Search: [sécurité] - thican's links

Voilà directement la partie qui concerne le stockage des mots de passe, avec salt et hash :
https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet

sécurité · todo

May 12, 2013 at 1:10:31 PM GMT+2 · permalink

·

https://www.owasp.org/index.php/Cryptographic_Storage_Cheat_Sheet

Nuit du Hack 2013 – J’y serai, et vous ?

EDIT: hé bien non, je n'y suis pas allé, pas les moyens, trop de boulots.

partage · high_tech · logiciel_libre · sécurité · GNU/Linux · informatique

May 7, 2013 at 3:45:22 PM GMT+2 · permalink

·

http://korben.info/ndh2k13.html

La sécurité dans le développement

Un bref article parlant de la gestion des mots de passe, aussi bien sur le serveur que chez le client, et la gestion des données.

sécurité · système

April 25, 2013 at 5:00:14 PM GMT+2 · permalink

·

http://linuxfr.org/news/la-securite-dans-le-developpement

Z-Eye, gestion réseau et monitoring unifié

@TODO:
TL;DR

Une nouvelle solution libre de monitoring, mais bien plus élaborée.

réseau · sécurité · software · GNU/Linux · todo

April 25, 2013 at 4:39:29 PM GMT+2 · permalink

·

http://linuxfr.org/news/z-eye-gestion-reseau-et-monitoring-unifie

Monitorez vos serveurs avec munin et notifications par email

Tiens tiens, intéressant, moi qui avait essayé Nagios assez récemment, mais m'étais cassé les dents dessus.

sécurité · software · astuces · todo

April 25, 2013 at 12:30:17 PM GMT+2 · permalink

·

http://sametmax.com/monitorez-vos-serveurs-avec-munin-et-notifications-par-email/

[PDF] SQLite - A Lesson In Low-Defect Software

@TODO:

DR

(via SebSauvage http://sebsauvage.net/links/?TmZsfw)

software · astuces · sécurité · todo

April 25, 2013 at 1:12:02 AM GMT+2 · permalink

·

http://www.sqlite.org/talks/wroclaw-20090310.pdf

Etherpad Lite | bitcoins

Un article sur Etherpad pour expliquer le fonctionnement de la devise électronique Bitcoin.

sécurité · crypto · bitcoins · todo

April 24, 2013 at 12:30:59 PM GMT+2 · permalink

·

https://pad.lqdn.fr/p/bitcoins

L’armée “accro” à Microsoft ? | Le Vinvinteur

…

Ok, on a alors donc l'armée, service public d’extrême importance, qui signe un contrat sans faire d'appel d'offre, donc sans concurrence, pour une suite de logiciel avec des backdoors de la NSA (le réseau d'espionnage américain), le tout englobé d'une évasion fiscale de Microsoft vers l'Irlande, en quelque sorte un paradis fiscale.

Bref, l'APRIL qui a réagit depuis longtemps, mais non, toujours rien.

software · Big_Brother · sécurité · Microsoft

April 23, 2013 at 10:02:19 AM GMT+2 · permalink

·

http://levinvinteur.com/larmee-accro-a-microsoft/

Anatomy of a bug – misplaced parenthesis threatens NetBSD’s random numbers |

Hop, le détail de la faille lors de la génération de clef pour ssh sous NetBSD : une parenthèse mal placée.

(via Sebsauvage http://sebsauvage.net/links/?JCk-1w)

sécurité · software · programmation

April 4, 2013 at 3:07:18 PM GMT+2 · permalink

·

http://nakedsecurity.sophos.com/2013/04/01/anatomy-of-a-bug-misplaced-parenthesis-in-netbsd/

Blog Stéphane Bortzmeyer: RFC 2827: Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing

Internet serait bien meilleur si tout le monde respectait cette norme, celle de filtrer les paquets avec une adresse IP source usurpée.

Voir la recommandation « BCP 38 », les RFC 2827 et RFC 3704.

réseau · sécurité · internet

March 29, 2013 at 4:40:31 PM GMT+1 · permalink

·

http://www.bortzmeyer.org/2827.html

Response Rate Limiting in the Domain Name System (DNS RRL) | Red Barn

Cool, une sécurité super-efficace pour BIND -- un outil pour créer un serveur DNS -- pour éviter trop de requête à la fois, pour concrètement contrer les attaques par amplification DNS (en tant que machine faisant parti de l'attaque par rebond, pas auteur).

(en relation avec http://links.thican.net/?Kbb_YQ)

internet · réseau · sécurité

March 26, 2013 at 4:11:17 PM GMT+1 · permalink

·

http://www.redbarn.org/dns/ratelimits/

Deep Inside a DNS Amplification DDoS Attack - CloudFlare blog

Article (en anglais) de CloudFare, une sorte de proxy géant du web utilisé par de nombreux sites, qui explique ce qu'est une attaque DDoS par amplification DNS.

C'est la même technique que pour les attaques dites "smurf" avec ping (ICMP), vu qu'il s'agit aussi du même type de protocole de réseau, l'UDP pour les requêtes DNS, qui sont du type "fire-and-forget" (littéralement "envoi-et-oublie"), qui n'ont donc pas besoin que l'adresse IP source soit la véritable adresse de l'attaquant mais celle de la victime, donc une usurpation d'adresse (ou "spoof" en anglais), et comme destination une adresse de broadcast, ce qui va transmettre la requête à de nombreux serveurs DNS à la fois. Et ensuite, ces serveurs DNS enverront leurs données vers l'adresse IP de la victime, sans savoir que la machine au bout de cette adresse n'est pas à l'origine de la requête.

C'est donc une attaque DDoS par saturation de liens, et non par écroulement de la machine visée par nombre élevé de requêtes à traiter ; ben oui, la machine n'ayant pas fait cette requête ne s'attend donc pas à des réponses DNS, et du coup les ignores (point à vérifier).

Voir aussi cet article, un patch pour BIND9 pour éviter d'être un attaquant à l'insu de son plein gré http://links.thican.net/?cp2TVA

réseau · sécurité · internet

March 21, 2013 at 7:20:21 PM GMT+1 · permalink

·

http://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack