298 private links
Quelques rappels sur le fonctionnement des redirections de ports avec SSH à l’aide d’images.
En français, avec quelques explications et l’introduction de la « redirection de port locale et « dynamique » au niveau applicatif » (-D [bind_address:]port
, voir ssh(1)
), ou plus simplement un « proxy SOCKS » : https://blog.hugopoi.net/2021/01/01/ssh-port-forwarding-par-lexemple/
J’en profite pour rajouter quelques infos, je vous conseille de jeter un œil sur l’option GatewayPorts
dans sshd_config(5)
, car par défaut (version 8.4 actuellement) cette option est sur no
, et donc force les redirections en locale uniquement (ce qui est plutôt une bonne chose).
Ainsi, pour laisser le choix aux clients ssh, il suffit de renseigner la valeur clientspecified
dans votre configuration (mais attention aux conséquences).
Pour résumé en très simple, le fait que Google et d’autres services d’envois de courriels ne publient pas la clef privée pour DKIM (Domain Keys Identified Mail) après chaque changement permet ainsi de continuer de vérifier l’authenticité des courriels bien des années après leurs envois.
Pour rappel, le but d’origine de DKIM est de permettre de vérifier l’authenticité de la source du courriel lors de sa réception, une solution contre le spam.
Sauf que si un courriel peut être authentifié bien des années après, les utilisateurs peuvent être victimes « d’extorsion et de chantage » lorsque leurs courriels auront été volés par n’importe quel moyen.
De plus, il se peut qu’au bout de plusieurs années, même si la clef DKIM a été changée de nombreuses fois, que des personnes malveillantes arrivent à recréer la clef privée utilisée légitiment à un moment donnée. Et ainsi, ils pourront forger de nouveaux courriels postdatés, qui ainsi seront authentiques aux yeux des personnes qui souhaitent vérifier.
Donner ainsi la clef privée permettra de pouvoir nier l’authenticité d’un courriel, ne laissant le rôle de vérification de DKIM qu’au moment de la transmission.
Pour ceux qui souhaitent continuer de garantir l’authenticité de leurs courriels, ils peuvent utiliser des outils dédiés pour, comme GnuPG, de leur plein gré, et non de façon implicite choisie uniquement par leurs hébergeurs ou le service envoyeur.
Du coup, j’ai aussi du boulot à faire de mon côté …
Un article de Thomas VASSEUR, développeur français chez Motion Twin, boîte française aussi, où il explique pourquoi et comment générer des modèles 3G dans un jeu vidéo en 2D dit "Pixel Art".
Ainsi, je comprends mieux pourquoi ce rendu pixel art, alors que je me dis (peut-être) j’aurais préféré une version non pixel art, comme pour pour le jeu Hollow Knight.
Un article de sensibilisation aux arnaques (“scam”) par courriel, en se servant de chantage concernant un (improbable) accès à votre compte et ordinateur et ainsi à vos données personnelles, contenant des "vidéos compromettantes".
Comme l’article l’explique correctement, ces arnaques ne sont pas ciblées, et ainsi ne peuvent pas être véridiques car n'étant pas ciblé ils n’ont donc aucune des données qu’ils prétendent avoir sur vous.
Et comme pour chaque chantage, il ne faut absolument pas payer ; sans plagier entièrement l’article, ils expliquent que rien n’empêchent ces maîtres chanteurs de revenir, car il n’y aura aucun moyen de vérifier qu’ils ne garderont pas une copie de vos données et qu’ils supprimeront leurs virus (qui je rappelle n'existent pas), et ainsi augmenter leurs enchères.
En conclusion, ayez une solution antivirus à jour (même les gratuites bien connues sont efficaces), ainsi qu’un système à jour principalement sur les mises à jour de sécurité.
Et concernant les chantages, il existe des aides pour bien vous informer (c’est dans l’article aussi).
Merci aux auteurs de cet article pour avoir créer une liste de ces arnaques et la maintenir à jour tout en étant très pédagogique sur le recul à prendre face à de tels courriels (et ils sont nombreux).
EDIT : je copie depuis cet articles des liens vers des pages de journaux français, parlant d'un français présumé coupable arrêté une fois son retour en avion en France :
- Le Monde : https://www.lemonde.fr/pixels/article/2019/09/13/sextorsion-un-francais-arrete-apres-une-vaste-tentative-de-chantage-par-e-mail_5509981_4408996.html
- Le Figaro : https://www.lefigaro.fr/flash-actu/cyberescroquerie-un-francais-interpelle-pour-une-vaste-arnaque-20190913
Malheureusement, il est loin d’être le seul, et ces arnaques existent depuis le début de l’internet, et même bien avant.
Déjà lu, mais lien gardé pour lectures des différents articles conseillés pour approfondir la recherche :
- l'interview d'un des développeurs de GnuPG : https://www.april.org/vie-privee-en-2013-pourquoi-quand-comment-par-werner-koch
- ou bien un très bon article de Dan Goodin expliquant comment contourner (et non pas casser) la crypto : http://arstechnica.com/security/2013/09/spooks-break-most-internet-crypto-but-how/
- ou encore celui de Peter Bright sur les vraies capacités de la NSA : http://arstechnica.com/security/2013/09/of-course-nsa-can-crack-crypto-anyone-can-the-question-is-how-much/
- Voir aussi l'article de Matthew Green qui fait le tour des techniques connues et inconnues pour déchiffrer le trafic TLS : http://blog.cryptographyengineering.com/2013/12/how-does-nsa-break-ssl.html
Et comme l'indique l'auteur : « Tout cela n'était que des solutions techniques car cet article se focalise sur l'aspect technique des choses. Mais, évidemment, le problème de fond est politique et c'est dans des changements politiques profonds qu'il faut chercher les vraies solutions. Il n'est pas normal qu'il faille être expert en crypto pour avoir une vie privée ! »
Article très détaillé et très bien expliqué sur la mise en place d'un service DoT et DoH (respectivement DNS over TLS et DNS over HTTPS) et sur son fonctionnement, avec en prime des outils pour vérifications, analyse, suivi de l'état du système.
Merci encore à Bortzmeyer.
La philosophie de “l’open source” ne touche ainsi pas que le monde de l’informatique, et c’est une très bonne chose.
Mais par contre, comme indique l’article à travers l'inquiétude des écuries sur « un système où le curseur vers la standardisation serait poussé trop loin », forcer ou simplement précipiter les choses n’est pas une bonne approche.
Je crains que l’origine de la demande, qui est ici la « standardisation des pièces de F1 », ne se transforme en « standardisation de facto » ; ainsi, l'écurie la plus imposante ou la plus rapide proposera ou forcera ses modèles de pièces, basés sur ses besoins ou sur son travail déjà présent, plutôt que de voir des modèles plus performantes ou plus économes mais qui demanderont un travail d'adaptation à ces premières (sans oublier la chaîne de fabrication et de montage, avec formation des techniciens, etc).
Et ainsi, la standardisation serait ici un frein à l’innovation.
« L’enfer est pavé de bonnes intentions. »
Même avec un client officiel, des vulnérabilités demeurent suite à l’abandon du support pour ce jeu, permettant ainsi à des personnes malveillantes d’exploiter des failles qui ne seront jamais réparées, même si le client est toujours distribué par l’éditeur.
La suppression des noms de domaines malveillants n’est qu’une répit de quelques instants, tout au mieux.
Suite à ce précédent billet sur developpez.com (français) : https://links.thican.net/?T7dY7A
En anglais : “Asymmetric numeral systems (ANS)” https://en.wikipedia.org/wiki/Asymmetric_numeral_systems
In case it might help someone, when developping with VCS.
Copied/pasted from QuickStart:
To get this feature working quickly (including colors), you can do the following (assuming, you loaded vcs_info properly - see above):
zstyle ':vcs_info:' actionformats \
'%F{5}(%f%s%F{5})%F{3}-%F{5}[%F{2}%b%F{3}|%F{1}%a%F{5}]%f '
zstyle ':vcs_info:' formats \
'%F{5}(%f%s%F{5})%F{3}-%F{5}[%F{2}%b%F{5}]%f '
zstyle ':vcs_info:(sv[nk]|bzr):*' branchformat '%b%F{1}:%F{3}%r'
precmd () { vcs_info }
PS1='%F{5}[%F{2}%n%F{5}] %F{3}%3~ ${vcs_info_msg0}%f%# '
Obviously, the last two lines are there for demonstration. You need to call vcs_info from your precmd function. Once that is done you need a single quoted '${vcs_info_msg0}' in your prompt.
To be able to use '${vcs_info_msg0}' directly in your prompt like this, you will need to have the PROMPT_SUBST option enabled.
Suite à ce précédent billet sur developpez.com (français) : https://links.thican.net/?T7dY7A
Petite piqure de rappel.
En clair : ce qu’on appelle "le cloud", ce sont juste des machines qui appartiennent à d’autres ; et si c’est gratuit, alors vous êtes le produit.
Source directe des CGU (Conditions Générales d’Utilisation) en français : https://policies.google.com/terms?hl=fr
Article intéressant et pédagogue sur le fonctionnement des saisons, le tout basé sur des explications liées à l’astronomie.
Échange de mains à la frontière coréenne.
Plus d’infos sur cet album chez Imgur : “When Kim met Moon: All the key moments from a historic day!” https://imgur.com/gallery/uFGKT3u
Original source after seeing the recent post on Imgur (https://links.thican.net/?Kbh_NQ)