Je découvre qu'avec DNSSEC, le champ TLSA permet de vérifier le certificat émis par le serveur, à la place de, ou en complément du / des CA.
C'est aussi utile par exemple, pour vérifier le CA signataire (à la place du certificat du serveur) afin de limiter le risque qu'une CA piratée ou malveillante forge un fake-certificat.
EDIT : on peut aussi utiliser ce champ pour accorder sa confiance à une autorité qui ne serait pas "de confiance" dans le root du logiciel client. Encore faut-il que ce dernier requête en DNSSEC et implémente ces méthodes (assez récentes)
Une grande avancée je trouve, et un bon compromis CA / non-CA.
Pratique !
Les données personnelles de 191 millions de votants des USA ont été exposées. Bravo le vote électronique !
Mandieu. Facepalm terrible en matière de sécurité : non, le "logo Verisign" n'est pas une preuve de sécurité. Surtout en l'absence de SSL sur la connexion.
F*ing st. Une injection DLL dans Keepass… Crénondedjiou.
Les liaisons dynamiques des DLL sous Windows, c'est la plaie…
Du coup, j'suis pas sûr qu'il passe encore la certification ANSSI (même s'il me semble qu'elle concernait la version 1.x qui doit certainement être sensible au même problème).
J'espère que ce sera corrigé vite.
Hmmmm, moi qui doit renouveler mes certificats très prochainement, je vais me pencher sur Let's Encrypt. Mais à l'heure actuelle, je ne sais pas si c'est supporté par tous les navigateurs (enfin, les plus gros quoi). Let's see ;)
Impressionnant : qu'est-ce qu'une attaque informatique « à froid ». Où on apprend que la RAM peut conserver ses données plusieurs minutes après extinction. Également, comment mitiger l'attaque ? Et finalement, Tail est vraiment une distribution sécurisée ;)
via : https://twitter.com/CyvispaSec/status/652814600774283264
Excellent article sur la sécurité de TLS (via OpenSSL).
Ça m'a permis de changer le chiffrement d'un outil que je développe (non critique, bien heureusement) et qui utilisait du AES-CBC (soumis à la faille POODLE, mais pas dans ce cas ; donc juste pour une best-practice)
En réponse : il s'agit de la 7.1a (petite coquille)
Mais sinon, il y a truecrypt.ch qui poursuit le développement, fait financer les audits et évoluer le logiciel. C'est le fork le plus "officiel" pour le moment.
Mais je préfère VeraCrypt qui ont fait évoluer de façon importante (et surtout en tenant compte des résultats d'audit) le logiciel. À tel point que les conteneurs eux-mêmes perdent (si on souhaite des options avancées de sécurité) la rétrocompatibilité.
C'est un choix à faire aujourd'hui, et perso je préfère le choix VeraCrypt pour sa sécurité : ils ont enfin implémenté une technique anti brute-force sur les conteneurs (et plein d'autres choses intéressantes)
Liens :
- https://truecrypt.ch/ (moyens techniques)
- https://ciphershed.org/ (main fork)
- https://veracrypt.codeplex.com/ (fork plus évolué)
Encore une publicité qui diffuse un exploit. Et Mozilla qui réagit en moins de 24h. Bravo.
Le problème vient du lecteur PDF intégré… Mise à jour à faire.
Alors là, chapeau bas. Je suis ravi de cette extension. C'est une solution de sécurité très complète pour Wordpress, peu invasive, paramétrable à souhait et en grande partie gratuite. Les options payantes sont des options pour des sites qui n'auront pas de problème à payer.
Un point très appréciable : je passe un temps fou, quelque soit le système (Androïd, Linux, Windows, etc.) et lorsque j'installe une application à régler les options. Je suis du genre à tout fouiller. En général, je change beaucoup de choses, j'aime customiser. Mais du coup, je suis aussi obliger de noter ce que je fais quelque part dans un doc de réversibilité quelconque, pour reproduire plus rapidement ensuite mes réglages favoris.
Ici ? Que nenni. J'ai installé l'app, vu la grande quantité de paramètres, remis à plus tard. Puis en fouillant plus tard, je n'ai quasiment rien changé. C'est sans doute du jamais vu à ce niveau.
Toutes les options un peu intrusives (nécessairement) sont globalement désactivées. C'est un niveau de sécurité avancé, mais sans fonction très avancée et donc lourdes, qui est ainsi mis en place par défaut.
Bref, je recommande 1000 fois. J'ai même envie de faire un don (mais je ne trouve pas) même si je pense qu'ils font leur blé avec des sites d'une autre envergure que les miens.
Une rainbow table distribuée accessible en ligne. Marche aussi avec les pass MySQL :) = sha1(sha1_bin())
Ok, j'vais tester ça. Pour Windows, j'utilisais des distrib live.
Microsoft va sortir une version de SQL Server "Always Encrypted". C'est bien.
Je n'ai pas regardé dans les détails, donc je ne sais pas si elle opère l'arithmétique.
Connaissez-vous d'ailleurs ça ? J'en ai entendu quand j'étais en master, il y a une huitaine d'année. Des bases de données qui peuvent manipuler des objets toujours chiffrés, y compris en appliquant des opérateurs arithmétiques. En gros : a op b = dec(enc-a enc-op enc-b) = dec(en-c) = c
via : https://twitter.com/FranmerMS/status/606695465619488768
Excellent. Je ne savais pas que l'ANSSI avait glissé un challenge dans l'un de ses fonds d'écran. Awesome.
Héhé. Un peu de cryptologie appliquée sur des hashs censés être "anonymisés". C'est drôle :)
Les systèmes SCADA connectés à une prod et reliés à Internet…
Une fois de plus : des systèmes anti-copie qui empêchent la lecture. Donc, plutôt pirater.
via : https://twitter.com/reesmarc/status/585168272234000384
C'est inquiétant mais pas étonnant. Et pratique aussi du coup.
J'suis totalement clean.
Super ce test. C'est toujours fou de voir tout ce qu'on peut récolter rien qu'en se connectant sur un site. Je pense d'ailleurs que ces informations ne garantissent pas l'unicité, notamment en ne conservant que les informations de long terme (plugins, etc.) mais appariées avec les informations identifiantes moyen ou court terme (IP, etc.) le taux d'identification doit être meilleur qu'avec un système de cookies.
Bref, la réponse au fichage ne réside pas dans une utilisation à la cool d'Internet. Faut proxifier, configurer, TORer, disabler, etc. De gros mots pour supprimer le tracking. Pas à la portée du lambda.
Tiens, ça pourrait être pratique ça. Je voulais la v1 d'un logiciel (Fences) parce que la 2 est passée en shareware avec un trial de 30 jours (et ce n'était pas assez pour tester sur le long terme)
Du coup, ce site permet de retrouver de vieilles versions : certainement un business illégal, mais ça dépanne bien :)
Il n'est pas noté dans WOT, mais d'après virustotal, il est clean.