298 private links
EDIT 2013-10-23: Une autre application rendant les mêmes services, sans le côté Google de la chose. https://links.thican.net/?uCsw2g
Logiciel qui permet simplement d'utiliser des méthodes d'authentification forte, avec plusieurs facteurs.
IETF RFC 6238, "TOTP: Time-Based One-Time Password Algorithm"
https://tools.ietf.org/html/rfc6238
https://en.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm
IETF RFC 4226, "HOTP: An HMAC-Based One-Time Password Algorithm"
https://tools.ietf.org/html/rfc4226
https://en.wikipedia.org/wiki/HMAC-based_One-time_Password_Algorithm
Une liste de règles à appliquer en ce qui concerne la sécurité.
Voilà directement la partie qui concerne le stockage des mots de passe, avec salt et hash :
https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet
EDIT: hé bien non, je n'y suis pas allé, pas les moyens, trop de boulots.
Un bref article parlant de la gestion des mots de passe, aussi bien sur le serveur que chez le client, et la gestion des données.
@TODO:
TL;DR
Une nouvelle solution libre de monitoring, mais bien plus élaborée.
Tiens tiens, intéressant, moi qui avait essayé Nagios assez récemment, mais m'étais cassé les dents dessus.
Un article sur Etherpad pour expliquer le fonctionnement de la devise électronique Bitcoin.
…
Ok, on a alors donc l'armée, service public d’extrême importance, qui signe un contrat sans faire d'appel d'offre, donc sans concurrence, pour une suite de logiciel avec des backdoors de la NSA (le réseau d'espionnage américain), le tout englobé d'une évasion fiscale de Microsoft vers l'Irlande, en quelque sorte un paradis fiscale.
Bref, l'APRIL qui a réagit depuis longtemps, mais non, toujours rien.
Hop, le détail de la faille lors de la génération de clef pour ssh sous NetBSD : une parenthèse mal placée.
(via Sebsauvage http://sebsauvage.net/links/?JCk-1w)
Internet serait bien meilleur si tout le monde respectait cette norme, celle de filtrer les paquets avec une adresse IP source usurpée.
Voir la recommandation « BCP 38 », les RFC 2827 et RFC 3704.
Cool, une sécurité super-efficace pour BIND -- un outil pour créer un serveur DNS -- pour éviter trop de requête à la fois, pour concrètement contrer les attaques par amplification DNS (en tant que machine faisant parti de l'attaque par rebond, pas auteur).
(en relation avec http://links.thican.net/?Kbb_YQ)
Article (en anglais) de CloudFare, une sorte de proxy géant du web utilisé par de nombreux sites, qui explique ce qu'est une attaque DDoS par amplification DNS.
C'est la même technique que pour les attaques dites "smurf" avec ping (ICMP), vu qu'il s'agit aussi du même type de protocole de réseau, l'UDP pour les requêtes DNS, qui sont du type "fire-and-forget" (littéralement "envoi-et-oublie"), qui n'ont donc pas besoin que l'adresse IP source soit la véritable adresse de l'attaquant mais celle de la victime, donc une usurpation d'adresse (ou "spoof" en anglais), et comme destination une adresse de broadcast, ce qui va transmettre la requête à de nombreux serveurs DNS à la fois. Et ensuite, ces serveurs DNS enverront leurs données vers l'adresse IP de la victime, sans savoir que la machine au bout de cette adresse n'est pas à l'origine de la requête.
C'est donc une attaque DDoS par saturation de liens, et non par écroulement de la machine visée par nombre élevé de requêtes à traiter ; ben oui, la machine n'ayant pas fait cette requête ne s'attend donc pas à des réponses DNS, et du coup les ignores (point à vérifier).
Voir aussi cet article, un patch pour BIND9 pour éviter d'être un attaquant à l'insu de son plein gré http://links.thican.net/?cp2TVA
Du CSS pour faire crasher Internet Explorer 9…
(via Sebsauvage http://sebsauvage.net/links/?FkxHRg)
TL;DR;
En complément : http://stackoverflow.com/questions/3146798/why-do-people-put-code-like-throw-1-dont-be-evil-and-for-in-front-of
Via SebSauvage http://sebsauvage.net/links/?lKi0mA
Ahlala ... encore l'erreur commise, celle de créer des mots de passe compliqués à retenir pour les humains, mais facile à deviner pour les machines.
Pour s'en convaincre, lisez ceci : https://xkcd.com/936/ (Password Strength)
EDIT 2016-02-16 : ancien lien https://www.pcinpact.com/news/74810-insolite-top-25-pires-mots-passe-annee-et-certains-font-peur.htm
avec seulement 1 000 $ de matériel ...
Bon, c'était une mise à l'épreuve voulue, pour justement tester la robustesse du système, et corriger les faiblesses.
Mais étant donné qu'un système ne sera jamais infaillible, et que ces engins transportent de l'armement, on peut facilement imaginer le risque que représentent ces engins.
Quelle belle cochonnerie et F.B.I cette option à la noix.
Franchement, Microsoft m'aurait pas trouvé mieux pour mettre un bon coup de pied dans le logiciel libre.
Encore moins de personnes vont pouvoir installer un SE alternatif, à cause de restriction dans ce genre.
Grrr !
Haha ! Stéphane a repris l'écriture d'article sur son site (billet où il parle de sa reprise : http://www.mangetamain.fr/cannibalisme-ou-science-quantique-jai-fait-mon-choix.html)
Cet article par contre est intéressant, il parle des techniques pour casser les moyens de sécurisation et de chiffrement des données, grâce aux technique de manipulation du hardware.
Et dire qu'on nous souhaite vendre cette technologie, avec tous les mensonges qu'ils ont pu nous dire au niveau de la sécurité des transactions.
Oui, les transactions entre la borne et la banque le sont (enfin, de ce que j'ai pu connaître), mais le problème est la carte, car les échanges sans fil entre la carte et la borne ne sont pas chiffrés, eux. C'est comme si vous insériez votre carte dans toutes les bornes qui sont à proximité, certaines ne sont pas dignes de confiances et peuvent copier toutes les données de la carte.
Bon, évitons la paranoïa, ce système sans fil ne fonctionne qu'à quelques centimètres, mais vu que des smartphones comme le google Nexus ont la technologie NFC -- "Near Field Communication", ou Communication à champ proche sans contact -- la même technologie que ces cartes, rien ne va empêcher un passant malhonnête de passer son smartphone proche de votre poche.