Tiens tiens…
Étrange comportement de notre ami Firefox : j'ai une page ouverte, en SSL, et qui fait tourner de l'AJAX. Je change le certificat du serveur et le redémarre. La page toujours ouverte, et qui continue de recevoir du contenu m'indique toujours l'ancien certificat. Tant que je ne recharge pas la page elle ne le fait pas.
Mais alors, que se passe-t-il si dans ce type d'échange, un "advanced firewall" quelconque s'amuse à changer de certificat ? Hmm… Question con sans doute.
M'enfin, j'suis pas super rassuré par ce comportement.
Très beau, et analyse assez juste. Je ne parle pas des aspects sécurité / ANSSI, mais plutôt du carcan administratif qui bride tout … jusqu'à la conclusion : « il faudrait aussi arrêter de sans cesse se reposer sur l’État, et prendre ses responsabilités : c’est aux acteurs d’agir, pas d’attendre que ça vienne à eux »
Voila c'que ça m'inspire : « Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux. » [Benjamin Franklin]
Incroyable. C'est la première fois que je vois une démonstration aussi simple et concluante de ce fait : créer une collision MD5 en rajoutant du padding, puis par analyse différentiel sur le résultat du hash.
Je garde sous la main les deux fichiers, pédagogiquement, ça cause.
Une p'tite mise en bouche sur la sécurité de Wordpress.
C'est un début et plutôt orienté débutants, mais j'ai hâte de voir la suite…
On nous emmerde de lois antiterroristes et voila ce qui arrive (quand-même)
Désolant.
via : https://twitter.com/Maitre_Eolas/status/515635748167372801
Bon à savoir. Injection possible si les chaînes en entrée sont échappés via mysql_real_escape_string.
Intéressant : connexion mysql sécurisée sans mot de passe. J'avais besoin de faire ça depuis longtemps !
Malheureusement, je n'ai pas réussi à utiliser en plus l'option de proxy de mysql (pour qu'un utilisateur soit reconnu comme un autre) en se basant sur l'utilisation de ce plugin.
EDIT : Oh mince, le temps que je publie, ça a été corrigé.
Une faille XSS réalisée via les enregistrements TXT du DNS. Ça affichait le vidéo « Rick Roll' »
Drôle !
via : https://twitter.com/AnonymouSpeak/status/512702368706617344
J'ai utilisé l'outil OpenVAS, trèèèèès complet, pour scanner un serveur.
Comme d'habitude, ce genre d'outil à tendance à mettre certaines choses en rouge, mais en considérant le contexte, on s'aperçoit qu'il n'y a pas de problème. Tout est souvent une affaire de contexte.
What ? Tor serait finalement vulnérable sur l'identité.
Intéressant.
Du hack relativement avancé de coffre-fort.
À voir : les appareils voleurs de piste magnétique de CB.
Très bon ce Tumblr : des gifs en tous genres sur le monde de la sécu (informatique)
via : https://twitter.com/crypt0ad/status/489505680202547201
Les recommandations d'un spécialiste (Bortzmeyer) pour générer sa clé PGP/GPG. Fascinant.
Très pratique cet outil pour tester sa connexion internet (notamment les tentatives de détournement, etc.)
C'est bizarre : de temps en temps j'ai besoin de réinstaller le root de CAcert (autorité de certification indépendante et en WOT, qui certifie notamment LinuxFR)
Peut-être les mises-à-jour Firefox ?
Désagréable en tout cas…
Celle-la aussi, pas mal :
« Q: How to generate pure random string? A: Put a fresh student in front of vi editor and ask him to quit. »
Tu nous entends le crack, tu nous entends ? Si tu nous entends, sois le bienvenu !
Non mais oh, y aurait besoin j'vous jure.
Kicélécon qui foutent 22 plaques là n'dans ?
EDIT parce que j'me poile bien :
- « Le meilleur gestionnaire de mots de passe et portefeuille numérique du monde »
- « Chiffré en AES-256, le meilleur standard du marché » (mais sans parler du crypto-système : si le mode opératoire est en ECB déjà on est bien)
- « Conservez tout dans votre portefeuille numérique, y compris vos cartes bancaires et vos reçus de paiement » Ma bite et mon couteau aussi ?
Bon, j'fais le rageu, mais si ça peut renforcer la sécurité globale, c'est positif. Sauf que les néophytes vont pas avoir l'idée d'utiliser ce truc, et les autres ont déjà souvent ce qu'il faut (?)
« Hier pendant 22 min, les DNS de Google ont été détournés »
Chaud.