Tony Flow a écrit 307 commentaires

  • [^] # Re: Retour d'expérience

    Posté par  . En réponse au journal Fail2ban, ajustement des valeurs par defaut. Évalué à 6 (+5/-0).

    Enfin un autre concept que je trouve intéressant (simple et efficace) dans cette volonté de détecter des attaques au milieu d'un flot de requêtes légitimes : le pot de miel. Je vais prendre un exemple, qui n'est pas purement du honeypot, mais cela m'a fait réfléchir sur la tactique à adopter…

    J'ai donc dû me pencher sur la protection de sites WordPress, avec beaucoup de tentatives de connexions par brute-force, soit via le wp-login.php ou aussi le xmlrpc.php. Si j'ai bien compris ce dernier permet d'effectuer des actions d'admin externe (en particulier créer des posts depuis d'autres sites ou outils desktop sans doute), donc généralement je sais qu'il n'est pas utilisé légitimement.

    Au début j'avais pour habitude de le supprimer (une porte d'entrée inutile, autant la dégager), mais :
    - le fichier peut facilement réapparaitre suite à des mises à jour, sans qu'on pense à le retirer à nouveau
    - les attaques deviennent des 404 moins identifiables et l'attaquant n'insiste pas

    Du coup j'ai préféré laisser le fichier en place, mais en ajoutant une mini extension custom pour le hooker :
    - je commence par alimenter un fichier de log
    - et puis quelque soit la demande réelle, je retourne une réponse bidon (l'air de rien) et exit !

    Comme ça je rends le script inoffensif, mais sans faire fuir les attaquants et sans me priver d'alimenter ma liste d'IP à bannir (avec bien sûr un filtre fail2ban sur le fichier de log généré).

    Voilà mes pistes de reflexions… si vous avez des remarques ou d'autres solutions n'hésitez pas ;)

  • [^] # Re: Retour d'expérience

    Posté par  . En réponse au journal Fail2ban, ajustement des valeurs par defaut. Évalué à 3 (+2/-0).

    Et là vous allez me parler des fermes de bots et que ça sert à rien puisqu'ils changent d'IP…

    Alors oui et non : certes on en là, mais pas toujours ! Je vois encore beaucoup d'attaques très bêtes et méchantes, qui ne s'embarrassent pas à être subtiles (pas de temporisation, pas d'IP multiples), donc on va au moins être efficace sur ces cas là.

    Ensuite on peut être plus dur sur le délai du ban et la taille de la fenêtre de répétition. Je ne saurais pas dire si ces vains ou pas, je me dis naïvement que les IP ne sont pas non plus infinies… Alors même si elles changent on doit finir par les retrouver !

    Sinon je ne vois qu'une solution face aux attaques subtiles qui ne font par exemple qu'une tentative par IP par heure voire jour : la mutualisation des bans. Donc devoir faire appel à un service qui recense toutes les IP bannies… j'avoue ne pas avoir cherché plus que ça ce que donne de telles RBL, j'ai encore du mal à confier aveuglément de telles décisions de blocage à des services tiers, qui pourraient être parfois trop sévères (encore mon soucis d'éviter les faux-positifs, avec une sensation de perte de contrôle).

    Quand il ne s'agit pas d'un simple serveur, mais qu'on gère une infra exposant de multiples services, je trouve intéressant de pouvoir au moins mutualiser tous nos bans. Mais à ma connaissance fail2ban ne permet pas ce fonctionnement collaboratifs entre plusieurs serveurs… Par contre comme on peut faire ses propres filtres et actions, je suppose qu'on peut se bricoler un truc dans le genre…

    Mais la bricole ça va 5mn, je n'ai plus 20 ans et je préfère du standard et du maintenable, surtout si ça concerne la sécurité de toute mon infra ! Et puis je me souviens avoir lu la news sur reaction qui m'avait intéressé, surtout la fin qui évoquait une version 2 avec fonctionnement en grappe !

    Du coup j'en suis resté là, en me disant que le jour où je voudrais améliorer mes fail2ban il faudra surtout que j'aille voir si reaction existe toujours et a évolué en ce sens (encore un truc qui encombre ma TODO list ')

  • [^] # Re: Retour d'expérience

    Posté par  . En réponse au journal Fail2ban, ajustement des valeurs par defaut. Évalué à 4 (+3/-0).

    C'est délicat d'agir sur du 404 car ce n'est pas forcément la faute du visiteur !

    Par exemple des personnes peuvent avoir suivi des liens obsolètes, trouvés depuis des sites externes…

    Et même avec le critère de répétition ce n'est pas évident, par exemple :
    - un site web a dans sa charte graphique un picto (affiché sur toutes les pages, par ex dans le footer)
    - un jour quelqu'un édite le site et sans faire attention supprime/déplace/renomme ce fichier image
    - alors chaque page visitée va générer une erreur 404 en essayant d'afficher ce picto manquant
    - en plus ça peut durer longtemps comme ça, sans que personne ne remarque et remonte l'absence du picto

    Je suis toujours très prudent avec les faux-positifs (comme avec les règles antispams) qui peuvent être très facheux ou gacher l'utilité de la protection, surtout dès qu'il s'agit de services accessibles au public.

    Dans le cas présent, je vais préférer utiliser des règles plus précises sur des URL vraiment douteuses.
    Par exemple sur les requêtes qui tentent de trouver des fichiers sensibles (.htpasswd, .env, auth.json…) je configure mon serveur web pour les bloquer (accès interdit 403) et je rajoute un fail2ban sur les accès interdits à répétition (histoire de limiter le bruit dans mes logs web, réduire la charge du serveur et empêcher d'autres tentatives d'attaque peut-être moins infructueuses).

  • [^] # Re: Pas merci

    Posté par  . En réponse à la dépêche Not so Common Desktop Environment (NsCDE), un paradigme différent. Évalué à 2 (+1/-0).

    Histoire de retrouver un peu de fun (avec une pointe de nostalgie), il y a cette extension Gnome : https://extensions.gnome.org/extension/4679/burn-my-windows/

    On retrouve toute sorte d'effets, des kitchs, des classiques, des plus subtils… De toute façon ce n'est qu'à la fermeture de fenêtre donc ça limite l'usage abusif ;)

  • # A propos / Qui sommes nous ?

    Posté par  . En réponse au journal Art généré par IA. Évalué à 10.

    J'ai été voir le site https://lexica.art et quelque chose me trouble un peu : je n'y ai trouvé aucune information sur qui fourni le service, quelle société opère derrière, où tout cela est hébergé…

    Site très minimaliste, pas de pied de page… Je n'ai rien vu d'autre que la page "Account" qui propose les memberships avec une mini-FAQ qui est trop légère à mon goût ! Surtout alors qu'il s'agit ici de nous proposer des abonnements payants, un minimum de mentions légales ne ferait pas de mal !

    Alors en savez-vous plus sur ce site ? Moi comme ça je me méfie de ce genre de service. Surtout qu'avec l'apparition des ces IA on voit que tout un business tente de se monter avec son lot d'opportunistes et de profiteurs qui veulent juste surfer autour (ou en mode surcouche).

  • [^] # Re: j'y étais

    Posté par  . En réponse au lien Avis aux lève-tôt : time(NULL) == 1666666666 demain à 04:57:46 UTC+2. Évalué à 3.

    Mince, je ne l'ai pas vu passer…

    Bon je n'ai plus qu'à noter dès maintenant dans mon agenda le 3 mai 2026 !

  • # Mockup !?

    Posté par  . En réponse au journal Comment s’appelle ce design web ?. Évalué à 6.

    Non rien d'officiel dans le nom…

    Juste que personnellement j'ai l'impression d'être sur une maquette de site ! Le genre de truc fait rapidement avec des éléments génériques/neutres pré-existants uniquement dans le but de définir la mise en page sans s'attacher au look.

    Bref, pas fan non plus. Mais je suis plutôt représentatif de ceux qui n'aime pas suivre les modes.

    Cela ne m'avait pas empêché d’apprécier la tendance épurée, n'hésitant pas à grossir textes et marges : même si ça avait pu me heurter un peu au début, j'ai compris les apports de ces styles qui donnent une apparente simplicité tout en gardant des touches subtiles pour le look. Par exemple l'usage de fonds dégradés et d'ombrages presque imperceptibles (on calme le jeu après en avoir abusé), mais qui habillent discrètement (on s'en rend compte surtout en les retirant).

    Là, moins convaincu par ces assemblages de couleurs… on verra avec le temps. Ça reste bien d'essayer d'être différent, mais du coup j'espère aussi que cela ne va pas trop se répandre '

  • [^] # Re: Annonce de la version officielle, en français

    Posté par  . En réponse à la dépêche Firefox 75 : Pâques avant l’heure. Évalué à 4.

    Effectivement c'est une horreur ce truc ! Je suis pourtant pas du genre à taper sur mozilla, mais me retrouver avec "rechercher avec Amazon" en top suggestion à chaque fois… n'importe quoi ><'

    Apparement j'ai pu le supprimer en allant sur la page d'accueil Firefox (je crois que c'est le terme… la page que j'ai par défaut en faisant un nouvel onglet). L'icone amazon y apparaissait en première position des sites les plus visités (avec un logo de loupe en plus) : je l'ai retiré ici et il n'apparait plus dans les suggestions de la barre d'adresse (ouf).

  • [^] # Re: Stable mais

    Posté par  . En réponse à la dépêche GNOME 3.36 à la cool. Évalué à 3.

    Pour ceux qui sont habitués à avoir des fichiers qui trainent sur le bureau, je pense avoir trouvé une alternative à leur proposer ! Il ne faut pas forcément vouloir à tout pris rétablir la fonctionnalité telle quelle, mais réfléchir au réel besoin : avoir une zone où on pose quelques fichiers et y accéder facilement.

    Si le but est de les garder sous le coude, le fait qu'ils soient cachés sous toutes les fenêtres (en devant ainsi minimiser son travail pour y accéder) n'est vraiment pas génial…
    Aujourd'hui nous travaillons plutôt avec des overlays, c'est d'ailleurs ainsi qu'est pensé Gnome Shell avec les vues Activités et Applications : alors pourquoi ne pas réutiliser ce principe pour retrouver nos fichiers en vrac du bureau ?

    Justement une extension permet ça : https://extensions.gnome.org/extension/1395/files-view/ (longtemps connue sous som nom Argonauta car son intégration sur le site de gnome a été un peu longue).
    C'est une vue supplémentaire (toujours présentée dans un overlay, avec coin chaud, icone ou raccourci pour la faire apparaitre) qui affiche un gestionnaire de fichier en lecture seule. Ainsi on peut très bien le configurer pour afficher le contenu du dossier ~/Bureau, ou autre chose selon les besoins (il peut mémoriser le dernier emplacement par ex).

  • [^] # Re: La simplicité ?

    Posté par  . En réponse à la dépêche PrestaShop version 1.7.6.3. Évalué à 3.

    Pour ma part, je me souviens (peut-être du 1.6 à l'époque) avoir remarqué que dans le back-office au niveau du bouton "mon compte / déconnexion" en haut à droite, il devait y avoir une image pour l'avatar du compte connecté…

    Mais je n'ai pas du tout apprécié quand je me suis rendu compte que l'avatar par défaut était une image externe téléchargée depuis le site de prestashop !

    Alors okay j'ai pu surcharger pour virer ça, mais découvrir que prestashop avait ainsi une remontée d'info dès qu'on se connectait sur le back-office d'une instance quelconque, ça me choque un peu.

  • [^] # Re: La meilleure fonctionnalité du gestionnaire de paquets

    Posté par  . En réponse au journal Guix : un outil pour les remplacer tous. Évalué à 1.

    Est ce que /tmp sera aussi en noexec ?

    Avoir /tmp sur un montage séparé (ce qui évite les débordements) avec les options noexec,nosuid,nodev est souvent recommandé.

    Mon système tourne ainsi depuis pas mal de temps. Par contre j'ai déjà eu des programmes qui refusaient de se lancer à cause de ça : ils génèrent des fichiers dans /tmp qui doivent pouvoir être exécutés (ou liés à une exécution). J'ai rencontré par exemple avec des libs (.so), du java (.class) ou du electron (nodejs/chromium).

    Par contre ce n'est généralement pas le cas du /var/tmp (qui ainsi propose une alternative au /tmp, surtout en terme d'espace quand le /tmp est en ramfs).

  • [^] # Re: Firefox

    Posté par  . En réponse au journal Navigateur web, l'impossible choix. Évalué à 8.

    Depuis la perte d’une grande partie des extensions, plus de solution convaincante pour avoir des onglets arborescend verticaux

    J'utilise toujours l'extension Tree Style Tag avec bonheur (à vrai dire je suis accro, impensable pour moi de naviguer sans onglets verticaux).

    La nouvelle version en webextension n'a peut-être pas été dispo tout de suite (je suis sans doute resté en firefox LTS en attendant), mais on l'a tout de même retrouvé (ouf) !

  • # Oui une correction s'impose

    Posté par  . En réponse au journal les logiciels libres sont libres de droits. Évalué à 10.

    • Système de publication SPIP (logiciel libre distribué sous Licence Publique Générale GNU (General Public License ou GPL)

    XKCD 859

    En tout cas ça serait dommage de ne pas corriger ces parenthèses au passage…

  • [^] # Re: Serveur inaccessible

    Posté par  . En réponse au journal «Understand the fact» la campagne de Arm contre le set d'instructions libre Risc-V. Évalué à 10.

    Du coup on trouve la réponse sur la campagne concurrente évoquée dans le post précédent :

    Update: The riscv-basics.com site was taken down by ARM on the 10th of July.

    Avec en référence un lien vers un article de The Register (en) expliquant la situation et la décision de stopper le site après des réactions internes.

    Une campagne qui n'aura tenue que 2-3 jours en ligne… mais qui ne sera pas passée inaperçue. Belle efficacité contre-productive et joli rétro-pédalage effectivement !

  • [^] # Re: Effacer la barre d'url

    Posté par  . En réponse au journal Konquefox est mort, vive Go Up !. Évalué à 3.

    Cool ! Du coup je ne connaissais pas ton extension, mais désormais elle est adoptée. Merci à toi ;)

    (et je ne suis pas du genre à collectionner les extensions, je n'en avais qu'une seule, indispensable à mes yeux bien sûr : Tree Style Tab)

  • [^] # Re: Effacer la barre d'url

    Posté par  . En réponse au journal Konquefox est mort, vive Go Up !. Évalué à 6.

    Hey j'ai peut-être une solution pour vider la barre d'URL !

    Je me suis dit qu'après tout, le "go up" arrivait bien à en modifier le contenu finalement…
    Du coup j'ai fait un test rapidement en bidouillant l'extension pour lui faire changer l'URL ainsi :

    browser.tabs.update({"url": 'about:blank'});
    

    Apparement ça marche ! La "about:blank" n'apparait pas dans la barre d'adresse qui reste vide (on peut d'ailleurs vérifier ce comportement en tapant soi-même about:blank dans sa barre).

    Alors okay ça en fait un peu plus… on perd aussi le contenu de la page. Mais à mon avis on s'en moque, après tout l'intérêt du bouton c'est de vider la barre pour en donner une autre et quitter la page en cours.

    En espérant que ça convienne bien pour avoir une prochaine mise à jour de ton extension alors !

  • [^] # Re: Effacer la barre d'url

    Posté par  . En réponse au journal Konquefox est mort, vive Go Up !. Évalué à 2.

    C'est vrai que ça manque un petit bouton pour vider la barre d'adresse et celle de recherche…

    Parfois quand je veux copier-coller une URL en mode flemmard juste avec la souris, j'ouvre un nouvel onglet uniquement pour disposer d'une barre d'adresse vide.

    Maintenant je ne suis pas choqué qu'une extension ne puisse pas fournir cette fonction. Par contre je trouverais fort dommage que Mozilla ne l'intègre pas directement. Surtout que ça se fait déjà pour tous les appareils mobiles/tactiles et que ça pourrait s'envisager via la personnalisation de la toolbar (s'ils ne souhaitent pas l'afficher par défaut)

  • [^] # Re: Gag

    Posté par  . En réponse au journal [MaVie] La grosse gaffe du jour ..... Évalué à 4.

    Ah tiens ça me rappelle une fois où je voulais simplement renommer un fichier… Mais manque de bol dans l'instant j'ai pensé "rm" ça sonne comme "rename" :

    $ rm mon-precieux-fichier un-nouveau-nom
    rm: impossible de supprimer 'un-nouveau-nom': Aucun fichier ou dossier de ce type
    

    Hein !? mais c'est quoi cette rép… oh merde…
    Car aucune erreur sur le premier nom de fichier : celui-ci a bien été trouvé et supprimé avec succès :')

  • # A propos du framework Symfony

    Posté par  . En réponse à la dépêche Événementiel et accueil de publics: e-venement v2.10 "Caïpirinha Kerlagatu". Évalué à 2.

    J'ai vu rapidement que l'appli semblait toujours reposer sur un framework Symfony version 1. Étant moi-même mainteneur d'une appli développée sur ce même framework, c'est un détail qui m'intéresse toujours… (bien sûr, je ne prévois pas non plus une réécriture de cette appli en SF2/3)

    Pour le moment je suis toujours avec la dernière stable 1.4.20 (nov. 2012 !). Je n'ai toujours pas de contraintes m'obligeant à bouger, mais j'ai pris note des initiatives qui visent à prolonger la vie du framework.
    Du coup je me souviens avoir lu avec intérêt cette précédente news https://linuxfr.org/news/symfony1-relance

    Du coup, je suis content de voir que votre appli se porte bien et que son développement continue d'avancer. Et j'aimerai bien savoir quelques années après votre position par rapport à Symfony 1 : êtes-vous resté sur votre fork ou bien avez-vous opté pour l'un ou l'autre déjà existants ?

    Bref, je suis curieux de tout retour d'expérience à ce sujet ! D'avance merci ;)

  • [^] # Re: Tiptop le sexisme

    Posté par  . En réponse à la dépêche Ouverture du site Libre Games Initiatives. Évalué à 4.

    Je suis aussi sur ce ressenti qu'il y a de la maladresse. La démarche de ce type de sélection se justifie, mais l'étiquette posée dessus est trop réductrice (et moi en bon hétéro, je passe pour quoi à apprécier ce genre de jeux !? ')

    Vouloir catégoriser des jeux vidéos pour filles, ça m'a de suite rappelé cette quote sur les "vrais jeux" où le ridicule de la situation est incontestable : http://danstonchat.com/15697.html

  • [^] # Re: Décalage

    Posté par  . En réponse à la dépêche MicroAlg: langage et environnements pour l’algorithmique. Évalué à 4.

    Je suis d'accord avec toi, une library graphique apporterait un énorme plus. Tout ce qui est graphique est toujours un plus quand on aborde un nouveau sujet.

    Je suis tout à fait d'accord : un résultat graphique peut être plus parlant et satisfaisant.

    Personnellement j'ai fais mes premiers pas avec l'informatique et la programmation dès l'école primaire sur des mo5 avec le logo et sa fameuse tortue. Je suppose que ça a prit un coup de vieux et qu'il en faut sans doute plus pour attirer les jeunes d'aujourd'hui… Néanmoins je pense que ça reste un super outil pédagogique pour s'initier à l'algorithmie.

  • [^] # Re: boulinguage ?

    Posté par  . En réponse au journal Docker pour Windows Server. Évalué à 3.

    Sinon pour ceux qui comme moi ne savaient pas ce qu'est Docker :
    http://fr.wikipedia.org/wiki/Docker_(Système_de_conteneur_Linux)

    Aussi pour en découvrir un peu plus sur Docker, j'avais trouvé la dépêche de juillet dernier assez intéressante : https://linuxfr.org/news/la-folie-docker

  • [^] # Re: Le bon mot du jour

    Posté par  . En réponse au journal Abolir les brevets ?. Évalué à 6.

    Dans le même genre il y a cette citation de Thomas Jefferson :
    "Celui qui apprend quelque chose de moi enrichit son savoir sans réduire le mien, tout comme celui qui allume sa chandelle à la mienne se donne de la lumière sans me plonger dans l'obscurité."

  • [^] # Re: Pas de retour accueil ?

    Posté par  . En réponse au journal Itop... l'ITSM opensource. Évalué à 2.

    Je suppose aussi que ça vient juste de la demo qui a été maltraitée ou pas hyper bien configurée…

    D'ailleurs il y a 2 démos disponibles (simple/complète) et je ne vois pas ces problèmes de navigation sur la seconde, puisqu'un menu latéral reste toujours présent sur la gauche : iTop Full ITIL Installation

  • [^] # Re: Nouvel éditeur

    Posté par  . En réponse au journal Nouvelle interface pour gedit. Évalué à 4.

    J'utilise très régulièrement gedit, pour noter tout et n'importe quoi… Prise de note rapide, copier-coller, brouillon… Je m'en sers aussi pour coder quand ça ne concerne pas 36 fichiers et l'envie de sauvegarder ça dans un "projet" (sinon -> geany).

    Bref je viens d'aller voir l'article rapidement : bein j'ai pas vraiment remarqué de changements ! Je craignais des disparitions de fonctionnalités, mais à première vue tout semble là… Bon ça m'a pt'être échappé pour le moment.

    Donc okay le look s'adapte et c'est pas moche, plutot sobre et peu de place gaché, donc bien. Pour répondre à Tanguy, oui la barre d'outils est ce qui change le plus et parait moins complète qu'avant… M'enfin perso je ne l'utilise quasiment jamais ! Donc je pense que cette nouvelle version est bien suffisante pour être utilisable.

    De toute façon à mon sens gedit n'a pas vocation à devenir eclipse. Je trouve même important de ne pas trop le faire évoluer en fonctionnalités pour avoir juste un bloc-note simple d'usage (sinon le système de plugin est toujours un bon compromis, et sinon c'est pas les editeurs/IDE qui manquent).