Une #faille de sécurité 0day dans #ie concernant les versions 6 a 11
▻http://www.nextinpact.com/news/87258-toutes-versions-dinternet-explorer-touchees-par-faille-critique-0-
Une #faille de sécurité 0day dans #ie concernant les versions 6 a 11
▻http://www.nextinpact.com/news/87258-toutes-versions-dinternet-explorer-touchees-par-faille-critique-0-
terminal-webcam/README.md at master · mustafaakin/terminal-webcam · GitHub
▻https://github.com/mustafaakin/terminal-webcam/blob/master/README.md
a webcam that can be run on a bare terminal, please maximize your terminals!
Un petit #exposé de 2h sur la vie privée sur Internet.
▻http://emersion.fr/project-la-vie-privee-sur-internet.html
#vie-privée #nsa #privacy
Mise a jour de gandi-dyndns, avec un cache local pour ne pas appeler l’#api de #Gandi toutes les 5min. :-)
►https://github.com/emersion/gandi-dyndns
#dns #auto-hébergement #cccp
Pirater, c’est voler ?
▻http://youtu.be/RlXu62DjI1Y
gandi-dyndns - un outil pour configurer un nom de domaine avec une IP dynamique chez Gandi.
Si vous avez une Livebox, l’IP est récupérée sur la page de gestion de la box, Sinon, des services externes sont utilisés, ou ajoutez le script pour votre box !
►https://github.com/emersion/gandi-dyndns
#gandi #dyndns #dynamic #ip #dns
@seenthis seenthis.net en HTTPS, c’est tout cassé :-( (blocage des ressources en HTTP)
Une batterie de portable qui se charge en 30s. ? Ça existe maintenant.
▻https://pr.blonde20.com/storedot
Happy 0-day to you
Happy 0-day to you
Happy 0-day dear Internet
Happy 0-day to you !
Test your servers for Heartbleed (CVE-2014-0160) : ►http://filippo.io/Heartbleed
Upgrade your servers today !
Other test tool online: ▻http://possible.lv/tools/hb
And a command-line tool, to run locally (warning: only HTTPS and SMTP currently) ▻https://gist.github.com/takeshixx/10107280
And to see if you are attacked/probed ▻http://seenthis.net/messages/245316
Another command-line tool, in Go ▻https://github.com/titanous/heartbleeder
The excellent online site ▻https://www.ssllabs.com now also tests the HeartBleed vulnerability.
@Fil SeenThis en HTTPS a bien d’autres problèmes : The certificate is not trusted because it is self-signed. The certificate is not valid for any server names. The certificate expired on 01/12/12 16:37. The current time is 04/09/14 10:01.
Test your server with nmap : ▻https://svn.nmap.org/nmap/scripts/ssl-heartbleed.nse
Et la démonstration pratique : récupération de la clé privée SSL d’Nginx...
▻https://www.youtube.com/watch?v=BdQTnysDnjA
Tu as lu ceci :
– ▻https://code.launchpad.net/~elementary-apps/granite/documentation
– ▻http://valadoc.elementaryos.org/granite/Granite.Widgets.html
– Un peu plus général, sur le Vala : ▻http://www.valadoc.org/#!api=gtk+-3.0/Gtk.Button
– Petit post de blog : ▻http://blog.desdelinux.net/granite-framework-valagtk
?
Bon après, j’ai pas trop fouillé...
Test if you are currently attacked/probed by #HeartBleed:
With the IDS #Suricata
▻http://blog.inliniac.net/2014/04/08/detecting-openssl-heartbleed-with-suricata
With the IDS Snort
▻http://blog.fox-it.com/2014/04/08/openssl-heartbleed-bug-live-blog
With Wireshark
tshark -i eth0 -R "ssl.record.content_type eq 24 and not ssl.heartbeat_message.type"
Suite à la #censure de l’Internet, via le #DNS, en #Turquie, qui a mené à l’arrêt de Twitter hier, les opposants « taguent » les adresses IP de résolveurs alternatifs (ici, Google Public DNS) sur les murs.
▻https://twitter.com/enginonder/status/446819815106576384/photo/1
▻https://twitter.com/DurBirDinlee/status/446941544088891392/photo/1
Le nombre de tweets en provenance de Turquie n’a pas baissé... ▻http://www.businessinsider.com/turkeys-twitter-block-fails-2014-3
Un autre amusant, une affiche collée dans la rue expliquant comment changer sa configuration DNS pour éviter la censure ▻https://twitter.com/fraksiyon_org/status/447013185816518656/photo/1
Aaaah ce petit côté jouissif quand internet fait des bras d’honneur à la censure, allez, une #bonne_nouvelle pour aujourd’hui !
et un #TurkeyBlockedTwitter
Liste des sites bloqués :
▻http://engelliweb.com/i
Et la suite de la course aux armements : ►http://seenthis.net/messages/242159
Et mon exposé de synthèse à FRnog, après le détournement de Google Public DNS par le gouvernement turc : ▻http://www.bortzmeyer.org/turquie-dns-frnog.html
La ville dessinée - Emersion
▻http://www.emersion.fr/project-la-ville-dessinee.html
De @emersion
La ville dessinée. (ou le dessin sans limite)
C’est parti du célèbre jeu « Sim City ». On a dessiné une feuille, puis on s’est très vite rendus compte qu’on pouvait continuer sur une autre puis les scotcher. Résultat : un dessin de plusieurs mètres carrés.
Les filles et le logiciel - Framablog
▻http://www.framablog.org/index.php/post/2014/02/06/fille-hacker-logiciel-libre
Ceci est l’un des billets les plus intelligents qu’il m’a été donné de lire ces dernières semaines.(Permalink)
Le machisme des hackeurs c’est la faute aux féministes. Quel originalité !!!
pourquoi n’y ai-je pas pensé toute seule... En tout cas je ne suis pas surprise que cette refléxions plaise beaucoup aux hackeurs...
Il y a un commentaire de « Damien » qui parait plutôt bien :
▻http://www.framablog.org/index.php/post/2014/02/06/fille-hacker-logiciel-libre#c129353
Il y a un bon état d’esprit, de la bonne foi, mais c’est faux tout du long.
1/ À peu près tout est basé sur des anecdotes personnelles. Sons a visiblement eu la chance de tomber sur des gens avec moins d’a priori. Statistiquement, c’est rare.
On ne peut pas baser (entièrement et uniquement, je précise, bien sûr qu’il faut aussi partir de soi) une réflexion, et un programme pour l’avenir, sur son unique parcours personnel.
@tibounise
Excuse moi mais cet article n’est qu’une longue charge anti-féministe. A lire ce texte tout le sexisme du monde informatique émanerait des seuls « féministes ». Qui sont d’ailleurs les seuls sur terre à être machistes avec la hackeuse en la traitant de non femme puisque pas maquillé et autres trucs du genre.
Pas de soucis du coté des hackeurs ils sont probablement encore plus adorables et égalitaires que le fils de cette hackeuse torturé à l’école par les « féministes » certainement armées de grandes cisailles. C’est pas non plus comme si c’etait la première fois que framablog publiais des textes émanant de femmes lourdement anti-féministes.
►http://www.framablog.org/index.php/post/2013/05/19/hommes-femmes-logiciel-libre
il y a eu heureusement une réponse à l’époque
▻http://www.framablog.org/index.php/post/2013/05/24/pas-de-sexisme-chez-les-libristes
Vivement la réponse à cette nouvelle salve anti-féministe.
@rastapopoulos tout à fait d’accord avec le commentaire de ce Damien, merci de l’avoir relevé.
@rastapopoulos oui c’est le sophisme de la généralisation biaisée ►http://seenthis.net/messages/187434
C’est un peu crypté je reconnais @tibounise comme tu dit ailleurs ce n’est pas « clairement dit »
Oui, j’ai bien dit « les filles ». Sachant que les hommes ont d’abord été des garçons, mais que les femmes ont jailli de la tête de Zeus, à leur taille adulte, et en se battant comme des Athéna des temps modernes, vous pouvez commencer à m’insulter maintenant pour avoir utilisé ce mot… à moins que vous ne préfériez voir l’industrie à travers les yeux d’une fille qui est devenue femme au sein d’un ensemble de communautés open source.
Ici par exemple je pense que cette partie sur le choix du mot « fille/girl » renvoie a des discussions féministes. Les féministes cherchent à « dés-infantilisée » les femmes. Le sujet fille/femme est à mon avis assez proche de Madame/Mademoiselle, et je ne voie pas qui d’autre que des féministe se préoccuperaient de ces questions de vocabulaire.
Avant, je me sentais à l’aise avec les hommes, et personne ne se souciait de mon apparence. Aujourd’hui, j’ai l’impression de perdre mon temps à parler de genre plutôt que de technologies… Ceci dit, il y a plusieurs visions :
La vision « il n’y a aucune femme dans l’assemblée ». Je suis dans l’assemblée, mais on me dit que je ne compte pas puisque je porte t-shirt, jeans, bottes, et que je n’ai pas de maquillage.
La vision « tu nies ta féminité pour rentrer dans le moule ; c’est une forme d’oppression ! ». On me dit que c’est dans ma nature de femme d’aimer absolument le maquillage et la mode. Alors que je suis simplement une geek qui se soucie peu de son apparence.
La vision « tu ne représentes pas les femmes ; tu serais un meilleur modèle pour les filles si tu avais le bon look ». Marrant, le reste du monde semble très occupé à dire aux filles d’être à la mode (il suffit de regarder un magazine ou marcher dans le rayon fille d’un magasin de jouets). Je ne pense pas que quelqu’un d’aussi peu doué que moi dans ce domaine doive s’en occuper.
À une exception près, j’ai entendu ces réprimandes venir uniquement de femmes, et de femmes qui ne savent pas coder. Quelquefois, j’ai envie de crier « vous n’êtes pas une programmeuse, vous faites quoi ici ?! »
Ici les « femmes et les femmes qui ne savent pas coder » sont des femmes qui s’intéressent à l’accès des femmes au hacking ou au codage, donc des féministes.
Si elle perd son temps à parler de genre au liue de technologie, c’est qu’elle le fait avec des personnes qui sont intéressé par le genre, donc des féministes ou peut être des militants LGBTQI mais à part ca je ne voie pas.
Et dans cette partie elle explique bien que les hommes ne la font jamais chier (à une exception près lol) mais les femmes qui cherchent a faire venir les femmes dans le hacking, par contre toujours à la ramener sur l’apparence et le bon look et les trucs de maquillage et de mode.
J’aurais pu dire moi même ce genre de trucs il y a quelques années. Pas sur le hacking vu que je suis pas dans le code mais sur un sujet quelconque. Je lui conseillerais bien la lecture de @beautefatale
@mad_meg, tu as du courage d’expliquer et je partage ton point de vue. Je trouve ce texte pénible, une petite fille adoptée par des hackers velus et gentils qui du fond de sa chaumière ne veut pas entendre les femmes.
^^ c’est triste mais c’est un peu de l’autopreservation de la part de cette femme. J’ai pratiqué assez longtemps pour savoir qu’il y a des gratifications importante à se rangé du coté des mecs quant on est une des rare femmes admise dans un cercle masculin, pour avoir ce privilège il faut s’adonner activement au dénigrement des femmes et être la plus misogyne de l’assemblée. D’un coté c’est déprimant et d’un coté c’est tout à fait compréhensible. Le « jeu » consiste justement à effacé toute trace de féminin en soi pour avoir un semblant de statu dans ces groupes (d’ou le rejet et le mépris de la mode, maquillage, question de look, le rose et tous les trucs identifié comme féminin dans le patriarcat). A voire le texte de cette hackeuse on sent d’ailleurs que des féministes le lui ont déjà dit et que ca n’as pas été entendu. Le jour ou elle va ouvrir les yeux (elle a pas l’air idiote il n’y a pas de raison qu’elle ne sois pas lucide un jour) ca va être brutal pour elle de repassé le film.
Alors, au moins en ce qui concerne ta première citation, je me permets d’être pour l’instant en désaccord avec ton interprétation @mad_meg.
D’après moi, il n’y pas de sens caché à cet endroit : elle parle très clairement de différence d’âge lorsqu’elle fait la distinction entre « femme » et « fille ». Et la suite du texte corrobore cela, puisqu’elle y explique comment elle-même a été éduquée techniquement, étant petite fille, avant l’âge adulte.
Son argumentation, pour ce point-là tout du moins, et donc tout simplement de dire que c’est dès l’enfance qu’il faut éduquer les enfants (et donc les « filles » !) aux matières scientifiques, à la logique, la création, etc, et non pas une fois qu’illes sont déjà adultes, ayant déjà imprimé tel ou tel système de valeurs. Qu’une fois devenues adultes, il est trop tard, ou au moins très difficile, de faire venir des « femmes » vers la science, le codage, etc : il fallait s’y prendre plus tôt : lorsqu’elles étaient des « filles » !
Si ça ce n’est pas estampillé théorie du djendeur, ça ma bonne dame !… :D
Pour l’instant, mon interprétation est donc qu’elle a l’air d’une femme pas du tout calée politiquement, une « technicienne », qui se voit comme « anti-féministe » (en le disant plus ou moins explicitement), par méconnaissance ou ignorance politique, mais qui en réalité partage une grande partie des conclusions issues du féminisme (certes pas toutes, il y a aussi de la naïveté et une incompréhension de ce qu’est un « privilège »). Limite elle se contredit elle-même quoi.
Bon elle se voie comme une antifeministe, elle tiens des propos antifeministe mais j’ai tors de dire qu’elle est antifeministe...
« Limite elle se contredit elle-même » et toi « limite tu me fait ton splanneur »
Tu trouve un de mes exemple contestable et tout à coup tous les autres tu les balayent avec. C’est pas une misogyne c’est juste une technicienne qui ne sais pas ce qu’elle dit.... #fatigue
Je persiste, dans le premier exemple quant elle dit « vous pouvez commencer à m’insulter maintenant pour avoir utilisé ce mot… »
Je ne voie que des féministes pour critiquer le choix de dire « fille » au lieu de « femme » et si elle lance cet phrase préventive anti-insulte c’est à l’adresse des féministes. Et quant je signale que c’est une femme misogyne qui parle ça veut bien-dire « elle se contredit elle même » et même carrément, pas « limite ».
Tu dit qu’elle veut dire qu’il faut apprendre l’info aux filles au berceau pas a l’âge adulte. Mais elle gueule aussi dans son texte sur le fait qu’on apprend aux fillettes l’info en non mixité et elle hurle que son cher petit garçon est traumatisé de pas pouvoir faire de l’info (comme si il n’en fessait pas chez lui déjà). J’en ai fait de l’info à l’école en mixité, les garçons te lasse pas touché à la machine justement parceque t’es une filllllle. Elle, a part dire aux féministes d’aller se faire foutre je ne voie pas trop ce qu’elle propose. Enseigner l’info aux petites filles il me semble pas que les féministes y soient opposées... Et pour les femmes adultes je ne voie pas pourquoi on essayerait pas de les incité à faire de l’info, j’ai qu’une vie et pas question d’attendre l’égalité pour le prochain millénaire parceque des techniciennes n’en ont rien a foutre des autre nanas qui cherchent du boulot.
#Symbiose va bientôt avoir sa petite application de #chat/#vidéoconférence... :-)
(Elle sera beaucoup plus belle que ça, c’est juste une appli de test)
▻https://pbs.twimg.com/media/Bfzn8v-CQAEI5k8.png:large
Autant de #milliards pour lutter contre les #cyberattaques que contre le #cancer. Pas le même nombre de #morts toutefois...
►http://reflets.info/cancer-cybersecurite-meme-combat
Je précise : investissement dans le Ministère de la #Défense. Donc c’est un peu comme acheter des chars ou des rafales...
Voir la source (dans l’article) : ▻http://i-hls.com/2014/01/france-invests-billions-cyber-security
Je considère a titre personnel que les morts réels comptent un peu plus que la cour de recréation des cyberpuissances.
Sans Serveur | Long-term laziness
▻http://longtermlaziness.wordpress.com/2013/12/16/sans-serveur
Je me suis trompé sur le #Web. J’aime HTTP, mais ça reste un protocole #client-serveur, donc fondamentalement #centralisateur. Toute solution impliquant d’installer un serveur est réservée à une élite, donc ne peut être émancipatrice. Il nous faut remettre l’intelligence à la marge, dans les mains des gens, dans leurs ordiphones plutôt que sur des #serveurs, fussent-ils Web.
[XXX] est une application PHP qu’on installe sur un serveur. Je ne veux plus installer d’applications PHP sur mes serveurs. Ni Ruby ou Python d’ailleurs.
(...) Le coût imposé à chaque personne pour être #autonome sur le web est trop élevé, donc des #silos se sont créés en réponse à cette difficulté pour apporter les bénéfices sociaux du web (#partage, collaboration instantanés, etc.) en abaissant les coûts.
Nous aurions perdu le web #décentralisé à ne pas reconnaître la barrière à l’entrée qu’imposait de gérer son propre serveur. L’enjeu pour récupérer le web serait d’abaisser cette barrière.
et #merci à @0gust1 qui a repéré cette excellente réponse à l’excellent article de @clochix ▻http://esquisses.clochix.net/2013/12/15/gloubiboulga
Et Clochix signale l’article de David Larlet sur les outils conviviaux comme référence :
▻https://larlet.fr/david/blog/2013/outils-conviviaux
Just added a #PeerJS server in Symbiose! It allows real-time communication, and this implementation supports server-to-server communication to allow users connected on different servers to talk together.
PeerJS - Simple peer-to-peer with WebRTC
▻http://peerjs.com
PeerJS simplifies WebRTC peer-to-peer data, video, and audio calls.
PeerJS wraps the browser’s WebRTC implementation to provide a complete, configurable, and easy-to-use peer-to-peer connection API. Equipped with nothing but an ID, a peer can create a P2P data or media stream connection to a remote peer.
<script src="http://cdn.peerjs.com/0.3/peer.js"></script>
Get a free API key. Your id only needs to be unique to the namespace of your API key.
bizarre, c’est du #P2P mais il faut leur demander une autorisation ?
On a le choix : utiliser les serveurs officiels ou installer son propre serveur : ▻https://github.com/peers/peerjs-server
PeerServer
To broker connections, PeerJS connects to a PeerServer. Note that no peer-to-peer data goes through the server; The server acts only as a connection broker.
PeerServer Cloud
If you don’t want to run your own PeerServer, we offer a free cloud-hosted version of PeerServer. Start by getting a PeerServer Cloud API Key!
Run your own
PeerServer is open source and is written in node.js. You can easily run your own.
Vu que c’est du #Nodejs et que #Symbiose est en PHP, j’ai été obligé de faire une nouvelle implémentation. Du coup j’en ai profité : ▻https://github.com/symbiose/symbiose/wiki/PeerJS%20server
Tout le monde a-t-il son #permis #Internet dans la salle ?
▻http://korben.info/obtiendrez-vous-votre-permis-internet.html
W3Fools – A W3Schools Intervention
▻http://www.w3fools.com
We believe w3schools is harmful to the web. Web developers deserve better.
Critique du site w3schools qui se positionne toujours premier des recherches sur HTML, CSS ou Javascript.
Plutôt aller sur MDN
▻https://developer.mozilla.org/fr/docs/Web
ou lire directement les normes sur le site du w3c
@fil D’ailleurs, serait-il possible de mettre seenthis sur le #Firefox Marketplace ? Ça permettrait d’avoir une application seenthis sur tous appareils avec Firefox, dont Android. C’est très simple à faire, juste à écrire un fichier seenthis.webapp et le placer sur le serveur. #seenthis_demande
Non, même pas besoin en fait, le mode hors ligne est optionnel. Merci, je vais en faire un pour voir :-)
@fil : Voila : ▻https://gist.github.com/emersion/8527518 ;-)
Il faudra juste modifier le chemin vers l’icône de Seenthis, et renommer le fichier en seenthis.webapp.
La doc est ici : ▻https://developer.mozilla.org/en-US/Apps/Developing/Manifest
Oh, dernier petit détail : il refuse a cause du MIME type. Il faudrait rajouter cette ligne dans le .htaccess :
AddType application/x-web-app-manifest+json .webapp
Source : ▻https://developer.mozilla.org/en-US/Apps/Developing/Manifest?redirectlocale=en-US&redirectslug=Web%2FApps%2FManifest#
Merci beaucoup !
Hi, thanks for your submission. We found some issues which need addressing: 1) Your app opens some external links in the same window. As the window is chromeless there is no back/forward navigation as well as no hardware back button on FirefoxOS devices. This dead end requires the user to restart the app. Common occurrences for external links are advertisements and sharing buttons. External links need be declared to open in a new window by adding the attribute target=”_blank”. If you can’t change all external links this JavaScript snippet can also automate this process during runtime: ▻http://git.io/rZ8PwA (What I mainly mean here is the original images links and some links in posts) 2) We are requiring that all apps listed have an icon of at least 128x128 pixels. Please add such an icon to your manifest. 3) To ensure that your icon shines on Firefox OS devices, we recommend you include a 60px icon that follows the Firefox OS icon guidelines (including negative space around the icon shape): ▻http://www.mozilla.org/en-US/styleguide/products/firefox-os/icons Once you’ve made the change please resubmit your app so we can take another look.
Très bon article (et très bonne discussion) sur le stockage des mots de passe dans une base de données. J’espère que les mots de passe de SeenThis sont bien protégés :-)
▻http://linuxfr.org/users/elyotna/journaux/l-art-de-stocker-des-mots-de-passe
@Fil Donc, mots de passe au régime sans sel ? Mauvais, en effet.
ah non vérification faite (▻http://core.spip.org/projects/spip/repository/entry/branches/spip-2.1/ecrire/auth/spip.php) c’est plus compliqué que ça :
1) le mot de passe est chiffré en SHA-256 avec une clé de hachage différente pour chaque utilisateur et qui change à chaque login
2) on a aussi un ’htpass’, SHA-256 avec un sel aléatoire, mais j’ai du mal à voir si cette valeur a encore la moindre utilité
J’avais 3 ans !
Mais les développeurs ne pensent pas a le moderniser un petit peu ?
@emersion : c’est quoi ton pb avec cette ligne ? tu l’a réécrirait comment ?
sql_fetsel(), sql_quote() c’est lourd. La fin est magnifique :
,’’,’’,’’,’’,$serveur) ;
On ne compte plus les arguments sur les doigts de la main (mettre $serveur en dernier est pas très malin d’ailleurs).
Et puis (oui bon je pousse un peu) je n’aime pas le mix anglais-francais ($row mais statut<>’5poubelle’).
Ce n’est pas de la POO, mais je comprends que des développeurs n’aiment pas ce concept et restent aux fonctions.
Je réécrirais un truc du genre (j’ai bien dit « du genre » !) :
$row = $server->query(’SELECT * FROM spip_authors WHERE login=:login AND password=:password’, array(’login’ => $login, ’password’ => $password));
Il y a encore sûrement plus lisible/mieux en général.
Le reste du peu de code que j’ai lu n’était pas très propre non plus.
Bon, je crois que je vais me faire des ennemis moi ! :-o
c’est parce que cela utilise l’api d’abstraction sql de spip ... qui est super puissante pour gérer plusieurs types de bdd.
Des ennemis, non, car on en a entendu de toutes sortes et de toutes les couleurs depuis 14 ans ; comme quoi on programmait mal, qu’on n’était pas fiables, etc. Au final on est toujours là avec un produit qui est pas si « crade » qu’on le dit. Même s’il ne suit aucune des modes…
En termes de sécurité, puisque c’est le sujet de départ, on n’a pas eu d’alerte « grave » depuis longtemps, et le système de connexion, atypique, n’est pas si mauvais. Alors il y a certainement mieux à faire ici ou là, et tu es tout à fait bienvenu pour apporter des améliorations :)
@maieul : SQL est un langage, donc mon code marche sur toutes les base de données supportant SQL a priori. Bon, après il y a des différences d’implémentation, mais ce n’est pas un SELECT ou un FROM qui changera. Utiliser PDO revient au même. ;-)
@fil : oh, mais c’est normal pour un code de 14 ans de ne pas suivre les dernières « modes » (ou dernières « avancées »). Je suis plutôt impressionné par ce projet qui est toujours vivant depuis si longtemps. Je jetterais un coup d’œil pour voir si je peux aider a implémenter un truc ou deux. Mais je pense qu’il y a plus utile a faire que de moderniser le code. :-P
oui, en effet, et c’est d’ailleurs pour ça qu’il a l’air crade :)
dans les projets actuels, si tu as envie de participer, il y a l’idée de décentraliser seenthis ►http://seenthis.net/messages/216935