thinkerone
est avec nous depuis le 3 décembre 2013 ❤️
Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?
141 commentaires
Riot Games rachète Radiant Entertainment, qui abandonne Rising Thunder
Le 09/03/2016Le 09/03/2016 à 14h 21
ok, ca m’avait donné l’impression d’etre plus tactique que ca, de toute facon je n’aurais probablement jamais l’occasion d’y jouer…
Le 09/03/2016 à 10h 28
“Ici, les combos à base de quarts de cercles et autres manipulations compliquées n’existent pas, ce qui simplifie – mais appauvrit un peu – le gameplay”
Si je me souvient bien, j’avais vu ken bogard y jouer un peu et il n’y a certes plus de manip mais des cool down sur les skills ce qui donne une autre dimensions, ca transforme un peu la gestion du combat surtout pour les combo, mais je ne trouve pas spécialement que ce soit moins pauvre, on peut faire simple et riche comme complexe et ininteressant :)
The Legend of Zelda : retour sur 30 ans de Triforce et de vases cassés
Le 22/02/2016Le 22/02/2016 à 15h 26
Oui, quitte a acheter les deux, autant faire la fin combinée, c’est dommage sinon…
Le 22/02/2016 à 14h 59
Apple face à la récupération du mot de passe iCloud après un décès
Le 19/01/2016Le 19/01/2016 à 15h 24
j’y vois une autre problématique ( a peine survolée dans l’article) ce type de compte est de plus en plus rattaché à des comptes dans le cloud, si toute les photos de famille sont prises avec l’ipad/phone de papy et envoyée sur son i-nuage(hérésie!) et que papy casse sa pipe, on est en dehors de tout droit sur des produits achetés mais du contenu généré par l’utilisateur.
N’avoir comme recours que l’effacement me parait limite. Bon après y’a le risque que mamie découvre peut etre qu’en fait les soirée tarot de papy c’était plutot “équitation” avec yvonne et ghislaine que carte/bouteille avec bernard et léon….
Streaming : le logiciel Captvty agace la Radio Télévision Suisse
Le 18/01/2016Le 18/01/2016 à 14h 04
Le 18/01/2016 à 10h 43
“les contrats qui autorisent la RTS à mettre à disposition ces
contenus sur Internet interdisent expressément le téléchargement et
limitent l’accès aux personnes résidant sur le territoire suisse ”
Je les mets au défi de me faire visionner un de leurs programmes sans me faire télécharger le-dit programme…
ou comment traiter un flux sans le recevoir
Nintendo se défait d’un patent troll accusant les Mii de violer son unique brevet
Le 29/12/2015Le 29/12/2015 à 08h 35
Le marché des cartes mères s’érode aussi vite que celui du PC
Le 16/12/2015Le 16/12/2015 à 11h 53
Transports : un député socialiste veut des amendes pour les mutuelles des fraudeurs
Le 23/11/2015Le 23/11/2015 à 16h 06
Faille de sécurité sur Les Numériques : modifiez vos mots de passe
Le 03/11/2015Le 04/11/2015 à 00h 11
c’est pas nécessairement stocké dessus, dans ce cas, le XSS est dit reflectif et ne s’applique qu’aux personne qui font la requête directement avec le code dedans (par exemple suite à un phishing ou on amène la victime a cliquer sur un lien spécifique).
Maintenant un serveur où tu n’as aucun moyen d’écrire ce sont certain sites web style an2000, de nos jour ya toujours une partie commentaires ou une partie compte utilisateur ou que sais-je qui fait qu’il est possible d’écrire (rien qu’a la place de mon pseudo je pourrais mettre du code, et sur un site vulnérable, toute personne chargeant une page affichant mon pseudo exécutera le code). les informations sont stockées en base de données mais ça reste une inscription de donnée sur le serveur… la seule protection c’est de filtrer correctement les informations que le serveur reçoit de la part des utilisateur pour s’assurer qu’il n’intègre ou en renvoie rien qui puisse tromper le navigateur de ses visiteurs.
Le 03/11/2015 à 15h 21
meuuuuh non ca dépend juste de ta catégorie: utilisateur de debian ou non." /> comme ca par exemple
Le 03/11/2015 à 15h 16
excuser un XSS? tu est trop bon avec eux " />
C’est
pas parce que c’est hyper courant que c’est excusable, avec des
frameworks comme BeeF on fait des choses très sales depuis quelques années maintenant
Le 03/11/2015 à 14h 45
en fait le XSS est une attaque qui vise l’utilisateur et pas le serveur en injectant du code qui est interpreté par ton navigateur.
bref, l’attaquant a peut être trouvé une faille dans les commentaires par exemple, et a donc posté un commentaire spécial avec du code javascript. S’il s’applique un peu, les artefact sont pas trop visible quand tu regardes la page, mais ton navigateur quand il recoit le contenu de la page, au moment d’afficher le fameux commentaire va afficher ce qu’il comprend etre du texte et interpreter le code qu’il reconnait.
Ce code est généralement “fait une requete vers tel serveur en affichant le login courant et la valeur du cookie de session”
donc ce n’est ni du MitM, ni une attaque du serveur, mais le piégeage de ton navigateur web
Le 03/11/2015 à 14h 41
Du coup sans aléat tu te retrouves avec un autre problème, ton cookie est toujours le meme pour une personne donnée, donc il suffit que bidule se connecte une fois depuis un poste partagé ou que je me balade sur son poste pendant sa pause café et me voila capable d’usurper sa session quand je veux.
les bonnes pratiques en la matière étant de renouveller le cookie à chaque changement d’état (après authent et après déco ) et que lors de la déco la session soit correctement purgée, si dès que l’utilisateur se réauthentifie on lui ressort le meme cookie ca pose problème.
Le 03/11/2015 à 14h 17
du coup si je fais la synthèse des échanges, il faudrait un cookie qui contienne l’ID plus un élément aléatoire chiffré par le serveur, qui le déchiffre a chaque fois, récupère l’id dans la chaine pour ensuite requêter les bonnes info?
je sais pas si en perf c’est plus économique que de taper directement sur le contexte associé a ton PHPSESSID par exemple… mais pourquoi pas, je m’y connais pas des masses en optimisation
Le 03/11/2015 à 13h 55
le problème reste le meme, il ne s’agit pas de crypter, il suffit juste de générer des ID non linéaires et suffisament entropique c’est la qu’est la sécurité, en diminuant la proba que l’utilisateur trouve une chaine de caractère qui corresponde à un ID (si ton chiffré est ridiculement court tu ne résoud pas le problème par exemple) , ce que globalement php et consort savent faire plutot bien de nos jours.
Le 03/11/2015 à 13h 45
aucun intérêt/sens de chiffrer un cookie, oui pour le reste. il ne doit etre qu’un id permettant de retrouver les informations. Par contre l’attribut HttpOnly, déja ca evite de recupérer l’info via un XSS moisi et si possible le tout communiqué sur SSL bien (mais bon la pub limite visiblement cf les problematique NxI) avec l’attribut secure.
TrueCrypt pour Windows contient deux failles, dont une critique
Le 02/10/2015Le 05/10/2015 à 14h 23
Oui mais vu la phrase j’ai considéré qu’il avait fait une “approximation” :).
j’ai pas lu le détail de la CVE encore, mais vu ce qu’écrit Vincent, si c’est de la bidouille dans les lettres de lecteur ca pourrait très bien marcher avec un conteneur qui se rattache au système comme un disque (niveau pilotes) qui pour le coup est beaucoup plus “échangeable” que ta partoche systeme ^^
Le 05/10/2015 à 14h 10
Windows 10 : la distribution des préversions Insider reprend avec la 10525
Le 19/08/2015Le 19/08/2015 à 13h 15
La Gamescom approche, que faut-il en espérer ?
Le 04/08/2015Le 04/08/2015 à 13h 52
ouais, amplitude studio ( endless space/legend/dungeon ) invitaient carrément à venir et prendre rdv pour se taper des pintes avec eux (ce qu’ils font aussi de temps à autre sur paris)
Le 04/08/2015 à 13h 33
Guild Wars 2 : ArenaNet propose de rembourser les joueurs mécontents
Le 23/06/2015Le 23/06/2015 à 14h 36
E3 : Microsoft assure le show et annonce la rétrocompatibilité Xbox 360
Le 15/06/2015Le 16/06/2015 à 08h 18
Le 6 juillet, Orange arrêtera son pass vidéo Livebox
Le 12/06/2015Le 15/06/2015 à 12h 24
Le 12/06/2015 à 13h 06
Bethesda : DOOM en 2016, Fallout sur mobiles aujourd’hui, en novembre ailleurs
Le 15/06/2015Le 15/06/2015 à 12h 21
Canal+ : de la fermeture d’un dépôt GitHub au piratage de l’un de ses serveurs
Le 15/06/2015Le 15/06/2015 à 11h 41
League of Legends teste un système de sanctions automatisées
Le 26/05/2015Le 27/05/2015 à 11h 27
Konami avorte le projet Silent Hills et fait disparaître P.T. du PSN
Le 27/04/2015Le 27/04/2015 à 15h 30
Le 27/04/2015 à 11h 00
[MàJ] Vous ne devinerez jamais comment Netflix compte envahir un peu plus votre salon
Le 01/04/2015Le 01/04/2015 à 14h 03
pour le bon de réduc je sais pas mais pour la clé béta je peux t’aider :) (après si en plus ca te fais t’abonner c’est mieux mais ca changera pas grand chose pour moi :) )
Piraté, Twitch a laissé filer des mots de passe en clair
Le 24/03/2015Le 24/03/2015 à 12h 49
Le plus chiant c’est surtout les sites qui t’empêchent de cop/col ton mdp de 25char généré sur keepass, c’est d’une débilité (bonjour conforama, le site d’un autre age…). Du coup ils veulent que tu mettes un mdp secure mais que tu devra taper “à la main” systématiquement histoire de bien te faire chier et que mme michu finisse avec soleil123….
les caractère spéciaux ca peut se comprendre, ils essaient de se protéger des injections de code sans traiter correctement le problème donc au lieu de faire ca intelligement, ca bloque tout.
Adobe corrige onze failles critiques dans son lecteur Flash
Le 16/03/2015Le 16/03/2015 à 10h 59
Moi je rencontre pas mal de difficulté avec firefox sur ma tablette (et parfois le pc), où sur un paquet de site je me tape des erreurs “vous avez pas flash” plutôt que de me proposer les html5. A mon grand regret c’est également le cas sur 8tracks qui dispose d’une version html5 difficilement activable et le tout sans parler de la majorité des sites d’actu vidéoludique avec des embbed vidéo “maisons” totalement moisis.
mais bon, je suis ptet passé à coté de tips :), en tout cas je serais preneur
Carbanak : cyberattaque contre des banques, préjudice estimé à un milliard de dollars
Le 16/02/2015Le 16/02/2015 à 17h 03
pour te répondre vite fait, y’a effectivement une vuln ultra critique flash et adobe a toujours pas publié de correctif donc oui tu as la dernière version et oui tu es quand même vulnérable :)
Ensuite pour MS, j’ai constaté ca aussi mais y’a des patchs sortis en urgence pour des trucs un peu violents genre ca:http://breakingmalware.com/vulnerabilities/one-bit-rule-bypassing-windows-10-pro…
Le 16/02/2015 à 16h 43
Le 16/02/2015 à 16h 24
bah c’est assez simple, c’est un automate (vétuste avec des mecanismes de sécurités moisis en plus) tu as des ptites conf marrante comme à la black hat ou le mec avait transformé un ATM en machine a sous qui fait jackpot tout le temps avec musique et tout ^^
en version longue avec la démohttps://www.youtube.com/watch?v=v-dS4UFomv0
en version plus courte juste pour la distribution de billets:https://www.youtube.com/watch?v=fS3Z8Xv-vUc
Le 16/02/2015 à 15h 35
Le plus surprenant c’est que ca fait 2 mois que les banques ukrainiennes ont soulevé le probleme avec un joli petit nom (anunak). Aujourd’hui on recycle le truc qui a priori serait exactement le meme pcq finalement ca touche plus de monde que les banque de l’europe de l’est… et cette fois breaking news en le criant bien fort…
pour ceux que ca intéresse (avec moins de marketing, et plus de contenuhttps://www.fox-it.com/en/files/2014/12/Anunak_APT-against-financial-institution… )
La censure du RPG South Park n’est pas l’œuvre du PEGI
Le 28/02/2014Le 28/02/2014 à 10h 51
King dépose la marque « Candy » et menace de poursuites d’autres studios
Le 21/01/2014Le 21/01/2014 à 17h 08
de ce que j’ai vu sur numerama, c’est de la menace abusive, car ils ont surtout déposé certains aspects de la caligraphie du mot candy, pas le mot telquel.
Mais bon de ce que je pense de numérama… à voir tout de meme l’article