un moment (au moins dans le cadre des études). Il y a d'autres moyens mais c'est celui avec lequel je suis le plus familier.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: root-me.org
Posté par Krunch (site web personnel) . En réponse au message Devenir un hacker. Évalué à 4.
Ça dépend de quelle définition de « hacker » tu prends. Si tu veux spécifiquement apprendre à cracker des mots de passe et « infiltrer un réseau », tu peux étudier les réseaux, systèmes d'exploitations et la cryptographie. Pour la pratique, sur base de Python, Scapy est pas mal.
L'écriture d'exploits requiert une expertise un peu différente et je m'y connais moins. Ça dépend un peu de ce que tu as en tête mais tu peux sans doute commencer par pratiquer du C, étudier comment le CPU l'exécute, les failles classiques et comment les exploiter. Si tu veux quelque chose de spécifique pour commencer tu peux lire Smashing The Stack For Fun And Profit (Aleph One, 1996). Une fois que tu as compris ce papier (ce qui va sans doute nécessiter d'apprendre plein d'autres trucs bas niveau) tu peux essayer de le mettre en pratique et essayer de comprendre pourquoi ça ne marche plus et comment adapter la technique pour une plateforme moderne.
Si tu as cinq ans, tu peux faire des études d'informatique (Computer Science, pas la version « technicien / pisseur de code » mais je sais pas comment les études supérieures sont structurées là où tu vis) qui te donneront des bonnes bases fondamentales et t'orienter vers l'aspect sécurité (l'équivalent de CSE 484 comme mentionné dans l'article de Schneier ci-avant par exemple).
La liste de gUI est pas mal comme « checklist » de trucs basiques à couvrir pour un débutant mais c'est un assez orienté Unix / bas niveau et ça n'explique pas vraiment comment acquérir ces connaissances.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Citations
Posté par Krunch (site web personnel) . En réponse au lien Que Facebook nous dise comment leurs technologies sont capables de nous tracker sur tout, sauf…. Évalué à 5. Dernière modification le 18 décembre 2020 à 23:37.
Bien sûr qu'ils sont capable de détecter de tels messages. D'ailleurs ils le font. Juste que ce qu'ils font de ces données ne correspond pas à ce que certaines personnes pensent qu'il faudrait faire.
https://www.buzzfeednews.com/article/ryanmac/facebook-rules-hate-speech-employees-leaving
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: root-me.org
Posté par Krunch (site web personnel) . En réponse au message Devenir un hacker. Évalué à 5.
Je pense que l'approche idéale peut varier selon tes intérêts, la manière dont tu apprends le mieux et le but. Si tu veux faire du pentesting pratique et potentiellement (mal) rémunéré dans les 6-12 mois, le WAHH que j'ai cité ci-avant est sans doute une approche raisonnable que tu peux pratiquer avec root-me.org etc.
Si tu préfères une approche plus large et pas spécialisée web, en gros je dirais qu'il te faut acquérir un « security mindset » [0], que tu peux affuter en étudiant des classes de failles bien documentées (cf WAHH pour le web par exemple) et de là tu peux étudier tout système (informatique ou non) et trouver comment l'exploiter pour lui faire faire ce qu'il n'a pas été conçu pour.
Les technique spécifiques à apprendre varient selon le domaine. Si tu peux élaborer tes connaissances actuelles, ton but et combien de temps tu veux y passer on peut sans doute te recommander des trucs plus spécifiques.
[0] https://www.schneier.com/blog/archives/2008/03/the_security_mi_1.html
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: root-me.org
Posté par Krunch (site web personnel) . En réponse au message Devenir un hacker. Évalué à 3.
Pour pratiquer disons. Il n'y a environ qu'à l'école que l'apprentissage et le « test » sont distincts :)
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: root-me.org
Posté par Krunch (site web personnel) . En réponse au message Devenir un hacker. Évalué à 5.
J'avais proposé quelques alternatives la dernière fois que j'ai vu root-me mentionné ici : https://linuxfr.org/news/petits-heurts-contre-une-porte-fermee-entre-amis#comment-1324758
Voire aussi
https://linuxfr.org/forums/linux-general/posts/site-de-s%C3%A9curit%C3%A9-pour-sentraine
https://linuxfr.org/users/moy/journaux/unix-training-des-outils-pour-enseigner-unix-ludiquement
En bouquins on m'a recommandé :
The Art of Software Security Assessment (Down, McDonald, Schuh)
The Web Application Hacker's Handbook (Stuttard, Pinto)
Mais en vrai le seul bouquin de sécurité que j'ai bien digéré c'est Silence on the Wire (Zalewski)
https://lcamtuf.coredump.cx/silence.shtml
Et du coup il y a The Tangled Web du même auteur mais perso j'arrive vraiment pas à m'intéresser au web: https://lcamtuf.coredump.cx/tangled/
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: pour éviter les spams et les robots ?
Posté par Krunch (site web personnel) . En réponse au journal Les adresses mail personnelles et les comptes en lignes. Évalué à 9.
s/de spammeurs//
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# +
Posté par Krunch (site web personnel) . En réponse au journal Les adresses mail personnelles et les comptes en lignes. Évalué à 2. Dernière modification le 06 novembre 2020 à 15:13.
J'utilise uniquement un nom de domaine personnel, parfois via jetable.org. J'utilise aussi mailinator.com selon ce que je veux faire. Je ne me souviens pas avoir été dans l'impossibilité de m'enregistrer avec mon domaine personnel.
Cependant j'utilise régulièrement le "+" pour donne une adresse unique à chaque site et il y en a plein qui ne l'acceptent pas (e.g.
krunch+spam@linuxfr.org). Cela peut se manifester de manière plus ou moins subtile. Le cas facile c'est quand ça cause une erreur « address invalide » à 'inscription. Ce qui est moins pratique c'est quand le site te laisse créer un compte mais qu'il est ensuite impossible de s'y connecter.Il y a aussi pas mal de sites qui n'acceptent pas @mailinator.com mais il y a des domaines alternatifs (qui ne semblent malheureusement plus documentés). J'ai vu aucun site qui refuse jetable.org.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# pourquoi
Posté par Krunch (site web personnel) . En réponse au journal Les adresses mail personnelles et les comptes en lignes. Évalué à 3.
Vu que la vaste majorité des gens utilisent des adresses de « géant », il ne me semble pas idiot d'optimiser pour ce cas d'utilisation tant que ça ne bloque pas le reste. Je suspecte que le nombre de gens qui tapent mmemichu@google.com par erreur au lieu de mmemichu@gmail.com n'est pas trivial et leur offrir l'opportunité de corriger à la volée me semble une bonne idée.
Mais évidemment ça n'excuse pas ton expérience avec Dofus et, si c'est la logique pour le comportement de Leetchi, ça semble bogué.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: la France et Mars
Posté par Krunch (site web personnel) . En réponse au journal De l'inutilité de débattre de la confidentialité de l'application StopCovid. Évalué à 4.
La première phrase de ton journal est factuellement incorrecte. Du coup j'ai pas trop vérifié le reste mais ça n'augure rien de bon.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Bof… le peuple n’a juste pas confiance
Posté par Krunch (site web personnel) . En réponse au journal De l'inutilité de débattre de la confidentialité de l'application StopCovid. Évalué à 9.
C'est la faute de qui alors ?
Tout à fait. Mais pourquoi est-ce que les gens n'ont pas confiance si ce n'est du fait des actions du gouvernement ?
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# la France et Mars
Posté par Krunch (site web personnel) . En réponse au journal De l'inutilité de débattre de la confidentialité de l'application StopCovid. Évalué à 8.
Tu sembles fort francocentré pour quelqu'un qui a l'air de de critiquer le manque d'interopérabilité international. Il y a plein de gens en dehors de France qui ne vivent pas sur Mars. Je dirais même que c'est là que la majorité des gens vivent, dont un certains nombre lisent DLFP.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Constat similaire
Posté par Krunch (site web personnel) . En réponse au journal Où vivre dans 100 ans ?. Évalué à 9.
La génération d'énergie qui se base sur la chaleur nécessite une « source de froid » aussi. Un désert qui est chauffé uniformément à 60C n'est pas très utile pour ça.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: 1.5 milliards d'Indien vont venir vivre en Bretagne
Posté par Krunch (site web personnel) . En réponse au journal Où vivre dans 100 ans ?. Évalué à 4. Dernière modification le 07 septembre 2020 à 22:27.
Tu parles visiblement de la côte ouest (pas vu de midges à l'est de Achnasheen) qui est déjà envahie de touristes en été. J'ai jamais vu autant de plaques minéralogiques belges en dehors de Belgique.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Weboob
Posté par Krunch (site web personnel) . En réponse au journal Weboob, polémiques et contributions. Évalué à 2.
Ça dépend reconnu par qui. Apparement ça marche, dans certaines conditions.
https://www.jemaya-innovations.com/
http://puzzlepiece.org/bcontrol/malebc.html
https://en.wikipedia.org/wiki/Heat-based_contraception
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Je vais tester ...
Posté par Krunch (site web personnel) . En réponse au journal BRouter, un calcul d'itinéraire libre pour vélo (mais pas que). Évalué à 5.
Ce que j'utilise surtout c'est OpenRouteService. Le seul vrai inconvénient que j'ai trouvé jusqu'à présent c'est que c'est inutilisable sur mobile.
http://maps.openrouteservice.org/
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: pas du tout, efface
Posté par Krunch (site web personnel) . En réponse à la dépêche Audio‑conférences en ligne avec Mumble. Évalué à 4.
Selon ta définition, IRC n'a pas de « salon textuel » alors que c'est le principe même.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# pas du tout, efface
Posté par Krunch (site web personnel) . En réponse à la dépêche Audio‑conférences en ligne avec Mumble. Évalué à 3.
Ben, si. En tout cas dans mon client Mumble sous GNU/Linux je peux envoyer et recevoir des messages écrits. Ou alors je comprend pas ce qu'est un salon textuel.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: C'est pas dredi je sais ...
Posté par Krunch (site web personnel) . En réponse à la dépêche Sortie de Cassandre, un cadriciel pour développer votre propre « trading bot ». Évalué à 2.
Pour ceux qui ont fait des ventes à découvert ces 3 dernières semaines (GSPC +28%), c'est plus un short qu'ils se sont fait tailler. Ils sont vraisemblablement à poil.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Bon ça va 5 minutes
Posté par Krunch (site web personnel) . En réponse au journal Apple et Google main dans la main (le temps d'une pandémie). Évalué à 10.
Disons qu'il y a quand même tout un spectre entre auto-héberger et tout confier à une ou deux boîtes spécifiques. Sinon le CCC a écrit ceci sur le sujet : https://www.ccc.de/en/updates/2020/contact-tracing-requirements
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: C'est pas dredi je sais ...
Posté par Krunch (site web personnel) . En réponse à la dépêche Sortie de Cassandre, un cadriciel pour développer votre propre « trading bot ». Évalué à 3.
Pour faire du trading de cryptomonnaie, c'est toujours le bon moment pour cramer du pognon. Pour investir sur le long terme, c'est un excellent moment : tout est en solde.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: API de trading
Posté par Krunch (site web personnel) . En réponse à la dépêche Sortie de Cassandre, un cadriciel pour développer votre propre « trading bot ». Évalué à 4.
Tu peux utiliser un trader US pour les marchés européens. Je dois avouer que j'ai pas vu beaucoup de traders dans l'eurozone qui ont des prix intéressants et aucun qui ait un API (mais j'ai pas creusé).
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.