Le 13/11/2021 à 10h 40

Ou alors fait fournir une solution de MDM grand public qui verouille les parametre de reinitialisation. Pas besoin d usine à gaz administrative les contrôles techniques sont là

lanoux a dit:

Sauf qu’il y a 30 ans on disait pas il regarde tellement la télé qu’il va devenir journaliste d’investigation ou acteur de cinéma

On disait qu ils allaient devenir des abrutis. Le même discours de vieux con qu on tient actuellement avec les smartphone.

En faite toute génération qui vieillit critique la suivante. La vieillesse est un nauffrage comme disait l autre

Le 12/11/2021 à 17h 56

Mais tellement

Le 12/11/2021 à 14h 57

J ai arrêté de lire avec l histoire de la perte de point de QI. L intelligence ne peut pas se résumer au QI et vous faites des interprétation erroné de cet indicateur qui est bien plus complexe

Source :
https://www.sciencesetavenir.fr/sante/cerveau-et-psy/intelligence-le-qi-de-la-population-baisse-t-il-depuis-les-annees-70_124942

Un bon podcast qui aborde le sujet ( ce n est pas le sujet principal )

https://metadechoc.fr/podcast/contes-et-legendes-de-lintelligence/

C est facile de faire des tirades de 1000 lignes avec des lieux communs. Ça ne la rend pas super pertinente. M enfin ….

Le 03/11/2021 à 23h 07

(quote:1910654:alex.d.)
La clef seule est inutile. Mais si la clef est à disposition, , elle n’améliore en rien la sécurité par rapport au mot de passe seul, donc elle ne sert à rien.

Si elle sert surtout de se prévenir contre les attaques en ligne. C’est une affirmation assez péremptoire et c’est dommage de nier les principes de défense en profondeur puisque la clé est normalement utilisé dans une authentification 2 facteurs :

• Un facteur qui est le mot de passe


• Le second qui est la clé.
  Pour accéder au compte il faut être en possession des deux. En outre il est généralement possible d’associer la clé avec un code PIN. Donc dans ce cas même quelqu’un en possession de la clé ne pourra pas l’utiliser.

Le 27/10/2021 à 21h 59

ragoutoutou a dit:

Le bastion en tant qu’infrastructure de transit des utilisateurs permettant de réduire la surface d’attaque d’une plateforme est une bonne idée dans de nombreux cas, le problème ici n’est pas par rapport au bastion, mais par rapport à la gestion d’identité des utilisateurs, à savoir l’introduction d’un archaïsme façon “compte root” là où on a un RBAC riche permettant de minimiser les privilèges des utilisateurs selon leurs rôles et de garder la traçabilité des actions.

Quand une plateforme est accédée à 100% via API, la traiter comme un shell système ne rime à rien et crée en plus de nombreux angles morts.

Quand on vous fait démonter la sécurité d’une plateforme cohérente pour faciliter le réemploi de procédures de sécurité inadaptées, conçues pour un contexte qui n’a rien à voir, posez-vous la question si le personnel de sécurité est compétent.

Je suis d’accord. Je suis confronté au sujet en ce moment. C’est un vrai gain de sécu sur des comptes systèmes qui sont génériques et partagés.

Par contre pour les applications web avec audit des actions individualisé c’est une catastrophe et e n’est sans doute pas une bonne idée.

Le 22/10/2021 à 08h 46

Comment ça le dns ne changera rien ? Il est probable qu un site comme pornhub n implementera pas la solution ou seulement pour les français.

Il a déjà été annoncé que le blocage sera effectué via DNS. Pourquoi en tant que plate-forme je m emmerderai à implementer une solution d authentification pour un seul pays ?

Le 21/10/2021 à 10h 02

(quote:1908460:brice.wernet)
Les enfants ne pourront plus créer de compte eux-mêmes en douce notamment. Les adultes auront un moyen de détecter les tentatives d’usurpation d’identité. On pourra espérer à terme avoir un endroit unique d’où lister les comptes qu’on a créés, et les révoquer. Les plate-formes pourront espérer avoir un moyen de vérifier qu’un compte est encore actif pour purger les comptes des inactifs et des gens décédés.

Ou alors il suffira d’utiliser un DNS non français et éviter d’aller sur des sites exclusivement francophone. Je pense que vous misez trop de chose sur une solution technique

Le 27/08/2021 à 13h 48

Cumbalero a dit:

L’anonymat n’existe tout simplement pas. Et tu es une exception à n’avoir ni WiFi ni BlueTooth. Par ailleurs, il y a des réseaux WiFi gratuites dans tous les centres commerciaux. L’objectif est double: diffuser des infos commerciales et récupérer des infos, à commencer par l’adresse mac qui permettra de t’identifier quand tu reviendras.

On consent quand on accède a ces wifi publics du coup ?

elticail a dit:

Ce que j’ai trouvé : https://www.journaldugeek.com/2017/09/05/comment-les-centres-commerciaux-parviennent-a-tracer-les-smartphones-android-meme-lorsque-le-wifi-est-desactive/#comments

Bien fouiller dans ses paramètres

Merci je vais regarder pour que ces abrutis ne me trackent pas .

Ceci dit comme on ne peut pas consentir à ce tracking il me semble contraire au RGPD

Le 27/08/2021 à 08h 21

Ce que tu décris là c est plutôt de la pseudonimisation si tu es capable de remonter a la personne

Avec L anonymasation la remonté est strictement impossible

Et avec quoi vous tracez ? Parce que moi quand j entre dans un hyper seul ma 4G est allumé je vois pas comment je suis traçable.

Le 25/08/2021 à 16h 44

Pourtant le copier colle de l avis du conseil constitutionnel est clair. Controle d identité uniquement par les forces de l ordre dans le cadre du pass sanitaire

Le 25/08/2021 à 07h 49

Et le fait que cette appli soit disponible est un vrai problème. Clonage de l appli et hop on inclu une prise de photo en même temps que la verif et on se fait da petite base de pass

Le 25/08/2021 à 07h 41

Je trouve que c est un trou dans la raquette que ce soit une appli tournant sur n importe quel smartphone.

Il faudrait que ce soit des appareils dedié et agréé. Il est bien trop facile de voler un pass sanitaire lors d un contrôle avec des conséquences importantes pour son possesseur légitime.

Encore une idée pensé à moitié sur le plan de la sécurité

Le 10/08/2021 à 10h 28

Oui mais pour le coup nous sommes presque autant à risque qu eux

Le 10/08/2021 à 10h 12

La sélection naturelle ?

Mais vous comprenez pas que le QRcode peut potentiellement se faire voler à chaque contrôle ?

Ça peut vous arrivez à vous et vous ne le saurez pas jusqu a ce que vous soyez sur cette liste.

Vous réalisez ça ou non ?

Le 10/08/2021 à 10h 06

Le qrcode est partagé a chaque passage. Les faux sont ultra facile à faire il suffit de photographier au moment du passage. Tu serais pas un peu naif sur cette question franchement ?

Le 10/08/2021 à 10h 00

@Carbier

Euh tu réfléchis a ce que tu dis ?
On peut se faire voler son pass sanitaire. Par exemple en se le faisant photographier par un contrôleur peut scrupuleux qui pourrait revendre ce pass photographié.

Je pense que la probabilité de vol n est pas nul du tout et je vois pas pourquoi il serait légitime de me faire blacklister en cas de vol que je ne pourrai pas prouver ?

Et la probabilité de tomber sur un contrôleur véreux est non nul étant donné le nombre de lieu important devant réaliser les contrôles

Le 31/05/2021 à 12h 58

Ils n ont pas besoin des emails en clair juste d un hash et la c est OK

Le 19/05/2021 à 18h 28

Punaise c est dingue quand des entreprises se font absorbés les repreneur font souvent la même connerie. Ils essaient à tout pris d intégrer la structure acquise faisant fit des différences culturelles. Et ce qui doit arriver arrive les gens se barrent…

Le 13/04/2021 à 08h 50

Bonjour

Quand vous écrivez que ce n est pas vraiment une faille de sécurité je pense que vous vous trompez. La sécurité dbun système est définie par au moins 3 critères : la confidentialité, l intégrité et la disponibilité.

Ici la faille bloque un compte parce que leur process de vérification est pourri. Le système est indisponible pour un ou plusieurs utilisateurs si c est massivement exploite. C est bien une faille de sécurité

Le 10/12/2020 à 09h 31

choukky a dit:

Je crois que tu t’es chié dans ta citation. C’est pas Buffort qui parlait du modèle californien, c’est darkbeast à #6 et #17.

Putain Oui je sais pas ce que j’ai foutu bordel

Le 09/12/2020 à 22h 34

Buffort a dit:

Il y a des pays où on peut se retrouver en prison juste parce qu’on est pas d’accord avec untel ou untel … On est quand même dans un pays où la loi est plutôt bien faite. Ce genre d’acte, on peut rétablir la peine de mort, voir leur promettre 1000 ans de douleur, il y en aura toujours. Si on veut tenter de limiter ces actes, il faut revenir aux sources : quelles sont les causes ? On peut enfermer, enfermer et encore enfermer, ça ne réglera rien ….

Étrangement, on a un arsenal de plus en plus répressif et sophistiqué, mais rien ne semble arrêter les casseurs …. Au final, oui, excellente solution : interdisant les manifestations et supprimons le droit à manifester (qui fait parti de notre constitution mine de rien, puisque ça va avec la liberté d’expression).

La loi des trois coups en France ? Vous êtes sérieux ? Aux USA des gens qui n’ont commis que des choses mineurs se retrouvent en prison à vie pour rien. Cette loi est un délire totalitaire ni plus ni moins.

Le 27/09/2020 à 21h 40

carbier a dit:

Je vais faire simple: les protocoles ont été testés. Mais dans ta tête comme dans celle de NXi, les ingés qui ont fait cela sont forcément des billes à la solde du grand capital et de Big Brother. Ce que tu appelles des articles à charge contre, ne sont rien d’autres qu’une suite de poncifs de la part de personnes qui n’ont fait AUCUN test à partir du code source.

Analyse et conception tu dis ? Si dans ton boulot tu as les mêmes oeillères techniques, tu dois vachement faire avancer les choses.

Tu ne comprends pas mon propos ? Ne t’inquiète pas c’est tout à fait normal, tu ne peux pas les comprendre.

Au moment du bug bounty des chercheurs ont regardé le code source et des compte rendu ont été effectué faut arrêter de délirer. Et au moment du test j’ai envi de dire que c’est un peu tard pour savoir si des choix techniques sont fiables ou non. Les technologies utilisées sont connues avec leur point fort et leur point faible, c’est dans la phase d’analyse et conception qu’il faut se demander s’il est opportun d’implémenter ou pas. Surtout quand on joue avec de l’argent public.

Je n’ai pas d’oeillère. Le bluetooth n’est adapté au contact tracing du fait de sa faible capacité à mesurer des distances. Ce n’est pas moi qui le dit c’est son inventeur. A partir de là concevoir un système de contact tracing par dessus le bluetooth sens tout de suite le roussie. Par dessus le marche ils ont refusé d’utiliser exposure API permettant de s’affranchir de certaines contraintes des éditeurs qui rend la mise en place encore moins efficace.

Je te remercie de t’inquiéter pour ce que je fais dans mon travail. En tout cas j’espère que si tu conçois, tu te soucis de l’efficacité des technos que tu choisis avant les tests sinon tu dois couter un fric fou à ta boîte ….

Donc tu as des articles sous le coude démontrant l’efficacité technique de la solution ?

Le 26/09/2020 à 09h 59

(reply:1826503:Idiogène)

J’ai un peu de mal à saisir ton commentaire j’avoue. Tu es plutôt d’accord avec ce que je dis ou tu es plutôt dans l’optique cette appli c’est mieux que rien ?

Je ne comprend pas trop ton histoire de tiers. Je dis que par désign c’est biaisé car le bluetooth n’est pas fait pour l’objectif rechercher par cette application

Le 25/09/2020 à 21h 45

fofo9012 a dit:

Oui clairement, le nombre d’articles à charge qu’on a pu lire (qu’on continue àlire :-/ ) sur StopCovid est hallucinant. Les gens ont associés StopCovid à un système de géolocalisation, alors que c’est une appli 100% anonyme, qui n’a aucune connaissance de ton nom ou localisation. C’est des infos qu’on n’a jamais lu dans un article ou alors à la fin après arpès avoir colporter les fakes news du sujet.

Il y’a quand même eu quelques papier à charge bien documenter et techniquement pertinent. Comme le papier de L’INRIA sur le site risque-tracage ou le boulot de quelques chercheurs en sécurité.

En faite je n’ai jamais vu un article technique démontrant l’efficacité technique d’une telle appli aussi bien documenté techniquement les articles à charges.

Est-ce qu’on aurait du donner un blanc seing au gouvernement en promouvant une idée de merde ? Et oui on peut savoir qu’une idée est merdique avant sa réalisation ça s’appelle analyse et conception et là on voit si ça vaut le coup d’implémenter ou pas. Techniquement tous les indicateurs étaient au rouge mais non ils y sont quand même aller ….

Le 25/09/2020 à 21h 37

carbier a dit:

Littéralement technophile signifie “qui aime la technologie” cela n’a strictement rien à avoir avec le fait de “s’y connaitre”. Et oui je parlais bien de la population “jeune”. L’un des reproches parmi les nombreux relayés par NXi était que tout le monde n’avait pas un smartphone. Manque de bol cet été ce sont principalement les ¹⁸⁄₃₅ ans qui ont favorisé la diffusion du virus (taux d’équipement ?)

NXi fait partie d’une chaine de propagation de l’information: son contenu est lu puis diffuse par ses lecteurs autour d’eux et ainsi de suite. De plus quoi de mieux que de s’appuyer sur l’avis d’“experts” quand on veut propager une opinion sur les réseaux sociaux ?

Peux tu démontrer qu’il y avait des éléments faux dans les articles de NXI ?

Et quoi l’application est techniquement bancale ( du Bluetooth pour mesurer des distances ce n’est pas très sérieux le protocol n’est pas fait pour ça … C’est son inventeur qui le dit). Ils auraient du faire quoi chez NXI ? Ne pas en parler ? Dire que c’est une trop chouette appli ?

Le 26/09/2020 à 09h 55

kwal01 a dit:

bien lire la news : c’est TLS 1.3 qu’ils veulent interdire. il y en a plusieurs version.

donc non pas d’interdiction du HTTPS.

C’est plus fourbe que ça.

TLS 1.1 et TLS 1.0 sont obsolète. Si TLS 1.3 est interdit cela fera qu’il ne restera plus que TLS 1.2. Pour l’instant le protocole TLS 1.2 est robuste mais il y’a à priori pas de raison de penser que cela restera éternelement le cas. Donc il y’aura du HTTPS mais un HTTPS qui reposera sur un protocole TLS qui deviendra surement vulnérable aux interceptions à terme.

Les utilisateurs vont se sentir protégés mais il n’en sera rien. C’est pas interdit certe mais cela rendra la protéction complètement caduque…

Le 19/06/2020 à 09h 24

David_L a écrit :

 https://www.mail-tester.com/


J’ai configuré un domaine le mois dernier et j’ai exactement le même résultat. La frustration ultime quand j’ai compris qu’OVH n’implémentais pas de signer DKIM. J’espère que ce sera à terme utilisable avec l’offre d’hébergement Web perso. 

Le 12/06/2020 à 15h 47

Stéphane Bortzmeyer a écrit :

En regardant pour le domaine pris en exemple dans l’article, on voit que Gandi a mis le SPF :
https://dns.bortzmeyer.org/lejardinier.me/TXT


Oui mais pas DKIM ni DMARC .

Déjà eu des problème de délivrabilité sur une boite mail que je gérais à cause de l’absence de DKIM et DMARC c’est pour ça que je posais la question et je me demandais si Gandhi le supportait ? 

Par exemple, j’ai constaté la dernière fois que le SMTP de OVH sur l’hébergement  mutualisé  ne permettait pas de le faire ( pas de signer au niveau SMTP) . Et ça m’a bien embêté … 

Le 12/06/2020 à 12h 04

Pas mal ce petit article :) 

Question un peu plus pointu. Qu’est ce qui en est de SPF, DKIM et DMARC ? Sans ces items configurés  j’ai peur qu’il soit difficile d’être réceptionné par Gmail et surtout hotmail/outlook

Le 07/06/2020 à 11h 29

Si sur un projet présenté comme open source ça me choque pas. 

Sur une application comme celle ci perso je préfère voir les retours de sécurité publié c’est quand même plus intéressant. 

Puis techniquement c’est assez bancale autant le dire … 

Le 03/05/2020 à 09h 24

gavroche69 a écrit :

J’ai bien précisé que je n’avais pas d’opinion tranchée sur cette application et j’aurais même plutôt tendance à être contre.
Je voulais surtout mettre l’accent sur le fait que plein de gens semblent ignorer que sur internet on est fliqués en permanence par quasiment tout le monde, idem avec les téléphones portables.
C’est pourquoi je trouve assez amusant que là où on prévient justement les gens de l’utilisation qui sera faite de cette application, ça déclenche des réactions qui sont bien loin du comportement habituel de plein de monde.

Même réponse… " />

Ça fait un moment que des discussions sont ouvertes sur cette application et ça tourne complètement en rond avec toujours les mêmes arguments et les mêmes qui gueulent à la dictature (parmi lesquels pas mal qui souhaiteraient en voir arriver une d’ailleurs) donc ça devient chiant. " />


Ok merci d’avoir pris le temps de répondre :) 

Le 03/05/2020 à 09h 11

carbier a écrit :

Mentalité intéressante: Google et FB rendent des services plus importants que l’Etat.


T’as absolument rien compris à mon commentaire mais c’est pas grave et tu prends ce qui t’arrange. A force de te lire j’ai bien compris que ton jeu c’était de donner la leçon à tout le monde dés que tu en as la moindre. J’espère au moins que tu y prends du plaisir … 

Le 01/05/2020 à 09h 22

gavroche69 a écrit :

Je n’ai pas d’opinion tranchée sur cette application mais beaucoup de commentaires m’amusent beaucoup.
Quand on voit le nombre de gus qui vont se répandre volontairement sur les réseaux sociaux où leurs données sont vendues, le nombre de gus qui s’équipent en objets connectés parce que c’est tellement cool de pouvoir demander à sa lampe de s’allumer sans avoir à bouger son cul de son canapé, etc, etc…

Faut pas se leurrer, dès qu’on fout les pieds sur internet on commence à être fliqués, c’est hallucinant de voir à quel point certains n’ont aucune conscience de ça.

Et aussi cet enthousiasme que suscitent les voitures autonomes qui arriveront un jour et où certains grands groupes sauront en permanence où vous êtes et se permettront même de vous jeter contre un mur si elles estiment que c’est préférable grâce à un “puissant algorithme” bien sûr… A l’époque où était sorti un article ici sur ce sujet je me souviens que plein de monde trouvait ça très bien…

Et aussi le simple fait d’avoir un smartphone allumé dans votre poche permet de savoir où vous êtes avec le bornage (certes pas au mètre près mais quand même), quand vous retirez du fric à un DAB avec votre CB on sait où vous étiez précisément et à quelle heure, idem pour tout paiement par CB dans n’importe quel commerce…

Vous croyez vraiment que les sociétés privées sont soucieuses de préserver vos infos personnelles ?
Alors comment expliquer les milliards de dollars accumulés par un certain Zuckerberg ? Vous croyez que c’est en vendant du vent ?

Bref, cette vision totalement binaire des choses me laisse vraiment très perplexe et je me demande vraiment quel est le pourcentage de personnes qui savent vraiment ce qui se passe quand ils vont sur internet même s’ils se prennent pour des “cadors” parce que ils ont un compte sur tous les réseaux sociaux de la planète. " />


Je ne comprends pas le but de ce commentaire. Autorisé un acteur A à exploiter mes données n’est pas un blanc seing pour autoriser un acteur B,C ou D à utiliser mes données. De plus tu préjuges qu’une personne qui a des données sur des réseaux sociaux étalent forcément sa vie ce n’est pas forcément le cas. 

J’ai un compte Facebook et des compte Google parce que je juge que ces entreprises me rendent un service ( bon pus Google que FB ) et je que j’estime qu’ils accèdent à mes données n’est pas un souci. 

Dans l’état actuel des choses je n’installerai pas l’application. Parce que je suis inquiet de la façon dont elle pourrait évoluer dans l’état actuel des choses. Sa gouvernance est floue et j’estime que c’est mettre un pied dans la porte pour une surveillance plus systématique. Ce qui me rassurait c’est que ses spécifications soient figés et qu’il n’y ait pas trop de possibilité de mise à jours qui introduirait plus de surveillance. Il faudrait dans l’idéal que ces spécifications soient contrôlés par un collectif citoyen. On ne sait par exemple toujours pas clairement si le consentement d’utilisation sera pleinement libre. Il peut y’avoir un risque de carotte contre son utilisation. 

Le 29/04/2020 à 13h 43

ndjpoye a écrit :

De ce que j’ai compris de témoignages de médecins, l’avis médical du généraliste peut prendre le dessus si nécessaire. Ce serait déjà utilisé en France dans le style de situation que tu décris. Je dis juste ça pour t’apporter une possible piste dans ton cas.

Nb for all : ce n’est pas pour le débat


Merci c’est pas con. 

@All : Désolé je n’aurais peut-être pas du parler de ma situation perso dans le débat c’est pas intéressant je voulais juste donner un cas concret mais  je l’ai vraiment amener maladroitement. Y a juste un manque d’empathie ambiant ( pas sur le site mais sur en général ) que je ne peux plus supporter et là j’ai craqué je crois :) . Reprenons le court normal de l’émission. 

Le 29/04/2020 à 13h 17

carbier a écrit :

Tu aurais pu t’arrêter là.

Le déconfinement c’est un tout.
Contrairement à ce qu’aime à croire les anti-tout, les autorités, qu’elles soient sanitaires ou gouvernementales ne font que proposer des solutions et si elles auront des responsabilités très importantes dans ce qui va suivre, nous aussi.
Si chacun à son petit niveau ne fait pas d’effort et essaie de contourner ce qui est mis en place pour son petit confort ou parceque de toute façon ce que disent les zélites c’est de la merde, on ne va pas aller loin.

Tu n’as qu’à voir les questions autour des 100 km et des départements limitrophes. Ces limites ont simplement été mises en place pour préciser que l’heure n’est pas aux migrations sur les plages pendant les week end. Le but est de préciser qu’on doit se limiter aux déplacements indispensables. Après il a fallu posé une limite arbitraire max pour ceux qui habitent loin de leur boulot.
Donc tous ceux qui jouent les naifs et font semblant de ne pas comprendre ce qu’on leur demande, montre qu’on n’est pas rendu.


Bein après faut voir ce qui est considéré comme essentiel et le définir clairement ( ça semble être le cas  j’ai vu un article passé là dessus ) . Par exemple je suis pas en France en ce moment mais à la frontière entre la Belgique et la France , je ne connais personne et mes proches sont à plus de 100 km . Dans un mois ça va être essentiel pour moi ( une question d’équilibre mental ) de pouvoir faire ces 100 km+ pour rompre la solitude car une dépression me guette et c’est sérieux …. 

Après le 18 mai, ce déplacement sera pour moi essentiel mais je ne pense pas que ça va être le cas pour les autorités ( à tord selon moi mais je suis pas objectif ) . Je fais parti de ceux qui cherchent les limites de ces 100km car l’impact est majeur pour moi. Je vais essayer de faire de mon mieux pour les respecter et de pas bouger  de la Belgique mais je ne peux pas garantir que c’est possible. Franchement je profite de ce message pour dire que j’aimerais que certains fassent preuve d’un peu d’empathie et pourrait avoir des discours un peu plus mesuré et compréhensif fasse à la situation des autres. Les gens sont pas toujours des resquilleurs ils cherchent parfois juste à fuir une situation de détresse. 

Le 29/01/2020 à 10h 21

Tiens j’en profite pour jeter une bouteille à la mer.

Y’a t’il un bon plugin wordpress pour faire de l’acceptation de cookie ?

Le 21/10/2019 à 15h 25

fofo9012 a écrit :

Instruits-toi au lieu d’écrire n’importe quoi !



Qu’est ce que j’ai écrit de faux sur le cadenas vert ? Le navigateur vérifie autre chose  que la validité du certificat en terme d’expiration, de révocation et de CA trusté ? Si un certificat d’un domaine est trusté par par une CA du trustore du navigateur c’est bon il y’aura le cadenas vert. Le navigateur ne vérifie pas par défaut que la CA a bien le droit de générer un certificat pour un domaine Y. Il y’a des attaques connus qui utilisent ce pattern. 

Depuis quelques temps il y’a certificate transparency qui tente de remedier mais c’est pas enforcer par défaut par tous les navigateurs ….

La prochaine fois garde ta condescendance pour toi merci … Ou alors argumente

Le 20/10/2019 à 10h 51

fofo9012 a écrit :

C’est faux ! tu ne peux pas avec tout le rootage / warez du monde altérer une communication chiffrée par certificat, ce que tu décris s’appelle un “man in middle”, et c’est justement à quoi sert un certificat :

 
Pas besoin de MITM. C’est le téléphone qui initie la communication. L’idée ici avec un malware ou une instrumentation c’est de modifier les requêtes ou réponses au niveau applicatif soit avant que les communication TLS  soit initié (  cas de modification de requêtes ) soit entre le moment où l’appli  récupère les infos  de la communication TLS et le moment ou elle interprète pour prendre une décisions. Toutes les mesure anti MITM ne peuvent rien contre ce genre de menace et c’est normal.




fofo9012 a écrit :

C’est faux ! tu ne peux pas avec tout le rootage / warez du monde altérer une communication chiffrée par certificat, ce que tu décris s’appelle un “man in middle”, et c’est justement à quoi sert un certificat : protéger des attaques de ce type : le cadenas vert dans la barre d’adresse garantit que le contenu de cette page n’a été ni modifié, ni lue par personne d’autre, tes paquets internet ont pu passer n’importe dans le e.


 
Il est tout à fait possible d’intercepter un site qui apparait avec un cadenas vert ça ne garanti rien par rapport au MITM. A ma connaissance seul le certificate pinning fonctionne bien contre ça.

Le 24/06/2019 à 09h 41

Aëlisya a écrit :

Je sait qu’il est possible de bloqué par DPI, maintenant je ne sait pas si c’est accessible au grand public.


Les équipementiers galèrent déjà à l’implémenter correctement pour détecter des patterns d’attaques en sécu sur la couche applicative. J’ai un doute quand même sur la faisabilité d’analyse de contenu d’un flux vidéo.  Et puis même un équipement réseau internet doit rester simple, son boulot c’est d’acheminer des paquets d’un point A vers un point B pas de faire du bordel de  deep inspection . Si ça avait été designé pour regarder ce que les gens font depuis le début Internet n’aurait jamais fonctionné aussi bien.

Le 23/06/2019 à 21h 34

Aëlisya a écrit :

en réaliter cela dépend du type de  protection certain routeur font du DPI pour y arriver et ce sont les plus efficaces, car même en mettant l’ip directement l’accès est bloqué.

Maintenant le simple fait de bloqué vous sort des ennuis pénal éventuelle, vu que vous avez fait “tout votre possible” afin de sécurisé votre connexion.


Je ne comprends pas bien pas bien en quoi le DPI aide et est efficace. Quand je vois déjà les couches d’inspection de protocol application que les équipementier réseau déploient dans leur routeur/firewall dans le but de détecter des attaques et qui ne fonctionne pas vraiment, ça me laisse vraiment interrogateur sur la possibilité de détecter du contenu porno. 

Il y’a un exemple concret de truc qui marche vraiment ? 

Le 27/03/2019 à 12h 43

OlivierJ a écrit :

Ce que tu appelles copinage, ça s’appelle un réseau de relations professionnelles, et ça concerne tout le monde. Quand tu exerces des responsabilités pendant plusieurs années et que tu es en contact avec des interlocuteurs, si tu es perçu comme compétent, ça t’ouvres des portes pour la suite, ça vaut pour un député comme pour un salarié.




T’es pas sérieux là, tu plaisantes…
Si non, t’as une drôle de vision du niveau de vie, et de ce font les gens qui gagnent 7000 brut par mois (il y a déjà tous ceux en couple avec chacun à 3500).

 

On peut pas nier que le fait d’avoir été élu ou haut fonctionnaire facilite grandement l’accès à certains postes haut placé et dont l’obtention n’a parfois pas grand chose à voir avec la compétence mais pour permettre à des entreprises du privé d’augmenter leurs influences. Je crois que ça s’appelle le pantouflage ^^

Beaucoup d’entre nous avons accès au réseau pro mais on va en bénéficier pour rester à des postes plus ou moins équivalent.

On va arréter deux minutes gagner 7000 euro pour une personne seule ( c’est dont on parle ici) ça permet un niveau de vie vie très très confortable  ….  

Le 12/02/2019 à 15h 02

fredragon a écrit :

non pas du tout, on a juste une enorme dette impossible à rembourser sur le dos… Mais bon, comme on peut encore taper dedans années après années, c’est certainement que tout va bien, et puis on prend des bonnes mesures pour régler tout ça, comme par exemple bazarder du fric par les fenetres pour satisfaire un quelconque lobby, alors ça va forcément bien se passer…


C’est pas parce que tu as une grosse dette que tu es en faillite il me semble. Je dis peut être une connerie mais même si tu as une dette importante, tu n’es considérée en faillite que si elle excède ton capital . Je ne pense pas que ça ait du sens de n’utiliser que la dette comme indicateur de santé d’un pays. C’est un ensemble :-) 

Par contre là ou je te rejoins c’est que cette dette généré va pas mal profiter au secteur privé et je trouve ça dangereux et contre productif 

Dans un autre registre,  c’est un peu comme vendre  aeroports et française des jeux pour que le secteur privé  en bénéficies . C’est du capital en moins … 

Le 12/02/2019 à 11h 52

fredragon a écrit :

C’est cool ces robinets à pognons, heureusement que le pays n’est pas à la dérive et en plein faillite… " />


Euh on est pas vraiment en faillite hein :/

Le 12/01/2019 à 15h 20

Patch a écrit :

Ca tombe parfaitement bien, puisque ce n’est pas du tout ce que j’ai dit. Relis mieux.
(Pas lu le reste, puisque basé sur un postulat faux.)


Ton premier message adressé à kwak kwak :




Patch a écrit :

Je trouvais déjà ton message très con juste avec la 1ere phrase. Mais quand on voit la fin, en fait, c’est encore pire…



Du coup je vois pas ou mon postulat est faux ?

Quand on dit qu’un message est très con c’est pas super intéressant. Pourquoi intervenir ? ça n’a aucun intérêt pour toi, pour ton interlocuteur ni pour les autres.

Le 11/01/2019 à 07h 08

Patch a écrit :

Si ton choix c’est de t’écraser à chaque fois que tu vois des énormités, c’est ton pb hein…

Je n’ai ni agressé, ni insulté. Ou alors il faudra que tu me montres à quel endroit. Parce que jusqu’à preuve du contraire, dire que qqu’un sort des conneries et des débilités plus grosses que l’égo de Jupiter, et continuer ensuite volontairement à le faire et les faire grossir, n’est pas une insulte. Ou alors pour toi dès qu’on contredit qqu’un, on l’agresse et on l’insulte…


Je trouve qu’il n’ y a aucun intérêt a faire un poste juste pour dire à quelqu’un que ce qu’il dit est débile. Ok il y est allé un peu fort avec sa première phrase de son premier commentaire  mais il dit des choses avec lesquels on peut être d’accord et on peut pas lui reprocher d’argumenter . Par exemple la notion de démocratie et la réthorique “Si t ‘es pas avec nous c’est que tu es un bourgeois macroniste” de certains gilets jaunes me laisse un peu sur le cul. Et il y’a pas de mal à souligner. Et dire qu’ils n’ont rien obtenu n’est pas faux non plus …

Le 22/11/2018 à 18h 57

 L’arrivée de la bêta publique d’INpact Hardware ne sera qu’une première
étape, avec ses inévitables défauts temporaires. La connexion unifiée
avec Next INpact ne sera ainsi pas possible, du moins dans un premier
temps. En effet, nous n’utilisons plus de cookies mais des JSON Web Tokens (JWT), qui seront également utilisés sur Next INpact v7.


C’est la mode de ne plus utiliser de cookie au profit des JSON Web token et je trouve ça dommage. Ca se finit généralement avec un JWT dans le local storage ce qui rend la session vulnérable aux faillesde type XSS. Nan ce qu’il faut c’est un JWT dans un cookie bien hardené " />

Sinon bon courage ça a l’air bien tout ça. Hate de voir ce que ça va donner :)

Le 02/10/2018 à 05h 49

Juju251 a écrit :

La double authentification ne passe pas forcément par le numéro de téléphone.
D’ailleurs, l’utilisation de SMS pour la double authentification est déconseillée :https://www.nextinpact.com/news/104214-ss7-apres-interceptions-sms-securite-rese…

Sur FB (comme sur quelques autres sites), on peut utiliser une application de double authentification, comme Microsoft Authenticator.


ou une clé U2F :)

Le 26/07/2018 à 07h 13

wanou a écrit :

Tu peux montrer le mot de passe en clair sur un AD ou un LDAP?


Bein tu peux montrer la config de la password policy

Le 24/07/2018 à 06h 26

Je croyais que les objets connectés étaient interdits dans l’enceinte des établissements scolaire dorénavant " />

Le 23/07/2018 à 08h 11

Alderic a écrit :

J’ai une gear S3 classic et quand je l’utilise c’est quand meme vite cramé c’est pas du tout le meme comportement qu’une montre normale !
 Et bon de manière générale quand tu vois quelqu’un passer plus de 5 sec pour lire l’heure de sa montre, tu te doute qu’il…. ne fait pas que lire l’heure !


Petite question en apparté  : tu en es content ? 


Sinon oui en classe mais après pour regarder ou écrire ponctuellement des messages à la récré( franchement l’interdiction  pendant la récré est ridicule) franchement ça passe. Pour qu’un surveillant le voit déjà il faut qu’il s’approche franchement de l’élève et ce dernier pourra toujours dire “bein non c’est une montre” . Difficile à prouver. 

Et plus les objets connectés vont se miniaturiser plus leur détection sera compliqué.