On poursuit encore dans la descente en disgrâce et en justifications absurdes de Clubic.
"Crois moi que nous sommes conscient des désagréments provoqués par ce downloader et n'essayons pas, en plus, de le pousser en avant à tout pris."
Si vous regardez le sujet original (http://www.clubic.com/forum/logiciel-general/informations-sur-le-gestionnaire-de-telechargement-clubic-id916281-page1.html#1803269097) vous pouvez voir cette image (http://image.clubic.com/01219667-photo-photo.jpg) où là, non non, le téléchargeur n'est pas DU TOUT mis en avant à tout prix. Absolument pas. Puisqu'on vous dit que non, enfin !
Et vérifiez par vous même, pour télécharger Firefox (http://www.clubic.com/telecharger-fiche11003-mozilla-firefox.html) que noooooooon, le téléchargeur n'est pas DU TOUT mis en avant en gros orange avec un lien ridicule en dessous pour télécharger la version sans leur merde.
Vas-y Clubic, rame plus fort, t'es presque sur le rocher.
(alors par contre, j'ai une interface différente sous mon Linux et dans ma VM Windows, c'est chiant pour les impressions d'écran, tant pis)
Ah oui quand même...
Du bon gros piratage des familles... Avec 4 films en exclusivité ^^
Réponse de Clubic, qui s'enfonce encore plus.
Point "les méchants bloqueurs de pub" : "l'utilisation massive de bloqueur de pub pèse sur nos revenus" => en même temps, si c'est pour prendre des décisions aussi dégueulasses, je risque pas d'autoriser la pub...
Point "l'élite n'est pas touchée" : "Je rappelle que les membres n'ont pas ses désagréments" (au passage, il admet donc que c'est un DÉSAGRÉMENT, bien joué !) ;
Point "c'est juste pour tester" : "nous ne [...] faisons ces test que sur une partie de la logithèque". Regardez la liste des logiciels concernés :
"Juste une partie de la logithèque", certes, mais, comme de par hasard, la partie la plus téléchargée.
Clubic cherche de nouvelles sources de revenues. Et il en a trouvé une : vous.
Du coup, adios !
Ah bah voilà, Clubic se met aussi aux PUPs.
Mais allez bien vous faire foutre bande de cons.
Un antispyware qui détecte spécifiquement les spyware gouvernementaux (que les éditeurs d'antispyware classiques laissent passer). Édité par l'EFF.
Très très utile et à installer sur chaque poste.
(via sebsauvage)
Oh. Bien joué.
Même si je ne comprends pas vraiment comment il récupère une connexion stable en foutant une règle iptables sur son serveur, mais bref.
À noter qu'il existe une protection contre les attaques SYN flood dans le kernel Linux. Pour l'activer, entrez la commande :
sysctl net.ipv4.tcp_syncookies=1
Pour que ce soit actif au redémarrage de la machine (donc une fois que vous avez vérifié que l'activation ne vous posait pas de problème) éditez le fichier /etc/sysctl.conf et ajoutez la ligne suivante :
net.ipv4.tcp_syncookies=1
(en root, tout ça, évidemment)
Vous pouvez aussi utiliser iptables de manière plus globale pour vous protéger, plutôt que de rechercher les IP fautives :
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j RETURN
Cela va limiter le nombre de paquet "SYN" autorisé par connexion, ici 1 par seconde (ce qui est très largement suffisant pour une communication normale)
Je dois m'inscrire en faux sur les mises à jour automatiques.
Une mise à jour automatique, c'est très bien pour un poste client. Pour un serveur, ça peut se révéler catastrophique.
Pour la gestion d'un parc de serveurs, un système de vérification/test/qualification des mises à jour à déployer est nécessaire. Ensuite, ces mises à jour sont pushées sur les serveurs ou non. C'est notamment vital pour des serveurs sous Windows (Microsoft dispose d'ailleurs d'un tel système de validation/propagation des mises à jour, encore faut-il pouvoir le mettre en place), mais ça ne l'est pas moins pour des systèmes sous Linux ou BSD.
Tu ne peux pas te permettre de planter une prod automatiquement, tous les automatismes sur une prod doivent être blindés et monitorés.
Pour illustrer mon propos, un exemple. Tu installes MySQL sur une machine à partir des dépôts. Il y a un bug mineur sur cette version, tu développes un workaround. MySQL est mis à jour lors de ta mise à jour automatique le Dimanche, corrigeant ce problème mais rendant ton workaround non fonctionnel. Le Lundi matin, tu as une prod de plantée. Et bonne semaine ! :p
Tu as plusieurs façons de gérer le problème des mises à jour critiques et les failles 0-day révélées.
Déjà, en général, tu as toujours un moyen publié de mitiger ton problème pour les serveurs "ne pouvant être arrêtés". Tu peux aussi utiliser des firewalls applicatifs de type Beeware (http://www.bee-ware.net/fr) ou DenyAll (http://www.denyall.com/) et entrer directement des règles qui vont bloquer en partie les attaques ou les atténuer.
Tu peux aussi décider qu'en raison de la gravité de la faille, tu appliques la mise à jour immédiatement ou en dehors des heures de bureau (pour ce dernier point, ça peut être un problème lorsque tu es en multi-site à travers le monde ^^).
Globalement, il y a une raison pour que, dans les grandes structures, on sépare les sysadmins de la sécurité : les premiers s'appliquent à installer, configurer, maintenir et supporter les systèmes, les autres s'occupent de leur sécurité (et agissent de conserve avec les sysadmins).
La sécurité, c'est un vrai métier à part entière. Dans les faits, il incombe la plupart du temps aux sysadmins, par manque de moyen (voulu ou subit) investi dans ce domaine. Est-ce une raison pour activer les mises à jour automatique "wild" sur tous ses serveurs ? À mon sens, non. Par contre, la sécurité doit être un sujet primordial, ça on est d'accord. Il y a plein de moyens de gérer ça efficacement.
GG OVH en tout cas :)
Ah bah bien !
Si vous avez une carte NFC, a priori on peut vous tirer bien plus de 20€, et ce sans contact. Genre dans le métro, sans vous toucher, hop ! 100€ qui s'envolent.
C'est cool hein ? :D
(perso j'ai choisi la première solution : me battre avec ma banque pour réclamer une carte sans NFC)
Ah oui, je m'amuse à ça régulièrement.
Pour faire court : lorsque vous créez une URL avec, dedans, l'ID de l'objet/élément que vous voulez afficher, cela signifie que si on entre manuellement un ID à la place d'un autre, on peut afficher cet objet/élément.
Rien de bien grave en soi, puisqu'il existe des systèmes pour vérifier qu'un utilisateur a bien accès au contenu demandé, ou qu'il s'agit d'un usage qui n'est pas problématique (site marchand qui affiche un produit, etc.)
Le problème, c'est quand votre ID est auto-incrémenté : lorsque vous ajoutez un élément, son ID augmente de 1 par rapport au dernier élément inséré. Dans l'exemple cité dans l'article, il est ainsi possible de parcourir les annonces facilement, y compris les anciennes qui ne sont pas directement disponibles depuis un lien du site. Et d'en déduire combien d'offres d'emploi ont été publiées. Pour le site de l'exemple, c'est 1050. En un an. Du coup, ça donne une idée de comment marche le site, une idée de son chiffre d'affaire, etc.
Bien pire que ça cependant : les développeurs qui utilisent des identifiants de session auto-incrémentés. Connectez vous à un site qui utilise un tel système, puis ajouter ± 1 à votre identifiant de session : vous voilà connecté avec la session d'un autre. Magique non ?
Bref, les ID auto-incrémentés dans les URL, c'est le mal. Utilisez des UUID ou des URL "user-friendly".
Vous avez toujours voulu vous intéresser à la cryptographie mais vous trouvez ça trop complexe ?
Voici un site (oui, bon, moche, ok, mais on s'en fout) expliquant, avec exemples et démonstration, comment marchent certains algorithmes de chiffrement.
Ah oui, et tant qu'on y est à faire le ménage dans les trucs malsains, virez moi Chrome aussi, tant qu'à faire...
Un (long) guide sur comment gérer les formulaires de login, notamment pour éviter les brute force.
À lire absolument dès l'instant que vous allez coder un formulaire de login.
Oh putain de merde... Le développeur de Freenet (un réseau de diffusion de contenu anonyme permettant un anonymat total) pourrait être forcé, si la loi britannique passait, d'inclure une backdoor (une "porte dérobée" permettant, entre autre, l'intrusion du système par un tiers) dans Freenet...
Notez bien que si ce réseau est en effet utilisé par des pédophiles, des nazis et des terroristes, il est aussi utilisé par des nombreux journalistes et dissidents dans les dictatures à travers le monde, et notamment par tous les dissidents chinois. Une backdoor dans Freenet pourrait donc être très facilement détournée par, mettons, le gouvernement chinois, afin de trouver et abattre les journalistes.
L'heure des développeurs anonyme arrive. Et elle est poussée par l'Occident, censé "protéger les libertés". Qui y croit encore, mh ?
Les pacemakers et défibrillateurs implantés sont déjà vulnérables aux attaques numériques. En cause ? L'interface sans-fil permettant la maintenance qui n'est pas sécurisée.
Si vous possédez un tel implant, n'importe qui peut d'ores et déjà vous tuer à distance, sans autre arme qu'un PC.
Le jour où ces implants seront connectés à Internet "pour un suivi à distance sans vous déplacer à l'hôpital" avec de telles interfaces vulnérables, qu'elles auront toutes une jolie petite adresse IPv6 et que les constructeurs seront aussi réactifs qu'actuellement sur la sécurité (c'est à dire PAS), préparez vous à voir plusieurs centaines de milliers de morts..... d'un coup.
Et ce grâce à un simple PC. On ne vous l'a pas dit ? Ça fait plus de 10 ans que la "cyber war" de vos films est commencée...
"De toute façon, si mon PC est hacké, je m'en fous, il n'y a rien de valeur dessus".
Vous n'avez pas idée de comment on peut valoriser un PC hacké... Même un sorti d'usine...
Ça y est, c'est officiel, SHA3 sera Keccak ! Victoire européenne donc ;)
SHA2 était déjà très performant et on n'a pas encore réellement besoin de SHA3, mais au moins l'avenir est défini. L'énorme avantage de Keccak est qu'il se base uniquement sur des opérations XOR, AND, NOT et utilise uniquement des rotations de bits, ce qui le rend extrêmement rapide.
Pour les béotiens, les opérations XOR, AND et NOT sont des opérations logiques ("ou exclusif", "et", "non") qui sont les opérations les plus basiques qu'un ordinateur puisse faire. La "rotation de bit", si vous ne comprenez pas ce terme, ça revient à multiplier un nombre par des puissances de 2, en gros. Sauf qu'il n'y a pas réellement de "calcul" derrière, on manipule juste la représentation binaire d'une donnée (ce qui fait qu'on peut appliquer cette "multiplication" à toute donnée).
Excellent ! Il faudrait faire plein d'opérations comme ça pour que ça ait un réel impact mais vraiment excellent...
Amis journalistes, faites gaffe, un virus a spécialement été créé pour vous, et financé avec l'argent public.
(au passage, j'en profite pour souligner que ce virus concerne aussi Mac OS, donc votre éternel "il n'y a pas de virus sous Mac" ne tient pas)
Mettez à jour Firefox, Thunderbird et SeaMonkey (il y a encore des utilisateurs de ça ?). C'est un ordre !
Un exploit 0-day sur Java.
Désactivez Java dans vos navigateurs.
Mouahahahaha ! "Le format propriétaire permet une meilleure sécurité" "l'iPhone est le mobile le plus sûr" MON CUL OUAIS !
Ils arrivent à créer des failles dans un protocole qui n'en contient pas ! CHAPEAU BAS !
Et puisque PPTP est mort, quel VPN choisir ?
Évidemment, je dirais "aucun sauf celui que vous avez vous-même mis en place". Mais pour le "commun des mortels", il faut parfois faire confiance à un prestataire et donc le choisir avec soin. Zythom en fait un billet.
Un résumé assez complet des conséquences pratiques du cassage de MS-CHAPv2.
PPTP est définitivement mort, il ne faut plus DU TOUT l'utiliser. PEAP est affaibli.
Mouais. Il ne faut JAMAIS laisser le mode debug activé. Ces méthodes ne fonctionnent donc que si vous vous baladez avec une faille de sécurité béante dans votre téléphone (bon, en même temps, un mobile EST une faille de sécurité, mais c'est pas une raison pour laisser faire n'importe quoi).
Houuuuuula, du lourd du lourd du lourd Hydra...
Un système d'authentification unique intéressant.
Il y a juste à entrer son login/mail/whatever et ça envoie un mail avec un token à très courte durée de vie dans un lien de connexion.
Plus qu'un seul mot de passe à retenir : celui de sa boite mail.
Intéressant, je vais ptet le proposer en option sur mon site, à voir.
Je pose ça là, il faut que je teste (système d'envoi de messages de manière totalement anonyme)
C'est l'éducation technologique et l'implication minimum dans la défense de sa propre liberté qui permettra à chacun d'être libre sur le net et de le rester.
Besoin de discuter de manière sécurisée ? Ce site propose un chat chiffré côté client (c'est votre machine qui crypte) et efface les conversations 30 minutes après leur fin. Les responsables du site n'ont pas accès en clair à votre conversation (elle est stockée chiffrée sur leurs serveurs) et une interception des flux sur le réseaux ne permettrait pas de connaître le contenu de la conversation.
Toujours utile.
Les USA sont tellement sujets aux tireurs isolés qu'ils font des vidéos pour donner des instructions aux personnes qui pourraient se retrouver confrontées à un tel acte...
Intéressant et effrayant.
Voilà POURQUOI il faut apprendre comment marche la technologie à TOUS. Le savoir, c'est savoir se protéger de sa naïveté.
À tous ceux qui m'ont demandé "mais pourquoi il y a un bout de scotch sur ta webcam".
À tous ceux qui ont rigolé lorsque j'ai expliqué pourquoi. ("mais non, qui en a quelque chose à foutre de pirater un PC pour voir une webcam")
Voilà une deuxième réponse.
De la stéganographie (dissimuler un message dans un autre message compréhensible par tous) en Javascript.
Mais putain de connards ! Même les tokens hardware ne sont plus sûrs à cause.......... des fabricants qui ne respectent pas les normes les plus basiques de la cryptographie ! :'(
"Le vote électronique... Cette merveilleuse invention qui doit probablement donner envi de vomir à tous les informaticiens de la planète."
Juste +1. Tas de cons...
Un mec des labs d'AVG (un antivirus) était en train d'étudier un cheval de Troie lorsque le hacker s'est mis à discuter, via ce trojan, avec lui... Assez inédit ^^
Pas toujours évident de protéger sa vie privée. Et lorsqu'on fait preuve de négligence, ça peut vite courir à la catastrophe. Lorsque vous mettez en place un système, n'y mettez pas vos nom et prénom et évitez au maximum de diffuser cette information ; si vous le faites, assurez vous de bien comprendre les risques, les tenants et aboutissants et si vous avez un doute, faites vous aider.
Dans cet article, quelques exemples (tout à fait probables, la déstabilisation est en général un élément important pour obtenir ce que l'on veut) de ce qui aurait pu se passer avec un simple Bluetooth branché...
(rappel : n'entrez jamais votre nom dans un paramètre de votre ordinateur, notamment lorsque vous ne le maîtrisez pas à fond ; utilisez le pseudonymat ou, à défaut, simplement votre nom)
Le Top 10 des mots de passe LinkedIn... Affligeant.
Mettez bien à jour vos MySQL et pensez bien à double-checker que vous n'écoutez qu'en local (ou alors sur un range d'IP bien déterminé) !
Une estimation des coûts pour craquer des mots de passes hashés/chiffrés. Intéressant.
Ho putain. Et ils utilisent ces systèmes pour gérer l'eau et l'électricité en France ? Ce sont de vraies passoires ! C'est limite si on ne peut pas contrôler une pompe à eau juste en connaissant son IP ! Attention DANGER !
Après LinkedIn et eHarmony, changez aussi votre mot de passe Last.fm. Tout de suite.
Le virus Flame s'est auto-détruit en réécrivant les secteurs des disques où il était avec des bits aléatoires pour ne pas se faire récupérer et analyser. Super bien joué (et bravo pour avoir pensé à une commande d'auto-destruction)
Pour tester si votre mot de passe LinkedIn fait partie des mots de passe ayant fuité.
(j'ai regardé rapidement le code source de la page, le mot de passe n'est pas envoyé en clair, juste le hash est envoyé)
(enfin bon, faites le avec votre ancien mot de passe et APRÈS avoir changé votre mot de passe LinkedIn hein...)
Vous avez un compte LinkedIn ? Changez votre mot de passe TOUT DE SUITE !
Fox News, ce temple de la désinformation, de la connerie, de l'absurdité et de l'incompétence...