Le 07/09/2017 à 09h 08

> Les poids des données n’est pas toujours représentatif et on entre davantage dans les informations symboliques.

Ne le prenez pas mal mais je vous jure, des fois, je ne comprends rien à vos phrases. C’est tellement flou et abstrait. On entre davantage dans les informations symboliques? Qu’est ce que ça peut bien vouloir dire concrètement? J’ai du aller voir ce qu’est un sparse file sur wikipedia pour comprendre tout le paragraphe en fait. Aussi le fait que vous traduisiez logical par symbolique est pas inintéressant en soit (et probablement plus juste que logique), mais vu que c’est pas la pratique (autant que je sache) je trouve que ça ajoute à la confusion plus qu’autre chose. Enfin, c’est titré Fichiers creux et space sharing, mais ça ne parle pas du tout du space sharing, si j’ai tout compris.

> Signalons quand même quelques points pour tempérer les éventuels effets
d’annonce de l’entreprise. Par contre, la déduplication et la
compression des données ne sont pas présentes.

Bon là j’ai compris, mais y a un problème de construction de(s) la phrase je pense.

Le 05/09/2017 à 16h 25

J’ai regardé la conf WireGuard du fosdem, ça a l’air vraiment cool. Je pense que j’ai un problème avec l’angle des articles qui s’appuie trop sur edgy wg vs vieux openvpn.

Le 05/09/2017 à 15h 25

Oui enfin l’âge en question… par le développeur d’une solution concurrente toute nouvelle.

Il y a certainement plein de reproches à faire à openVPN, mais son âge, en soit, ça ne dit rien. On peut difficilement faire plus creux comme critique. Je ne sais pas si ça vient juste de la com’ du dev ou des articles mais ça donne pas envie en fait, au contraire. Les arguments qu’on me met en avant sont marketing et gadget.
 
c’est moderne! y a que 4k lignes de code! OpenVPN c’est vieux, y a plein de lignes de code! mouais…

Le 29/08/2017 à 13h 23

En écoutant Cazeneuve à l’époque, on comprenait, entre les lignes, qu’avec ses boites noires il voulait entre autres faire de la dé-anonymisation des réseaux comme tor en utilisant des attaques par corrélation. Ça semble peu probable qu’ils aient une vision suffisante sur les points d’entrée et de sorties sur le réseau tor juste avec des sondes aux frontières, mais je ne sais pas. Avec des sondes nationales directement chez les FAI et chez le plus gros hébergeur européen (ovh) ça devient easy sur une partie du traffic (si il part du fai et sort chez ovh). C’est moins clair pour moi à quel point les sondes sur le trafic internationale aident pour ce type d’attaque. Ça dépends au moins de quelle partie du trafic est effectivement analysé, et des routes utilisés par le client tor (ou autre réseau du même type).

Le 08/03/2017 à 17h 46

Tor browser ne fait que client.

Le 07/03/2017 à 09h 53

Tout le monde sait que c ‘est Jacques Cheminade l’homme qui dérange qui monte chez les français de l’étranger lucides.

Le 24/02/2017 à 19h 43

Fuinril a écrit :

Si cloudflare n’était utilisé que pour ce pour quoi il est fait il n’y aurait aucune incidence (bon sauf éventuellement sur un piratage qui change le corps de la réponse).


T’as le droit de pas aimer (j’aime pas non plus), mais cloudflare c’est principalement un reverse proxy as a service, il est utilisé pour ce qu’il est fait.  Non ce n’est pas juste un CDN pour servir des fichiers statiques.

Le 24/02/2017 à 15h 26

Bof, l’intérêt est super limité non? Compromission du hash => compromission du compte, et compromission du serveur, compromission du mot de passe en clair, vu que c’est lui que sert le js qui va générer le hash. Je dis pas que l’intérêt est nul, c’est toujours une couche supplémentaire, mais bon, full https + pas de stockage en clair, c’est suffisant pour un site qui n’est pas une cible de haute valeur à priori.

Le 24/02/2017 à 14h 01

https ça change rien, cloudflare est un mitm dans ce cas, ils voient passer les flux en clair, et donc ont pu leaker votre mot de passe.

Le 06/02/2017 à 17h 35

joma74fr a écrit :

la Vérité absolue (qui n’existe pas, la vérité étant toujours relative). 


Arg, j’exècre cette affirmation quand elle est balancé de façon définitive, comme ça, en passant. Pas que je pense qu’elle soit nécessairement fausse (ça se discute, probablement pas ici, je me considère relativiste prudent), mais sans jamais apporter grand chose, elle sert trop souvent à sous entendre que tous points de vue se valent et qu’il est inutile d’essayer de graduer la réalité d’un fait, qui ne serait, au final, qu’opinion et construction. Le relativisme radical et le post modernisme sont devenus une arme d’idéologies néfastes qui en use pour semer la confusion généralisée pour empêcher le débat raisonné.

Le 25/01/2017 à 11h 24

> Notez que le gestionnaire prend aussi mieux en charge les formulaires
qui ne disposent pas d’un bouton dédié à leur enregistrement.

J’ai pas compris.

Le 20/01/2017 à 10h 29

Encore une fois, la différence est la surface d’attaque. En gros sur un android non rooté tu vas attaquer le noyau pour avoir une élévation de privilège. Sur un android rooté, en plus du noyau, tu peux attaquer l’infrastructure de gestion du droit root (au minimum un /bin/su), et toutes apps auquel l’utilisateur aura donné le droit root (ton adblocker root est-il penser pour la sécurité? spoiler: probablement pas)

Le 19/01/2017 à 16h 43

> y a-t-il un quelconque risque ?

À partir du moment où tu as un binaire qui te permet de passer root en plus sur ton système, tu augmentes la surface d’attaque, donc oui. Par exemple quand le développeur de CopperheadOS (Version plus sécurisé de AOSP) voulait se baser sur CyanogenMod, il a regardé leur appli permettant de donner l’accès root aux applications et a trouvé plusieurs failles.

Le 17/01/2017 à 12h 27

Probablement pas, c’est un mot de passe que gmail n’accepte pas. Par contre il utilisait des mots de passe en carton, c’est documenté. Mais peu importe, puisqu’il s’est fait avoir par du phishing et a donc donné directement son mot de passe aux attaquants.

Le 08/12/2016 à 13h 38

Cette vidéo est cool sur la rivalité guillemot/bolloré: https://www.youtube.com/watch?v=9uKP6QczoC0

Le 08/11/2016 à 12h 00

* Dans tous les cas, c’est pas parce que c’est des pubs que tu veux que quelqu’un puisse injecter des cochonneries (en plus) dedans
* Si t’es sur une page https et que les pubs sont chargés sur http, tu as carrément enlever tout l’intérêt de https de la page d’origine (man in the middle sur des elements injectés dans la page)
* Même sans directement modifier les contenus, inspecter une requête http faites depuis une page https risque de dévoiler des informations (exemple basique, le header referer)

Le 05/11/2016 à 18h 23

certes, mais est-ce que c’est un placement produit ou un autre mimétisme du réel un peu foiré parce que c’est un énorme autocollant rouge qui saute à la figure.

Le 05/11/2016 à 17h 37

> On s’amusera par contre de voir que le seul vrai placement de produit
récurent n’est pas signé Apple, Dell ou encore Microsoft… mais de l’EFF, sous la forme d’un logo géant (accompagné d’un petit oignon Tor) sur l’ordinateur portable utilisé par Edward Snowden, qui est assez largement mis en avant.

Mais c’est vraiment a quoi ressemblait son pc
 https://twitter.com/kurtopsahl/status/343828314294714368

Le 03/02/2016 à 20h 29

Bof, j’ai acheté mon galaxy nexus en aout 2012 (le nexus courant de l’époque), le support était finit en gros un an plus tard. Probablement mieux que les low cost, mais ça reste pas génial.

Je suis sous cyanogenmod, le support est pas toujours au top, y a clairement eu des trous ou il n’y avait plus de vraiment de mainteneur et le kernel contient quelques failles locales, mais j’ai toujours des mises à jour, et je suis en version 12.1 (android 5.1), comme quoi c’était possible.

Le bidule tourne nickel en attendant, et c’est ça qui est bien en choisissant nexus, les roms alternatives.

Le 30/01/2016 à 11h 37

Le support SNI est déjà bien déployé, pas parfait mais déjà très bon et qui s’améliore rapidement.

Les navigateurs problématiques c’est IE sur windows XP et android2, des configs mourantes déjà plus supporté officiellement par un paquet de sites.

Coté serveur c’est déjà déployé en masse et “facile” à mettre à jour (pour les solutions FLOSS en tout cas, pour IIS aucune idée), au pire tu mets un ptit nginx en front de ton serveur legacy, c’est 3h de taf pour un sysa débutant.

Le 29/01/2016 à 20h 16

• le plupart des gens ont une politique de mot de passe en carton (mots de passe identiques/proches sur la plupart des site), vole du mot de passe PCI = game over pour eux
  


• aucun besoin que les données échangées soit sensible, le point intéressant peut juste être de pouvoir se faire passer pour toi. Tu administres un site avec un pote de pci? un attaquant le PM depuis ton compte en demandant les infos de connexion de l’admin. Et c’est un exemple bidon, les guedins sont très inventifs parfois.
  


• let’s encrypt fait que le prix des certifs de base va tendre vers zéro à moyen terme (plusieurs années quand même)
  


• http/1 en clair n’ait pas près de disparaitre si tu ne veux pas faire de ssl
  


• Le pouvoir des CA est un vrai problème. Let’s encrypt c’est à l’initiative de l’eff et mozilla, c’est pas parfait, mais c’est rassurant. Moi j’attends avec impatience qu’on puisse balancer tout le système des CA à la poubelle, mais c’est pas près d’arriver et du coup on n’a pas mieux.
  
  Je ne pense pas vraiment que l’intérêt de TLS soit super critique pour PCI, après c’est juste mieux en https que sans… moi je me connecte pas en clair, mais je suis parano, spa pareil. Mais faut pousser TLS (correctement mis en place) sur pleins de sites, ça c’est clair aussi.

Le 29/01/2016 à 17h 41

Ça concerne Mozilla parce que la sécurité et la vie privé sur le web font partie des missions de la fondation. On peut pointer les positions hypocrites qu’ils adoptent parfois sur ces points, reste que c’est sensé être un de leur but.

On peut aussi discuter si imposer https partout est un moyen efficace pour s’approcher de ce but.
Pour moi c’est le grand n’importe quoi des implémentations de SSL/TLS actuelles qui les poussent à prendre certaines décisions drastiques et contestables (http/2 sur tls uniquement). Nom de nom, les ³⁄₄ des grosses boutiques en lignes ou journaux ont leurs formulaires de connexion et sessions en http, avec juste l’envoie du login/mdp vers une page https, ce qui tient du placebo de sécurité; surtout trouvé un site de porn sur https c’est toujours compliqué en 2016 :)

Le 28/01/2016 à 15h 49

Pas que je considère le problème en lui-même comme très grave, mais y a une incompréhension chez les utilisateurs et surtout chez les devs de sites qui est elle assez problématique.

Tel qu’implémenté actuellement (form de login sur page http, session en http) le ssl de l’action du form de connexion a un impact très limité par rapport à pas de TLS du tout. Analogie pourrie, mais y a un beau verrou sur la porte quand toutes les fenêtres sont grandes ouvertes.

Le 28/01/2016 à 12h 06

• Injection de pub/js/tracking par un tiers dans les pages (ça s’est vu, aux states par exemple)
  
   - T’es connecté sur ton compte, ton cookie passe en clair, si t’es sur un wifi ouvert vole de session. INpact? Eventuellement point d’entrée pour du social engineering.
  
  Ça tombe bien, hier j’ai halluciné quand j’ai constaté que https était reservé aux abonnés (sur ma config classique je ne peux même pas commenter, mon navigateur passe les cookies en https only automatiquement), du coup cool, je vais m’abonner.

Le 27/01/2016 à 16h 39

Oui, il demande confirmation à l’utilisateur quand un site tente de
générer une image depuis le canvas. D’un coté, c’est différenciant par
rapport à la majorité des navigateurs, mais au moins tous les tor
browser ont la même empreinte.

Le 27/01/2016 à 16h 02

Les champs accept, accept-encoding et accept-language dans toutes les requêtes http.

Sinon, y a des choses plus subtile et difficile à bloquer, genre canvas/webgl fingerprinting, c’est… cool?

En anglais:
https://lwn.net/Articles/606186/
http://cseweb.ucsd.edu/~hovav/dist/canvas.pdf