JeromeJ's linksShaared links2015-02-08T15:36:36+01:00http://www.olissea.com/mb/links/1/http://www.olissea.com/mb/links/1/http://www.olissea.com/mb/links/1/ShaarliPassword Storage Cheat Sheet - OWASPhttp://www.olissea.com/mb/links/1/?LHBJ6w2015-02-08T15:36:36+01:002015-02-08T15:36:36+01:00— Permalink]]>Signing data with HMAC - sebsauvage.net- Snyppets - Python snippetshttp://www.olissea.com/mb/links/1/?MOWi1A2014-11-27T20:25:01+01:002014-11-27T20:25:01+01:00
Ton implémentation est non sécurisée. C'est mal car d'autres personnes risquent de s'en inspirer sans savoir les problèmes liés à cette implémentation.
1) " Warning - When comparing the output of hexdigest() to an externally-supplied digest during a verification routine, it is recommended to use the compare_digest() function instead of the == operator to reduce the vulnerability to timing attacks." https://docs.python.org/3.4/library/hmac.html#hmac.HMAC.hexdigest
2) "The digestmod argument to the hmac.new() function may now be any hash digest name recognized by hashlib. In addition, the current behavior in which the value of digestmod defaults to MD5 is deprecated: in a future version of Python there will be no default value. (Contributed by Christian Heimes in issue 17276.)" https://docs.python.org/3/whatsnew/3.4.html#hmac
Donc il faudrait mieux commencer à spécifier une valeur pour digestmod.
Comme suggéré par l'issue (1) et cette réponse sur SO (2), je proposerais d'utiliser SHA-256 ou SHA-512 comme suit :
(+ remplacer partout où il faut bien sure et ne pas oublier import hashlib)
(1) https://bugs.python.org/issue17276
"As of now the hash algorithm for HMAC defaults to MD5. However MD5 is considered broken. HMAC-MD5 is still ok but shall not be used in new code. Applications should slowly migrate away from HMAC-MD5 and use a more modern algorithm like HMAC-SHA256.
Therefore I propose that default digestmod should be deprecated in Python 3.4 and removed in 3.5. Starting with Python 3.5 developer are forced to choose a hash algorithm like SHA256. Our documentation shall suggest it, too."
However, this does not mean you should use HMAC-MD5 in new cryptosystem designs. To paraphrase Bruce Schneier, "attacks only get better, never worse." We already have practical collision attacks for MD5, showing that it does not meet its original security goals; it's possible that, any day now, someone might figure out a way to turn those into a preimage attack, which would compromise the security of HMAC-MD5. A much better choice would be to use HMAC with a hash function having no known attacks, such as SHA-2 or SHA-3."
— Permalink]]>Yahoo $250,000 daily fine over NSA data refusal was set to double 'every week' | US news | theguardian.comhttp://www.olissea.com/mb/links/1/?0Qt5TA2014-10-30T17:25:27+01:002014-10-30T17:25:27+01:00http://sebsauvage.net/links/?miNiXQ
Je sais pas ce qu'il en ressort depuis… Qqn sait ? Quid des agissements actuels de la NSA ? Quid de Yahoo ?
En tout cas c'est joyeux ce chantage de la NSA :/
— Permalink]]>Security: HTML password inputhttp://www.olissea.com/mb/links/1/?dkFcYw2014-10-18T21:06:54+02:002014-10-18T21:06:54+02:00
(Since they aren't supposed to be stored in raw form anyway and most (if not all?) hashing algorithm accept any size of password and always return unique constant length string)
So why HTML doesnt prevent bad ideas to be working? Like setting a maximum length on a password input… The way I see it, that would just not work and be reported in the console for debbugging purpose.
For the things I, so called "exceptions", I was thinking about PIN codes for instance. I could imagine letting HTML implements a new tag (or a new type of input tag) allowing a max length, but surely it would surely be abused though… Maybe those "PIN code" input should allow one fixed-length of password (as expected from a PIN code anyway and that would induce way less abuse too):
Finally, my browser (maybe some others too, mine is currently Palemoon, a implementation of Firefox) only prevent me to type more characters when I reach the maximum allowed by max-length, …, it doesnt warn me, it does nothing but preventing… The problem is that, if it was plain text, I could notice it easily, but as it is a password input and that my password is longer than the visible length of the field, then I have no fucking clue that what I'm currently typing is thrown away as I type it… -_-
So, some fucking warning would be appreciated at least!
— Permalink]]>security - How do you hide installed plugins in Firefox? - Super Userhttp://www.olissea.com/mb/links/1/?LUBgKA2014-10-12T18:17:38+02:002014-10-12T18:17:38+02:00
Peu de réponses … (Few answers)
— Permalink]]>How NOT to Store Passwords! - Computerphile - YouTubehttp://www.olissea.com/mb/links/1/?PYIPkA2014-06-23T17:53:51+02:002014-06-23T17:53:51+02:00
J'ai pas encore regardé le reste de la vidéo. :)
— Permalink]]>Shaarli.fr à la rescousse: Ghostery Also Helps the Ad Industryhttp://www.olissea.com/mb/links/1/?CPlRDw2014-05-28T23:12:14+02:002014-05-28T23:12:14+02:00
A Popular Ad Blocker Also Helps the Ad Industry | MIT Technology Review [5] http://www.technologyreview.com/news/516156/a-popular-ad-blocker-also-helps-the-ad-industry/
------------------------------------
Un article vous paraît louche ?
Vous voulez avoir l'opinion d'autres personnes, peut-être plus informées que vous ?
Bref, vous aimerez soit plus d'informations pour vous forger votre propre opinion et/ou vous n'avez pas trop envie de vous taper la lecture de ce tl;dr ?
Ben si vous avez de la chance, d'autres l'ont déjà commenté. Il y a plusieurs façons de vérifier ça. ☺
Comme par exemple, copier/coller le lien dans shaarli.fr.
Alors dans ce cas ci, je peux voir que des personnes ont, du coup, fuient Ghostery, mais sebsauvage nous donne, ce qui ressemble à, une analyse pertinente allant dans le sens opposé de l'article.
Et vu que l'article est tl;dr, je crois que je me fierais à sebsauvage et aux commentaires trouvé sur la source (commentaires que j'avais zappé, j'avais directement cliqué sur le lien, intrigué).
Via: https://news.ycombinator.com/item?id=7811455 — Permalink]]>Idea for PickyPaste from Bronco: Allonger la durée d'un past ?http://www.olissea.com/mb/links/1/?8MKNQQ2014-04-29T03:54:06+02:002014-04-29T03:54:06+02:00
ça permettrait de ne pas perdre direct le message si on n'a pas le temps d'y répondre dès la lecture ^^"
J'aime beaucoup l'idée (si je l'ai bien comprise), mais je ne vois pas trop (pas encore ?) comment on pourrait implémenter ça par contre…
(Le fait que PickyPaste utilise un zerobin externe au lieu d'être un fork de zerobin limite quelques possibilités ou rend les choses plus complexes...)
— Permalink]]>PickyPaste: Petite màjhttp://www.olissea.com/mb/links/1/?SPFZMg2014-04-17T13:47:25+02:002014-04-17T13:47:25+02:00
La version indev (le lien que je viens de passer), renvoie le lien vers la version indev, c'est mieux.
À la proposition de Bronco, j'ai rajouté un chtit lien "Répondre via PickyPaste" si l'utilisateur a spécifié son adresse email.
Voilà, c'tout.
— Permalink]]>Microsoft à la con, encore ! (Passwords)http://www.olissea.com/mb/links/1/?SFSvIA2014-04-17T13:27:35+02:002014-04-17T13:27:35+02:00
"Votre mot de passe ne peut excéder plus de 16 caractères" WTF?!!
"Votre mot de passe contient des caractères illégaux" RE-WTF?!!
Si c'est pas super évident qu'ils stockent les mots de passes en clair ces saligauds…
Oui, je sais, je devrais quitter le navire. Pff.
— Permalink]]>Fork bomb - Wikipedia, the free encyclopediahttp://www.olissea.com/mb/links/1/?UPdTVQ2013-12-01T01:58:41+01:002013-12-01T01:58:41+01:00
Ne vous faites pas avoir !
— Permalink]]>php:zerobin_discussion [sebsauvage] -> Indicateur d'expiration built-inhttp://www.olissea.com/mb/links/1/?2oKPiA2013-09-20T01:46:53+02:002013-09-20T01:46:53+02:00
* En effet, voyez-vous, ça induit un problème :
Si j'envoie un lien "Burn After Reading" sur un réseau non fiable, disons par exemple Skype, mais que l'information sur quand il expire serait elle-même contenue dans l'URL.
Alors, le méchant réseau (ça pourrait très bien être chez vous, à votre boulot, etc. = tout ce qui n'est pas chiffré bout-à-bout) pourrait éventuellement récupérer cette date d'expiration et tenter de l'ouvrir juste avant expiration.
De cette manière si vous avez oublié de l'ouvrir, il peut aisément savoir le moment le plus propice pour l'ouvrir sans risquer de se faire chopper.
En effet il est très peu probable que vous parveniez à l'ouvrir entre le moment où il l'a ouvert et le moment où il a expiré, tout au plus, cela vous laisserait seulement avec un doute qu'il se peut qu'il y ait eu un lag ou que les horloges entre vous et le serveur soient un peu décalées mais qu'au final, dans tous les cas, vous êtes peut-être arrivé un peu trop tard (Fin bref ça reste quand même extrême).
* SOLUTION:
La solution serait, je pense, et afin de ne pas être obligé de garder la métadonnée (quand ce paste était censé expiré) même après suppression du contenu des pastes expiré (pour clean up) d'avoir une clée privée côté serveur et d'avoir l'information de quand le paste devait expiré chiffré dans l'URL du paste et envoyé au serveur lors de la tentative de récupération du paste. Alors, si le serveur ne peut pas servir ce paste, il déchiffre l'information stockée dans l'URL (seul lui le peut, car elle aura été chiffré par sa clé publique) et il affichera l'information.
De cette manière on garde la fonctionnalité sans donner un moyen facile pour un réseau espion d'exploiter une faille potentielle.
(Seule faiblesse que je vois c'est que la clé privée privée du serveur est unique, y aurait-il moyen de, plutôt, la lier à l'id du paste ?
Genre peut-on créer une paire de clé à partir de "salt du serveur (privé, unique) + id du past" qui servirait à chiffrer l'info de façon unique pour chaque paste ?)
— Permalink]]>Shaarlo - Recherche: Cryptocathttp://www.olissea.com/mb/links/1/?MUqofQ2013-07-18T22:22:53+02:002013-07-18T22:22:53+02:00
Ça serait maintenant corrigé en tout cas :/
Euh, vive OTR ?
— Permalink]]>Note : en utilisant Chrome, vous envoyez vos mots de passe à Google... - Liens en vrac - Liens en vrac de sebsauvagehttp://www.olissea.com/mb/links/1/?2Bs0SA2013-07-14T11:15:29+02:002013-07-14T11:15:29+02:00
Vous vous attendiez à quoi de la part d'un produit créé par ce big bro géant ? :)
(Hello Google, je ne t'aime pas ! Oups, désolé)
— Permalink]]>Full Disclosure: Flashblock Bypasshttp://www.olissea.com/mb/links/1/?FWbjlw2013-06-30T02:21:19+02:002013-06-30T02:21:19+02:00
Faut également espérer que la manie ne se répande pas.
Dans un premier temps, perso, j'ai pas installé Flashblock pour ma sécurité. Pour avoir le choix d'abord et aussi pour éviter qu'il me lance plein de vidéos d'un coup lorsque j'ouvre plusieurs onglets Youtube par exemple.
(Je crois que NoScript est plus efficace à ce petit jeu, reste plus qu'à améliorer NoScript pour qu'il fonctionne sur base des md5 (par exemple) plutôt que par domaines (fin, ou les deux, mais perso je pref me baser sur l'identification d'un script, comme ça même si le site est compromis, j'suis safe))
EDIT: Bon, vu que ça a quand même une vocation d'identifier de façon sûre les scripts pouvant être exécuté, pierreghz me fait remarquer qu'utiliser SHA2 serait plus judicieux que MD5 vu qu'on a déjà détecté des collisions avec MD5.
— Permalink]]>Panopticlickhttp://www.olissea.com/mb/links/1/?K2HmBw2013-06-28T03:04:59+02:002013-06-28T03:04:59+02:00
Beaucoup de mes amis étaient, tout comme moi, tristement uniquement identifiable uniquement basé sur votre 'profil' (les plugins que vous utilisez, etc …)
Et vous quel est votre score ?
Je vous conseille de désactiver tous les plugins inutiles qui auraient pu s'installer sur votre PC, d'installer flash block.
PS: Je sais que j'en ai déjà parlé mais c'était au milieu d'un long roman :) Voilà qui est bien plus propre !
— Permalink]]>FreeNet, TOR, I2P: Même combat - sebsauvage.net - Les trucs qui m'énervent - - Liens en vrac de JeromeJ - Liens en vrac de sebsauvagehttp://www.olissea.com/mb/links/1/?v3_Q7Q2013-06-28T02:50:58+02:002013-06-28T02:50:58+02:00https://en.wikipedia.org/wiki/Web_of_Trust ??
Il y a moyen de créer des réseaux de confiance (un peu comparable à ceux qu'on peut faire en vrai et/ou sur shaarli :p) et, au pire - ou plutôt au mieux ? Je sais pas … - le premier certificat validé pourrait très bien être validé IRL, non ?
Si tu vois où je veux en venir … C'est assez robuste les réseaux de confiance (de ce que j'en connais / comprend)
[btw: le lien que je donne au début ne parle pas "exactement" de ça je crois, mais plutôt dans un cadre spécifique ??)
— Permalink]]>FreeNet, TOR, I2P: Même combat - sebsauvage.net - Les trucs qui m'énervent -http://www.olissea.com/mb/links/1/?JBVb8Q2013-06-27T04:21:39+02:002013-06-27T04:21:39+02:00
Et si tu ne te sers de TOR que pour la consommation passive ? ;) (ou pour diffuser "anonymement" évidemment, mais pas pour les connexions authentifiées)
À part une attaque man-in-the-middle qui remplacerait le contenu finale, tu as bien dit que le nœud de sortie ne peut pas savoir qui a émit la requête, etc ?
Et (ça ne va faire que la 3ème fois que je pose la question du coup (également dans mes 2 shaarliens précédent ^^)), il n'y pas moyen d'être "safe" via SSL ? :)
Sauf si, comme je le crains mais je n'en suis pas sûr, SSL ne signe pas les données qu'on envoie, il les chiffre juste pour le destinataire (enfin ça rendrait la substitution de données quand même plus délicate sauf si il s'agirait d'une requête atypique (donc pas besoin de connaître la nature du paquet émis, on le remplace juste par le notre))
— Permalink]]>Note: TOR c'est …http://www.olissea.com/mb/links/1/?GSHlXg2013-06-27T03:54:07+02:002013-06-27T03:54:07+02:00http://sametmax.com/deux-conneries-a-la-seconde/ ) qui nous protège bien mieux qu'une connexion directe en général.
Si je comprend bien son fonctionnement , je préconise quand même d'utiliser SSL (https) lorsque c'est possible (même si je ne suis pas sûr que ça puisse empêcher les attaques Man-In-The-Middle - voir mon précédent shaarlien).
Personnellement, j'utilise "TOR in a box" : https://www.torproject.org/dist/torbrowser/tor-browser-2.3.25-8_en-US.exe (via PoGo)
Il fournit NoScript par défaut même s'il n'est pas activé par défaut (je vous le conseille vivement). (NoScript ne permet pas le filtrage par somme md5 des scripts ? MAIS C'EST NUL de pouvoir filtrer uniquement par domaine -.- surtout si il y a une attaque man-in-the-middle)
Il y a moyen de visionner des vidéos flash avec TOR même si cela est déconseillé. Si vous le faites veillez bien à installer BetterPrivacy en plus … ça reste pas génial.
Perso j'ai aussi installer flashblock (inutile dans ce cas je pense car flash requiert toujours un démarrage manuel comparable à celui demandé par flashblock en temps normal)
Pourquoi je suis passé à TOR : https://panopticlick.eff.org/ Être détectable de façon unique sur l'entièreté de leur base de données (plus de 3M) … ça fait mal.
Pour limiter les dégâts (mais c'est malheureusement pas suffisant), désactivez tous les plugins à la con qui servent à rien (dans Firefox : Tools > Add-ons > Plugins), perso je n'ai gardé que flash (avec flash block)(un des plus traître avec Java) et le plugin VLC.
Vous pouvez aussi passer en navigation privée (avec Firefox : File > New private windows, mais la fonctionnalité est disponible avec les autres navigateurs aussi) mais pour ma part ce qui me gêne le plus alors est de ne pas pouvoir restaurer ma session en cas de crash (vu le nombre d'onglet que j'ai d'ouvert (+ de 200), ça m'énerverait).
Donc TOR est, selon moi, l'idéal pour pas mal de choses. Ou plutôt … le moins pire :)
Je reste quand même avec Firefox ouvert d'un côté et Firefox+TOR de l'autre pour utiliser l'un plutôt que l'autre en fonction des circonstances.
J'aimerais quand même bien un réseau de confiance perso (mais certains me diront ptet que ça c'est … inutile ?)
— Permalink]]>Note: Questions sécuritéshttp://www.olissea.com/mb/links/1/?YKHzTQ2013-06-27T03:52:02+02:002013-06-27T03:52:02+02:00
(02:44:19) jeromej: Tiens par défaut TOR in a box n'est configuré pour être uniquement un client ? :o
(02:44:28) jeromej: je comprend pas les autres options par contre ...
(02:45:12) jeromej: quoique .. par contre je sais pas trop quoi choisir
(02:45:51) jeromej: non-exit relay, exit-relay ou "aider les utilisateurs censurés à accéder au réseau Tor"
Que choisir ?
______
(20:39:03) jeromej: quand on utilise SSL (https), ça chiffre avec la clé publique du site pour que l'information ne puisse pas être lue par d'autres, right ?
(20:39:45) jeromej: mais quid d'une attaque Man In The Middle ??? que je sache (mais je trompe ptet), le message en plus d'être chiffré pour le destinataire, n'est pas signé avec ma clée privée ?
(20:40:02) jeromej: donc il pourrait y avoir une subsitution des données sur leur trajet, non ?
(20:40:10) jeromej: (surtout dans le cas de TOR ?)
— Permalink]]>France : Un nouveau décret autorise la police à tirer à balles réelles sur les manifestants - AgoraVox le média citoyenhttp://www.olissea.com/mb/links/1/?tpx00Q2013-06-24T22:57:00+02:002013-06-24T22:57:00+02:00— Permalink]]>WOT for Blogs - Wordpress Plugin | WOT (Web of Trust)http://www.olissea.com/mb/links/1/?dmTXoA2013-05-22T21:02:38+02:002013-05-22T21:02:38+02:00http://www.warriordudimanche.net/article159/google-vous-ment-googol-vous-prend-pas-pour-un-hon#c1369242188-1
Tiens, ça me fait penser que ça serait sympa (et surement pas compliqué à implémenter soit-même) que je me fasse un mini-plugin maison pour marquer les liens extérieurs sur mon forum. D'ailleurs WOT prévoit peut-être déjà cet éventualité.
(via http://links.kevinvuilleumier.net/?lqQeAA )
— Permalink]]>Dukgo XMP + Pidgin + Plugin OTRhttp://www.olissea.com/mb/links/1/?43e1Og2013-05-21T17:29:03+02:002013-05-21T17:29:03+02:00
C'est quand même un peu plus complet que Cryptocat mais ça demande plus d'étape pour mettre en place :/
1) Installer Pidgin
2) Me créer un compte Dukgo XMP
[Facultatif: Rajouter le plugin Skype pour tous mes contacts qui sont toujours sur Skype. Comme ça je n'ai pas besoin d'utiliser Skype ET pidgin. (En fait, Skype doit quand même tourner en tache de fond, hélas, à cause de son protocole fermé, mais il se fait discret)]
3) Installer et configurer le plugin OTR
J'ai mis ces infos (avec les liens nécessaire) dans l'ancien tuto qui permettait de passer à une ancienne version de msn, mais vu que feu msn n'est plus, le tuto n'avait plus vraiment lieu d'être, mais au lieu de le supprimer, je me suis dit que je pourrais plutôt proposer aux gens de les aider à migrer vers des alternatives libres pour ne pas dépendre de Microsoft & co.
(Si vous voulez mon adresse dukgo, vous pouvez toujours me la demander en PV ( http://www.olissea.com/contact.php ) ou la devinez ;) elle est assez simple)
— Permalink]]>One-Time Pad Reinvented To Make Electronic Copying Impossible | MIT Technology Review - Liens en vrac de sebsauvagehttp://www.olissea.com/mb/links/1/?tm3q1w2013-05-21T05:51:32+02:002013-05-21T05:51:32+02:00— Permalink]]>1970 : no password - Une contre-histoire des Internets - ARTEhttp://www.olissea.com/mb/links/1/?sbFDow2013-05-15T06:37:36+02:002013-05-15T06:37:36+02:00
C'est marrant et pas bête du tout comme idée, nous qui nous préoccupons tant de la sécurité ces temps-ci, ça nous semble presque évident.
À méditer donc :)
— Permalink]]>Note: Q: Solution contre les failles non corrigées ??http://www.olissea.com/mb/links/1/?6NepAg2013-05-09T02:01:14+02:002013-05-09T02:01:14+02:00
Devenir un white hat ? (Mais c'est illégal …) S'introduire dans le système, réparer, et refermer derrière soit ?
Car c'est quand même triste de devoir assisté presque impuissant à une faille potentiellement très dangereuse pour vous et le reste du monde qui passerait sur ce site (toujours dans l'exemple) :/
— Permalink]]>Et flûte - sebsauvage.net - Les trucs qui m'énervent -http://www.olissea.com/mb/links/1/?2vzs0w2013-04-28T10:02:20+02:002013-04-28T10:02:20+02:00
" PS: C'est là où les signatures électroniques prennent tout leur sens. Je rêve d'un web où les sites web et navigateurs intègreraient les signatures OpenPGP, aussi bien pour les contenus créés par les internautes que pour les pages web. Vous auriez la possibilité de vous assurer de manière absolument certaine qu'un message ou un fichier provient bien d'un internaute. Et cela de manière automatique (votre navigateur pourrait distinguer à l'affichage les messages authentifiés et ceux qui ne le sont pas.) Cela empêcherait même les webmasters de modifier les messages des internautes sans que ça se voit. "
Ah, la dernière partie c'est pas con du tout, ça m'intéresserait pas mal même :o
J'ignore s'il y aurait moyen de faire ça de façon fiable à 100% ou si ça devrait quand même reposer sur la confiance qu'on ferait à l'hébergeur … (à moins que le client soit local (et non servi par l'hébergeur) et que chaque personne aurait un duplicata clé-message signé sur un serveur personnel ? ou quelque chose dans le genre ptet)
(via http://lehollandaisvolant.net/index.php?mode=links&id=20130428003649 )
— Permalink]]>Le Captcha des droits de l’Homme | Korbenhttp://www.olissea.com/mb/links/1/?ewRZXg2012-10-10T01:04:43+02:002012-10-10T01:04:43+02:00
Ça changerait du captcha à la con de Google (dont j'ai bien envie de me débarrasser). Malheureusement ce n'est qu'en anglais pour le moment :/
Et de toutes façons, dans un cas comme dans l'autre va aussi falloir qu'on se build une alternative locale (simple et pas "spéciale") pour ne plus dépendre de sites externes. Si jamais ils tombent ou arrêtent leurs services, on serait bien bien embêté :x
— Permalink]]>