Ou alors fait fournir une solution de MDM grand public qui verouille les parametre de reinitialisation. Pas besoin d usine à gaz administrative les contrôles techniques sont là
lanoux a dit:
Sauf qu’il y a 30 ans on disait pas il regarde tellement la télé qu’il va devenir journaliste d’investigation ou acteur de cinéma
On disait qu ils allaient devenir des abrutis. Le même discours de vieux con qu on tient actuellement avec les smartphone.
En faite toute génération qui vieillit critique la suivante. La vieillesse est un nauffrage comme disait l autre
Le
12/11/2021 à
17h
56
Mais tellement
Le
12/11/2021 à
14h
57
J ai arrêté de lire avec l histoire de la perte de point de QI. L intelligence ne peut pas se résumer au QI et vous faites des interprétation erroné de cet indicateur qui est bien plus complexe
(quote:1910654:alex.d.) La clef seule est inutile. Mais si la clef est à disposition, , elle n’améliore en rien la sécurité par rapport au mot de passe seul, donc elle ne sert à rien.
Si elle sert surtout de se prévenir contre les attaques en ligne. C’est une affirmation assez péremptoire et c’est dommage de nier les principes de défense en profondeur puisque la clé est normalement utilisé dans une authentification 2 facteurs :
Un facteur qui est le mot de passe
Le second qui est la clé. Pour accéder au compte il faut être en possession des deux. En outre il est généralement possible d’associer la clé avec un code PIN. Donc dans ce cas même quelqu’un en possession de la clé ne pourra pas l’utiliser.
Le bastion en tant qu’infrastructure de transit des utilisateurs permettant de réduire la surface d’attaque d’une plateforme est une bonne idée dans de nombreux cas, le problème ici n’est pas par rapport au bastion, mais par rapport à la gestion d’identité des utilisateurs, à savoir l’introduction d’un archaïsme façon “compte root” là où on a un RBAC riche permettant de minimiser les privilèges des utilisateurs selon leurs rôles et de garder la traçabilité des actions.
Quand une plateforme est accédée à 100% via API, la traiter comme un shell système ne rime à rien et crée en plus de nombreux angles morts.
Quand on vous fait démonter la sécurité d’une plateforme cohérente pour faciliter le réemploi de procédures de sécurité inadaptées, conçues pour un contexte qui n’a rien à voir, posez-vous la question si le personnel de sécurité est compétent.
Je suis d’accord. Je suis confronté au sujet en ce moment. C’est un vrai gain de sécu sur des comptes systèmes qui sont génériques et partagés.
Par contre pour les applications web avec audit des actions individualisé c’est une catastrophe et e n’est sans doute pas une bonne idée.
Comment ça le dns ne changera rien ? Il est probable qu un site comme pornhub n implementera pas la solution ou seulement pour les français.
Il a déjà été annoncé que le blocage sera effectué via DNS. Pourquoi en tant que plate-forme je m emmerderai à implementer une solution d authentification pour un seul pays ?
Le
21/10/2021 à
10h
02
(quote:1908460:brice.wernet) Les enfants ne pourront plus créer de compte eux-mêmes en douce notamment. Les adultes auront un moyen de détecter les tentatives d’usurpation d’identité. On pourra espérer à terme avoir un endroit unique d’où lister les comptes qu’on a créés, et les révoquer. Les plate-formes pourront espérer avoir un moyen de vérifier qu’un compte est encore actif pour purger les comptes des inactifs et des gens décédés.
Ou alors il suffira d’utiliser un DNS non français et éviter d’aller sur des sites exclusivement francophone. Je pense que vous misez trop de chose sur une solution technique
L’anonymat n’existe tout simplement pas. Et tu es une exception à n’avoir ni WiFi ni BlueTooth. Par ailleurs, il y a des réseaux WiFi gratuites dans tous les centres commerciaux. L’objectif est double: diffuser des infos commerciales et récupérer des infos, à commencer par l’adresse mac qui permettra de t’identifier quand tu reviendras.
On consent quand on accède a ces wifi publics du coup ?
Merci je vais regarder pour que ces abrutis ne me trackent pas .
Ceci dit comme on ne peut pas consentir à ce tracking il me semble contraire au RGPD
Le
27/08/2021 à
08h
21
Ce que tu décris là c est plutôt de la pseudonimisation si tu es capable de remonter a la personne
Avec L anonymasation la remonté est strictement impossible
Et avec quoi vous tracez ? Parce que moi quand j entre dans un hyper seul ma 4G est allumé je vois pas comment je suis traçable.
Le
25/08/2021 à
16h
44
Tandhruil a dit:
Si le QR Code est signé avec la clé du gouvernement, quelle différence entre : “Ce code est Valide” “Le code de Dominique Dupont date de naissance 11/09/2001 est Valide” Sachant que la personne qui vérifie le code ne peut pas contrôler l’identité ?
La facilité a utiliser un pass valide qui ne t’appartient pas. Et quand on te demande le passe complet “ah bah mince je l’ai pas sur moi, il est chez moi j’ai que cette version”. Parce que sinon, si le seul truc qu’on demande c’est “Le code est valide?” alors je vois même pas pourquoi on se fait chier a faire un système de passe sanitaire vue la faciliter à le contourner.
Au moins avec la version complète, la seul façon d’avoir un passe a son nom sans être vacciner c’est de soudoyer du personnel médical pour qu’ils truquent les base de données, et souvent ils se font prendre, et les certificats sont révoqué.
Ce que dit Cumbalero c’est tout à fait en rapport avec le sujet et en accord avec mes arguments. Il est faux de dire que personne à part la police peut te demander tes justificatifs d’identité. Il est possible qu’une personne chargé du contrôle puisse te demander un justificatif d’identité pour des raison relative au activités du lieux (ton identité pour l’assurance pour un lieux récréatif, salle de cinéma pour les scéance interdit au moins de 18 ans, vente d’alcool, discothèque etc etc…). Dans le cas échéant tu ne rentre pas, c’est tout.
Certes c’est pas à eux de le vérifier, mais en cas de doutes (une jeune femme qui se pointe avec un justificatif au nom de Muhammad Ali né en 1942), je sait pas ce qu’ils sont sensé faire dans ce cas et je préférerais laisser une chance a la personne de prouver sa bonne foie en montrant sa carte d’identité avec les mêmes informations.
Pourtant le copier colle de l avis du conseil constitutionnel est clair. Controle d identité uniquement par les forces de l ordre dans le cadre du pass sanitaire
Le
25/08/2021 à
07h
49
Et le fait que cette appli soit disponible est un vrai problème. Clonage de l appli et hop on inclu une prise de photo en même temps que la verif et on se fait da petite base de pass
Le
25/08/2021 à
07h
41
Je trouve que c est un trou dans la raquette que ce soit une appli tournant sur n importe quel smartphone.
Il faudrait que ce soit des appareils dedié et agréé. Il est bien trop facile de voler un pass sanitaire lors d un contrôle avec des conséquences importantes pour son possesseur légitime.
Encore une idée pensé à moitié sur le plan de la sécurité
Je faisais référence aux personnes qui le publient sur les rézosocio.
Oui mais pour le coup nous sommes presque autant à risque qu eux
Le
10/08/2021 à
10h
12
La sélection naturelle ?
Mais vous comprenez pas que le QRcode peut potentiellement se faire voler à chaque contrôle ?
Ça peut vous arrivez à vous et vous ne le saurez pas jusqu a ce que vous soyez sur cette liste.
Vous réalisez ça ou non ?
Le
10/08/2021 à
10h
06
Le qrcode est partagé a chaque passage. Les faux sont ultra facile à faire il suffit de photographier au moment du passage. Tu serais pas un peu naif sur cette question franchement ?
Le
10/08/2021 à
10h
00
@Carbier
Euh tu réfléchis a ce que tu dis ? On peut se faire voler son pass sanitaire. Par exemple en se le faisant photographier par un contrôleur peut scrupuleux qui pourrait revendre ce pass photographié.
Je pense que la probabilité de vol n est pas nul du tout et je vois pas pourquoi il serait légitime de me faire blacklister en cas de vol que je ne pourrai pas prouver ?
Et la probabilité de tomber sur un contrôleur véreux est non nul étant donné le nombre de lieu important devant réaliser les contrôles
Punaise c est dingue quand des entreprises se font absorbés les repreneur font souvent la même connerie. Ils essaient à tout pris d intégrer la structure acquise faisant fit des différences culturelles. Et ce qui doit arriver arrive les gens se barrent…
Quand vous écrivez que ce n est pas vraiment une faille de sécurité je pense que vous vous trompez. La sécurité dbun système est définie par au moins 3 critères : la confidentialité, l intégrité et la disponibilité.
Ici la faille bloque un compte parce que leur process de vérification est pourri. Le système est indisponible pour un ou plusieurs utilisateurs si c est massivement exploite. C est bien une faille de sécurité
Je crois que tu t’es chié dans ta citation. C’est pas Buffort qui parlait du modèle californien, c’est darkbeast à #6 et #17.
Putain Oui je sais pas ce que j’ai foutu bordel
Le
09/12/2020 à
22h
34
Buffort a dit:
Il y a des pays où on peut se retrouver en prison juste parce qu’on est pas d’accord avec untel ou untel … On est quand même dans un pays où la loi est plutôt bien faite. Ce genre d’acte, on peut rétablir la peine de mort, voir leur promettre 1000 ans de douleur, il y en aura toujours. Si on veut tenter de limiter ces actes, il faut revenir aux sources : quelles sont les causes ? On peut enfermer, enfermer et encore enfermer, ça ne réglera rien ….
Étrangement, on a un arsenal de plus en plus répressif et sophistiqué, mais rien ne semble arrêter les casseurs …. Au final, oui, excellente solution : interdisant les manifestations et supprimons le droit à manifester (qui fait parti de notre constitution mine de rien, puisque ça va avec la liberté d’expression).
La loi des trois coups en France ? Vous êtes sérieux ? Aux USA des gens qui n’ont commis que des choses mineurs se retrouvent en prison à vie pour rien. Cette loi est un délire totalitaire ni plus ni moins.
Je vais faire simple: les protocoles ont été testés. Mais dans ta tête comme dans celle de NXi, les ingés qui ont fait cela sont forcément des billes à la solde du grand capital et de Big Brother. Ce que tu appelles des articles à charge contre, ne sont rien d’autres qu’une suite de poncifs de la part de personnes qui n’ont fait AUCUN test à partir du code source.
Analyse et conception tu dis ? Si dans ton boulot tu as les mêmes oeillères techniques, tu dois vachement faire avancer les choses.
Tu ne comprends pas mon propos ? Ne t’inquiète pas c’est tout à fait normal, tu ne peux pas les comprendre.
Au moment du bug bounty des chercheurs ont regardé le code source et des compte rendu ont été effectué faut arrêter de délirer. Et au moment du test j’ai envi de dire que c’est un peu tard pour savoir si des choix techniques sont fiables ou non. Les technologies utilisées sont connues avec leur point fort et leur point faible, c’est dans la phase d’analyse et conception qu’il faut se demander s’il est opportun d’implémenter ou pas. Surtout quand on joue avec de l’argent public.
Je n’ai pas d’oeillère. Le bluetooth n’est adapté au contact tracing du fait de sa faible capacité à mesurer des distances. Ce n’est pas moi qui le dit c’est son inventeur. A partir de là concevoir un système de contact tracing par dessus le bluetooth sens tout de suite le roussie. Par dessus le marche ils ont refusé d’utiliser exposure API permettant de s’affranchir de certaines contraintes des éditeurs qui rend la mise en place encore moins efficace.
Je te remercie de t’inquiéter pour ce que je fais dans mon travail. En tout cas j’espère que si tu conçois, tu te soucis de l’efficacité des technos que tu choisis avant les tests sinon tu dois couter un fric fou à ta boîte ….
Donc tu as des articles sous le coude démontrant l’efficacité technique de la solution ?
Le
26/09/2020 à
09h
59
(reply:1826503:Idiogène)
J’ai un peu de mal à saisir ton commentaire j’avoue. Tu es plutôt d’accord avec ce que je dis ou tu es plutôt dans l’optique cette appli c’est mieux que rien ?
Je ne comprend pas trop ton histoire de tiers. Je dis que par désign c’est biaisé car le bluetooth n’est pas fait pour l’objectif rechercher par cette application
Le
25/09/2020 à
21h
45
fofo9012 a dit:
Oui clairement, le nombre d’articles à charge qu’on a pu lire (qu’on continue àlire :-/ ) sur StopCovid est hallucinant. Les gens ont associés StopCovid à un système de géolocalisation, alors que c’est une appli 100% anonyme, qui n’a aucune connaissance de ton nom ou localisation. C’est des infos qu’on n’a jamais lu dans un article ou alors à la fin après arpès avoir colporter les fakes news du sujet.
Il y’a quand même eu quelques papier à charge bien documenter et techniquement pertinent. Comme le papier de L’INRIA sur le site risque-tracage ou le boulot de quelques chercheurs en sécurité.
En faite je n’ai jamais vu un article technique démontrant l’efficacité technique d’une telle appli aussi bien documenté techniquement les articles à charges.
Est-ce qu’on aurait du donner un blanc seing au gouvernement en promouvant une idée de merde ? Et oui on peut savoir qu’une idée est merdique avant sa réalisation ça s’appelle analyse et conception et là on voit si ça vaut le coup d’implémenter ou pas. Techniquement tous les indicateurs étaient au rouge mais non ils y sont quand même aller ….
Le
25/09/2020 à
21h
37
carbier a dit:
Littéralement technophile signifie “qui aime la technologie” cela n’a strictement rien à avoir avec le fait de “s’y connaitre”. Et oui je parlais bien de la population “jeune”. L’un des reproches parmi les nombreux relayés par NXi était que tout le monde n’avait pas un smartphone. Manque de bol cet été ce sont principalement les 18⁄35 ans qui ont favorisé la diffusion du virus (taux d’équipement ?)
NXi fait partie d’une chaine de propagation de l’information: son contenu est lu puis diffuse par ses lecteurs autour d’eux et ainsi de suite. De plus quoi de mieux que de s’appuyer sur l’avis d’“experts” quand on veut propager une opinion sur les réseaux sociaux ?
Peux tu démontrer qu’il y avait des éléments faux dans les articles de NXI ?
Et quoi l’application est techniquement bancale ( du Bluetooth pour mesurer des distances ce n’est pas très sérieux le protocol n’est pas fait pour ça … C’est son inventeur qui le dit). Ils auraient du faire quoi chez NXI ? Ne pas en parler ? Dire que c’est une trop chouette appli ?
bien lire la news : c’est TLS 1.3 qu’ils veulent interdire. il y en a plusieurs version.
donc non pas d’interdiction du HTTPS.
C’est plus fourbe que ça.
TLS 1.1 et TLS 1.0 sont obsolète. Si TLS 1.3 est interdit cela fera qu’il ne restera plus que TLS 1.2. Pour l’instant le protocole TLS 1.2 est robuste mais il y’a à priori pas de raison de penser que cela restera éternelement le cas. Donc il y’aura du HTTPS mais un HTTPS qui reposera sur un protocole TLS qui deviendra surement vulnérable aux interceptions à terme.
Les utilisateurs vont se sentir protégés mais il n’en sera rien. C’est pas interdit certe mais cela rendra la protéction complètement caduque…
J’ai configuré un domaine le mois dernier et j’ai exactement le même résultat. La frustration ultime quand j’ai compris qu’OVH n’implémentais pas de signer DKIM. J’espère que ce sera à terme utilisable avec l’offre d’hébergement Web perso.
Déjà eu des problème de délivrabilité sur une boite mail que je gérais à cause de l’absence de DKIM et DMARC c’est pour ça que je posais la question et je me demandais si Gandhi le supportait ?
Par exemple, j’ai constaté la dernière fois que le SMTP de OVH sur l’hébergement mutualisé ne permettait pas de le faire ( pas de signer au niveau SMTP) . Et ça m’a bien embêté …
Le
12/06/2020 à
12h
04
Pas mal ce petit article :)
Question un peu plus pointu. Qu’est ce qui en est de SPF, DKIM et DMARC ? Sans ces items configurés j’ai peur qu’il soit difficile d’être réceptionné par Gmail et surtout hotmail/outlook
J’ai bien précisé que je n’avais pas d’opinion tranchée sur cette application et j’aurais même plutôt tendance à être contre.
Je voulais surtout mettre l’accent sur le fait que plein de gens semblent ignorer que sur internet on est fliqués en permanence par quasiment tout le monde, idem avec les téléphones portables.
C’est pourquoi je trouve assez amusant que là où on prévient justement les gens de l’utilisation qui sera faite de cette application, ça déclenche des réactions qui sont bien loin du comportement habituel de plein de monde.
Même réponse… " />
Ça fait un moment que des discussions sont ouvertes sur cette application et ça tourne complètement en rond avec toujours les mêmes arguments et les mêmes qui gueulent à la dictature (parmi lesquels pas mal qui souhaiteraient en voir arriver une d’ailleurs) donc ça devient chiant. " />
Ok merci d’avoir pris le temps de répondre :)
Le
03/05/2020 à
09h
11
carbier a écrit :
Mentalité intéressante: Google et FB rendent des services plus importants que l’Etat.
T’as absolument rien compris à mon commentaire mais c’est pas grave et tu prends ce qui t’arrange. A force de te lire j’ai bien compris que ton jeu c’était de donner la leçon à tout le monde dés que tu en as la moindre. J’espère au moins que tu y prends du plaisir …
Le
01/05/2020 à
09h
22
gavroche69 a écrit :
Je n’ai pas d’opinion tranchée sur cette application mais beaucoup de commentaires m’amusent beaucoup.
Quand on voit le nombre de gus qui vont se répandre volontairement sur les réseaux sociaux où leurs données sont vendues, le nombre de gus qui s’équipent en objets connectés parce que c’est tellement cool de pouvoir demander à sa lampe de s’allumer sans avoir à bouger son cul de son canapé, etc, etc…
Faut pas se leurrer, dès qu’on fout les pieds sur internet on commence à être fliqués, c’est hallucinant de voir à quel point certains n’ont aucune conscience de ça.
Et aussi cet enthousiasme que suscitent les voitures autonomes qui arriveront un jour et où certains grands groupes sauront en permanence où vous êtes et se permettront même de vous jeter contre un mur si elles estiment que c’est préférable grâce à un “puissant algorithme” bien sûr… A l’époque où était sorti un article ici sur ce sujet je me souviens que plein de monde trouvait ça très bien…
Et aussi le simple fait d’avoir un smartphone allumé dans votre poche permet de savoir où vous êtes avec le bornage (certes pas au mètre près mais quand même), quand vous retirez du fric à un DAB avec votre CB on sait où vous étiez précisément et à quelle heure, idem pour tout paiement par CB dans n’importe quel commerce…
Vous croyez vraiment que les sociétés privées sont soucieuses de préserver vos infos personnelles ?
Alors comment expliquer les milliards de dollars accumulés par un certain Zuckerberg ? Vous croyez que c’est en vendant du vent ?
Bref, cette vision totalement binaire des choses me laisse vraiment très perplexe et je me demande vraiment quel est le pourcentage de personnes qui savent vraiment ce qui se passe quand ils vont sur internet même s’ils se prennent pour des “cadors” parce que ils ont un compte sur tous les réseaux sociaux de la planète. " />
Je ne comprends pas le but de ce commentaire. Autorisé un acteur A à exploiter mes données n’est pas un blanc seing pour autoriser un acteur B,C ou D à utiliser mes données. De plus tu préjuges qu’une personne qui a des données sur des réseaux sociaux étalent forcément sa vie ce n’est pas forcément le cas.
J’ai un compte Facebook et des compte Google parce que je juge que ces entreprises me rendent un service ( bon pus Google que FB ) et je que j’estime qu’ils accèdent à mes données n’est pas un souci.
Dans l’état actuel des choses je n’installerai pas l’application. Parce que je suis inquiet de la façon dont elle pourrait évoluer dans l’état actuel des choses. Sa gouvernance est floue et j’estime que c’est mettre un pied dans la porte pour une surveillance plus systématique. Ce qui me rassurait c’est que ses spécifications soient figés et qu’il n’y ait pas trop de possibilité de mise à jours qui introduirait plus de surveillance. Il faudrait dans l’idéal que ces spécifications soient contrôlés par un collectif citoyen. On ne sait par exemple toujours pas clairement si le consentement d’utilisation sera pleinement libre. Il peut y’avoir un risque de carotte contre son utilisation.
De ce que j’ai compris de témoignages de médecins, l’avis médical du généraliste peut prendre le dessus si nécessaire. Ce serait déjà utilisé en France dans le style de situation que tu décris. Je dis juste ça pour t’apporter une possible piste dans ton cas.
Nb for all : ce n’est pas pour le débat
Merci c’est pas con.
@All : Désolé je n’aurais peut-être pas du parler de ma situation perso dans le débat c’est pas intéressant je voulais juste donner un cas concret mais je l’ai vraiment amener maladroitement. Y a juste un manque d’empathie ambiant ( pas sur le site mais sur en général ) que je ne peux plus supporter et là j’ai craqué je crois :) . Reprenons le court normal de l’émission.
Le
29/04/2020 à
13h
17
carbier a écrit :
Tu aurais pu t’arrêter là.
Le déconfinement c’est un tout.
Contrairement à ce qu’aime à croire les anti-tout, les autorités, qu’elles soient sanitaires ou gouvernementales ne font que proposer des solutions et si elles auront des responsabilités très importantes dans ce qui va suivre, nous aussi.
Si chacun à son petit niveau ne fait pas d’effort et essaie de contourner ce qui est mis en place pour son petit confort ou parceque de toute façon ce que disent les zélites c’est de la merde, on ne va pas aller loin.
Tu n’as qu’à voir les questions autour des 100 km et des départements limitrophes. Ces limites ont simplement été mises en place pour préciser que l’heure n’est pas aux migrations sur les plages pendant les week end. Le but est de préciser qu’on doit se limiter aux déplacements indispensables. Après il a fallu posé une limite arbitraire max pour ceux qui habitent loin de leur boulot.
Donc tous ceux qui jouent les naifs et font semblant de ne pas comprendre ce qu’on leur demande, montre qu’on n’est pas rendu.
Bein après faut voir ce qui est considéré comme essentiel et le définir clairement ( ça semble être le cas j’ai vu un article passé là dessus ) . Par exemple je suis pas en France en ce moment mais à la frontière entre la Belgique et la France , je ne connais personne et mes proches sont à plus de 100 km . Dans un mois ça va être essentiel pour moi ( une question d’équilibre mental ) de pouvoir faire ces 100 km+ pour rompre la solitude car une dépression me guette et c’est sérieux ….
Après le 18 mai, ce déplacement sera pour moi essentiel mais je ne pense pas que ça va être le cas pour les autorités ( à tord selon moi mais je suis pas objectif ) . Je fais parti de ceux qui cherchent les limites de ces 100km car l’impact est majeur pour moi. Je vais essayer de faire de mon mieux pour les respecter et de pas bouger de la Belgique mais je ne peux pas garantir que c’est possible. Franchement je profite de ce message pour dire que j’aimerais que certains fassent preuve d’un peu d’empathie et pourrait avoir des discours un peu plus mesuré et compréhensif fasse à la situation des autres. Les gens sont pas toujours des resquilleurs ils cherchent parfois juste à fuir une situation de détresse.
Qu’est ce que j’ai écrit de faux sur le cadenas vert ? Le navigateur vérifie autre chose que la validité du certificat en terme d’expiration, de révocation et de CA trusté ? Si un certificat d’un domaine est trusté par par une CA du trustore du navigateur c’est bon il y’aura le cadenas vert. Le navigateur ne vérifie pas par défaut que la CA a bien le droit de générer un certificat pour un domaine Y. Il y’a des attaques connus qui utilisent ce pattern.
Depuis quelques temps il y’a certificate transparency qui tente de remedier mais c’est pas enforcer par défaut par tous les navigateurs ….
La prochaine fois garde ta condescendance pour toi merci … Ou alors argumente
Le
20/10/2019 à
10h
51
fofo9012 a écrit :
C’est faux ! tu ne peux pas avec tout le rootage / warez du monde altérer une communication chiffrée par certificat, ce que tu décris s’appelle un “man in middle”, et c’est justement à quoi sert un certificat :
Pas besoin de MITM. C’est le téléphone qui initie la communication. L’idée ici avec un malware ou une instrumentation c’est de modifier les requêtes ou réponses au niveau applicatif soit avant que les communication TLS soit initié ( cas de modification de requêtes ) soit entre le moment où l’appli récupère les infos de la communication TLS et le moment ou elle interprète pour prendre une décisions. Toutes les mesure anti MITM ne peuvent rien contre ce genre de menace et c’est normal.
fofo9012 a écrit :
C’est faux ! tu ne peux pas avec tout le rootage / warez du monde altérer une communication chiffrée par certificat, ce que tu décris s’appelle un “man in middle”, et c’est justement à quoi sert un certificat : protéger des attaques de ce type : le cadenas vert dans la barre d’adresse garantit que le contenu de cette page n’a été ni modifié, ni lue par personne d’autre, tes paquets internet ont pu passer n’importe dans le e.
Il est tout à fait possible d’intercepter un site qui apparait avec un cadenas vert ça ne garanti rien par rapport au MITM. A ma connaissance seul le certificate pinning fonctionne bien contre ça.
Je sait qu’il est possible de bloqué par DPI, maintenant je ne sait pas si c’est accessible au grand public.
Les équipementiers galèrent déjà à l’implémenter correctement pour détecter des patterns d’attaques en sécu sur la couche applicative. J’ai un doute quand même sur la faisabilité d’analyse de contenu d’un flux vidéo. Et puis même un équipement réseau internet doit rester simple, son boulot c’est d’acheminer des paquets d’un point A vers un point B pas de faire du bordel de deep inspection . Si ça avait été designé pour regarder ce que les gens font depuis le début Internet n’aurait jamais fonctionné aussi bien.
Le
23/06/2019 à
21h
34
Aëlisya a écrit :
en réaliter cela dépend du type de protection certain routeur font du DPI pour y arriver et ce sont les plus efficaces, car même en mettant l’ip directement l’accès est bloqué.
Maintenant le simple fait de bloqué vous sort des ennuis pénal éventuelle, vu que vous avez fait “tout votre possible” afin de sécurisé votre connexion.
Je ne comprends pas bien pas bien en quoi le DPI aide et est efficace. Quand je vois déjà les couches d’inspection de protocol application que les équipementier réseau déploient dans leur routeur/firewall dans le but de détecter des attaques et qui ne fonctionne pas vraiment, ça me laisse vraiment interrogateur sur la possibilité de détecter du contenu porno.
Il y’a un exemple concret de truc qui marche vraiment ?
Ce que tu appelles copinage, ça s’appelle un réseau de relations professionnelles, et ça concerne tout le monde. Quand tu exerces des responsabilités pendant plusieurs années et que tu es en contact avec des interlocuteurs, si tu es perçu comme compétent, ça t’ouvres des portes pour la suite, ça vaut pour un député comme pour un salarié.
T’es pas sérieux là, tu plaisantes…
Si non, t’as une drôle de vision du niveau de vie, et de ce font les gens qui gagnent 7000 brut par mois (il y a déjà tous ceux en couple avec chacun à 3500).
On peut pas nier que le fait d’avoir été élu ou haut fonctionnaire facilite grandement l’accès à certains postes haut placé et dont l’obtention n’a parfois pas grand chose à voir avec la compétence mais pour permettre à des entreprises du privé d’augmenter leurs influences. Je crois que ça s’appelle le pantouflage ^^
Beaucoup d’entre nous avons accès au réseau pro mais on va en bénéficier pour rester à des postes plus ou moins équivalent.
On va arréter deux minutes gagner 7000 euro pour une personne seule ( c’est dont on parle ici) ça permet un niveau de vie vie très très confortable ….
non pas du tout, on a juste une enorme dette impossible à rembourser sur le dos… Mais bon, comme on peut encore taper dedans années après années, c’est certainement que tout va bien, et puis on prend des bonnes mesures pour régler tout ça, comme par exemple bazarder du fric par les fenetres pour satisfaire un quelconque lobby, alors ça va forcément bien se passer…
C’est pas parce que tu as une grosse dette que tu es en faillite il me semble. Je dis peut être une connerie mais même si tu as une dette importante, tu n’es considérée en faillite que si elle excède ton capital . Je ne pense pas que ça ait du sens de n’utiliser que la dette comme indicateur de santé d’un pays. C’est un ensemble :-)
Par contre là ou je te rejoins c’est que cette dette généré va pas mal profiter au secteur privé et je trouve ça dangereux et contre productif
Dans un autre registre, c’est un peu comme vendre aeroports et française des jeux pour que le secteur privé en bénéficies . C’est du capital en moins …
Le
12/02/2019 à
11h
52
fredragon a écrit :
C’est cool ces robinets à pognons, heureusement que le pays n’est pas à la dérive et en plein faillite… " />
Ca tombe parfaitement bien, puisque ce n’est pas du tout ce que j’ai dit. Relis mieux.
(Pas lu le reste, puisque basé sur un postulat faux.)
Ton premier message adressé à kwak kwak :
Patch a écrit :
Je trouvais déjà ton message très con juste avec la 1ere phrase. Mais quand on voit la fin, en fait, c’est encore pire…
Du coup je vois pas ou mon postulat est faux ?
Quand on dit qu’un message est très con c’est pas super intéressant. Pourquoi intervenir ? ça n’a aucun intérêt pour toi, pour ton interlocuteur ni pour les autres.
Le
11/01/2019 à
07h
08
Patch a écrit :
Si ton choix c’est de t’écraser à chaque fois que tu vois des énormités, c’est ton pb hein…
Je n’ai ni agressé, ni insulté. Ou alors il faudra que tu me montres à quel endroit. Parce que jusqu’à preuve du contraire, dire que qqu’un sort des conneries et des débilités plus grosses que l’égo de Jupiter, et continuer ensuite volontairement à le faire et les faire grossir, n’est pas une insulte. Ou alors pour toi dès qu’on contredit qqu’un, on l’agresse et on l’insulte…
Je trouve qu’il n’ y a aucun intérêt a faire un poste juste pour dire à quelqu’un que ce qu’il dit est débile. Ok il y est allé un peu fort avec sa première phrase de son premier commentaire mais il dit des choses avec lesquels on peut être d’accord et on peut pas lui reprocher d’argumenter . Par exemple la notion de démocratie et la réthorique “Si t ‘es pas avec nous c’est que tu es un bourgeois macroniste” de certains gilets jaunes me laisse un peu sur le cul. Et il y’a pas de mal à souligner. Et dire qu’ils n’ont rien obtenu n’est pas faux non plus …
L’arrivée de la bêta publique d’INpact Hardware ne sera qu’une première
étape, avec ses inévitables défauts temporaires. La connexion unifiée
avec Next INpact ne sera ainsi pas possible, du moins dans un premier
temps. En effet, nous n’utilisons plus de cookies mais des JSON Web Tokens (JWT), qui seront également utilisés sur Next INpact v7.
C’est la mode de ne plus utiliser de cookie au profit des JSON Web token et je trouve ça dommage. Ca se finit généralement avec un JWT dans le local storage ce qui rend la session vulnérable aux faillesde type XSS. Nan ce qu’il faut c’est un JWT dans un cookie bien hardené " />
Sinon bon courage ça a l’air bien tout ça. Hate de voir ce que ça va donner :)
J’ai une gear S3 classic et quand je l’utilise c’est quand meme vite cramé c’est pas du tout le meme comportement qu’une montre normale !
Et bon de manière générale quand tu vois quelqu’un passer plus de 5 sec pour lire l’heure de sa montre, tu te doute qu’il…. ne fait pas que lire l’heure !
Petite question en apparté : tu en es content ?
Sinon oui en classe mais après pour regarder ou écrire ponctuellement des messages à la récré( franchement l’interdiction pendant la récré est ridicule) franchement ça passe. Pour qu’un surveillant le voit déjà il faut qu’il s’approche franchement de l’élève et ce dernier pourra toujours dire “bein non c’est une montre” . Difficile à prouver.
Et plus les objets connectés vont se miniaturiser plus leur détection sera compliqué.
449 commentaires
Ce que prévoit la future loi LReM pour préinstaller le contrôle parental par défaut
12/11/2021
Le 13/11/2021 à 10h 40
Ou alors fait fournir une solution de MDM grand public qui verouille les parametre de reinitialisation. Pas besoin d usine à gaz administrative les contrôles techniques sont là
On disait qu ils allaient devenir des abrutis. Le même discours de vieux con qu on tient actuellement avec les smartphone.
En faite toute génération qui vieillit critique la suivante. La vieillesse est un nauffrage comme disait l autre
Le 12/11/2021 à 17h 56
Mais tellement
Le 12/11/2021 à 14h 57
J ai arrêté de lire avec l histoire de la perte de point de QI. L intelligence ne peut pas se résumer au QI et vous faites des interprétation erroné de cet indicateur qui est bien plus complexe
Source :
https://www.sciencesetavenir.fr/sante/cerveau-et-psy/intelligence-le-qi-de-la-population-baisse-t-il-depuis-les-annees-70_124942
Un bon podcast qui aborde le sujet ( ce n est pas le sujet principal )
https://metadechoc.fr/podcast/contes-et-legendes-de-lintelligence/
C est facile de faire des tirades de 1000 lignes avec des lieux communs. Ça ne la rend pas super pertinente. M enfin ….
Twitter explique comment il a généralisé les clefs de sécurité à ses 5 500 employés
29/10/2021
Le 03/11/2021 à 23h 07
Si elle sert surtout de se prévenir contre les attaques en ligne. C’est une affirmation assez péremptoire et c’est dommage de nier les principes de défense en profondeur puisque la clé est normalement utilisé dans une authentification 2 facteurs :
Pour accéder au compte il faut être en possession des deux. En outre il est généralement possible d’associer la clé avec un code PIN. Donc dans ce cas même quelqu’un en possession de la clé ne pourra pas l’utiliser.
Professionnels de la cybersécurité : 63 % sont stressés, mais 89 % satisfaits
26/10/2021
Le 27/10/2021 à 21h 59
Je suis d’accord. Je suis confronté au sujet en ce moment. C’est un vrai gain de sécu sur des comptes systèmes qui sont génériques et partagés.
Par contre pour les applications web avec audit des actions individualisé c’est une catastrophe et e n’est sans doute pas une bonne idée.
Un sénateur rêve d’une autorité de contrôle de l’identité numérique à l’entrée des plateformes
18/10/2021
Le 22/10/2021 à 08h 46
Comment ça le dns ne changera rien ? Il est probable qu un site comme pornhub n implementera pas la solution ou seulement pour les français.
Il a déjà été annoncé que le blocage sera effectué via DNS. Pourquoi en tant que plate-forme je m emmerderai à implementer une solution d authentification pour un seul pays ?
Le 21/10/2021 à 10h 02
Ou alors il suffira d’utiliser un DNS non français et éviter d’aller sur des sites exclusivement francophone. Je pense que vous misez trop de chose sur une solution technique
La charte d’engagements pour encadrer les lecteurs tiers de passes sanitaires
25/08/2021
Le 27/08/2021 à 13h 48
On consent quand on accède a ces wifi publics du coup ?
Merci je vais regarder pour que ces abrutis ne me trackent pas .
Ceci dit comme on ne peut pas consentir à ce tracking il me semble contraire au RGPD
Le 27/08/2021 à 08h 21
Ce que tu décris là c est plutôt de la pseudonimisation si tu es capable de remonter a la personne
Avec L anonymasation la remonté est strictement impossible
Et avec quoi vous tracez ? Parce que moi quand j entre dans un hyper seul ma 4G est allumé je vois pas comment je suis traçable.
Le 25/08/2021 à 16h 44
Pourtant le copier colle de l avis du conseil constitutionnel est clair. Controle d identité uniquement par les forces de l ordre dans le cadre du pass sanitaire
Le 25/08/2021 à 07h 49
Et le fait que cette appli soit disponible est un vrai problème. Clonage de l appli et hop on inclu une prise de photo en même temps que la verif et on se fait da petite base de pass
Le 25/08/2021 à 07h 41
Je trouve que c est un trou dans la raquette que ce soit une appli tournant sur n importe quel smartphone.
Il faudrait que ce soit des appareils dedié et agréé. Il est bien trop facile de voler un pass sanitaire lors d un contrôle avec des conséquences importantes pour son possesseur légitime.
Encore une idée pensé à moitié sur le plan de la sécurité
Le passe sanitaire étendu, Cédric O évoque la liste noire mise en place en cas d’abus
09/08/2021
Le 10/08/2021 à 10h 28
Oui mais pour le coup nous sommes presque autant à risque qu eux
Le 10/08/2021 à 10h 12
La sélection naturelle ?
Mais vous comprenez pas que le QRcode peut potentiellement se faire voler à chaque contrôle ?
Ça peut vous arrivez à vous et vous ne le saurez pas jusqu a ce que vous soyez sur cette liste.
Vous réalisez ça ou non ?
Le 10/08/2021 à 10h 06
Le qrcode est partagé a chaque passage. Les faux sont ultra facile à faire il suffit de photographier au moment du passage. Tu serais pas un peu naif sur cette question franchement ?
Le 10/08/2021 à 10h 00
@Carbier
Euh tu réfléchis a ce que tu dis ?
On peut se faire voler son pass sanitaire. Par exemple en se le faisant photographier par un contrôleur peut scrupuleux qui pourrait revendre ce pass photographié.
Je pense que la probabilité de vol n est pas nul du tout et je vois pas pourquoi il serait légitime de me faire blacklister en cas de vol que je ne pourrai pas prouver ?
Et la probabilité de tomber sur un contrôleur véreux est non nul étant donné le nombre de lieu important devant réaliser les contrôles
Have I Been Pwned désormais open source, un partenariat avec le FBI
31/05/2021
Le 31/05/2021 à 12h 58
Ils n ont pas besoin des emails en clair juste d un hash et la c est OK
Shadow x HubiC : premières décisions, un nouveau CTO
19/05/2021
Le 19/05/2021 à 18h 28
Punaise c est dingue quand des entreprises se font absorbés les repreneur font souvent la même connerie. Ils essaient à tout pris d intégrer la structure acquise faisant fit des différences culturelles. Et ce qui doit arriver arrive les gens se barrent…
Des pirates peuvent facilement bloquer votre compte WhatsApp
13/04/2021
Le 13/04/2021 à 08h 50
Bonjour
Quand vous écrivez que ce n est pas vraiment une faille de sécurité je pense que vous vous trompez. La sécurité dbun système est définie par au moins 3 critères : la confidentialité, l intégrité et la disponibilité.
Ici la faille bloque un compte parce que leur process de vérification est pourri. Le système est indisponible pour un ou plusieurs utilisateurs si c est massivement exploite. C est bien une faille de sécurité
Un député propose de faire « interner » les Français fichés au FSPRT
08/12/2020
Le 10/12/2020 à 09h 31
Putain Oui je sais pas ce que j’ai foutu bordel
Le 09/12/2020 à 22h 34
La loi des trois coups en France ? Vous êtes sérieux ? Aux USA des gens qui n’ont commis que des choses mineurs se retrouvent en prison à vie pour rien. Cette loi est un délire totalitaire ni plus ni moins.
StopCovid dans le flou, le gouvernement dans l’opacité
23/09/2020
Le 27/09/2020 à 21h 40
Au moment du bug bounty des chercheurs ont regardé le code source et des compte rendu ont été effectué faut arrêter de délirer. Et au moment du test j’ai envi de dire que c’est un peu tard pour savoir si des choix techniques sont fiables ou non. Les technologies utilisées sont connues avec leur point fort et leur point faible, c’est dans la phase d’analyse et conception qu’il faut se demander s’il est opportun d’implémenter ou pas. Surtout quand on joue avec de l’argent public.
Je n’ai pas d’oeillère. Le bluetooth n’est adapté au contact tracing du fait de sa faible capacité à mesurer des distances. Ce n’est pas moi qui le dit c’est son inventeur. A partir de là concevoir un système de contact tracing par dessus le bluetooth sens tout de suite le roussie. Par dessus le marche ils ont refusé d’utiliser exposure API permettant de s’affranchir de certaines contraintes des éditeurs qui rend la mise en place encore moins efficace.
Je te remercie de t’inquiéter pour ce que je fais dans mon travail. En tout cas j’espère que si tu conçois, tu te soucis de l’efficacité des technos que tu choisis avant les tests sinon tu dois couter un fric fou à ta boîte ….
Donc tu as des articles sous le coude démontrant l’efficacité technique de la solution ?
Le 26/09/2020 à 09h 59
J’ai un peu de mal à saisir ton commentaire j’avoue. Tu es plutôt d’accord avec ce que je dis ou tu es plutôt dans l’optique cette appli c’est mieux que rien ?
Je ne comprend pas trop ton histoire de tiers. Je dis que par désign c’est biaisé car le bluetooth n’est pas fait pour l’objectif rechercher par cette application
Le 25/09/2020 à 21h 45
Il y’a quand même eu quelques papier à charge bien documenter et techniquement pertinent. Comme le papier de L’INRIA sur le site risque-tracage ou le boulot de quelques chercheurs en sécurité.
En faite je n’ai jamais vu un article technique démontrant l’efficacité technique d’une telle appli aussi bien documenté techniquement les articles à charges.
Est-ce qu’on aurait du donner un blanc seing au gouvernement en promouvant une idée de merde ? Et oui on peut savoir qu’une idée est merdique avant sa réalisation ça s’appelle analyse et conception et là on voit si ça vaut le coup d’implémenter ou pas. Techniquement tous les indicateurs étaient au rouge mais non ils y sont quand même aller ….
Le 25/09/2020 à 21h 37
Peux tu démontrer qu’il y avait des éléments faux dans les articles de NXI ?
Et quoi l’application est techniquement bancale ( du Bluetooth pour mesurer des distances ce n’est pas très sérieux le protocol n’est pas fait pour ça … C’est son inventeur qui le dit). Ils auraient du faire quoi chez NXI ? Ne pas en parler ? Dire que c’est une trop chouette appli ?
Surveillance du web : Moscou voudrait interdire plusieurs protocoles de sécurité
25/09/2020
Le 26/09/2020 à 09h 55
C’est plus fourbe que ça.
TLS 1.1 et TLS 1.0 sont obsolète. Si TLS 1.3 est interdit cela fera qu’il ne restera plus que TLS 1.2. Pour l’instant le protocole TLS 1.2 est robuste mais il y’a à priori pas de raison de penser que cela restera éternelement le cas. Donc il y’aura du HTTPS mais un HTTPS qui reposera sur un protocole TLS qui deviendra surement vulnérable aux interceptions à terme.
Les utilisateurs vont se sentir protégés mais il n’en sera rien. C’est pas interdit certe mais cela rendra la protéction complètement caduque…
Protection contre le phishing et le spoofing d’email via SPF et DKIM : une faillite française
17/06/2020
Le 19/06/2020 à 09h 24
Comment créer un nom de domaine personnalisé et votre propre adresse email
12/06/2020
Le 12/06/2020 à 15h 47
Le 12/06/2020 à 12h 04
Pas mal ce petit article :)
Question un peu plus pointu. Qu’est ce qui en est de SPF, DKIM et DMARC ? Sans ces items configurés j’ai peur qu’il soit difficile d’être réceptionné par Gmail et surtout hotmail/outlook
La CNIL annonce des contrôles sur SI-DEP, Contact Covid et l’app StopCovid
05/06/2020
Le 07/06/2020 à 11h 29
Si sur un projet présenté comme open source ça me choque pas.
Sur une application comme celle ci perso je préfère voir les retours de sécurité publié c’est quand même plus intéressant.
Puis techniquement c’est assez bancale autant le dire …
L’inventeur du Bluetooth « triste de voir toutes ces applications autour du coronavirus »
30/04/2020
Le 03/05/2020 à 09h 24
Le 03/05/2020 à 09h 11
Le 01/05/2020 à 09h 22
Contact tracing : la Grande-Bretagne aurait résolu le problème du Bluetooth en tâche de fond
29/04/2020
Le 29/04/2020 à 13h 43
Le 29/04/2020 à 13h 17
CookieViz 2.0 de la CNIL : observez facilement à quel point vous êtes pistés
28/01/2020
Le 29/01/2020 à 10h 21
Tiens j’en profite pour jeter une bouteille à la mer.
Y’a t’il un bon plugin wordpress pour faire de l’acceptation de cookie ?
Jérôme Letier (ANTS) : « Il y a des contrevérités qui circulent sur Alicem »
18/10/2019
Le 21/10/2019 à 15h 25
Le 20/10/2019 à 10h 51
Protection des mineurs : la charte anti-porno préparée par le gouvernement
21/06/2019
Le 24/06/2019 à 09h 41
Le 23/06/2019 à 21h 34
Des élus LR veulent obliger les hébergeurs à vérifier « l’identité réelle » des internautes
25/03/2019
Le 27/03/2019 à 12h 43
L’expérimentation du « pass Culture » se précise
11/02/2019
Le 12/02/2019 à 15h 02
Le 12/02/2019 à 11h 52
Gilets jaunes : les pistes du futur arsenal contre les manifestations violentes
08/01/2019
Le 12/01/2019 à 15h 20
Le 11/01/2019 à 07h 08
Déménagement, INpact Hardware, Magazine : le point sur nos différents projets de fin d’année
22/11/2018
Le 22/11/2018 à 18h 57
L’arrivée de la bêta publique d’INpact Hardware ne sera qu’une première
étape, avec ses inévitables défauts temporaires. La connexion unifiée
avec Next INpact ne sera ainsi pas possible, du moins dans un premier
temps. En effet, nous n’utilisons plus de cookies mais des JSON Web Tokens (JWT), qui seront également utilisés sur Next INpact v7.
C’est la mode de ne plus utiliser de cookie au profit des JSON Web token et je trouve ça dommage. Ca se finit généralement avec un JWT dans le local storage ce qui rend la session vulnérable aux faillesde type XSS. Nan ce qu’il faut c’est un JWT dans un cookie bien hardené " />
Sinon bon courage ça a l’air bien tout ça. Hate de voir ce que ça va donner :)
Faille Facebook : 50 millions de comptes piratés, les détails encore partiels
01/10/2018
Le 02/10/2018 à 05h 49
La CNIL met en demeure un établissement scolaire pour vidéosurveillance excessive
25/07/2018
Le 26/07/2018 à 07h 13
À Paris, porte-clefs connecté obligatoire pour les élèves d’un collège-lycée
23/07/2018
Le 24/07/2018 à 06h 26
Je croyais que les objets connectés étaient interdits dans l’enceinte des établissements scolaire dorénavant " />
Interdiction du portable à l’école : ce que prévoit l’accord trouvé entre députés et sénateurs
20/07/2018
Le 23/07/2018 à 08h 11