obynio/certbot-plugin-gandi : Certbot plugin for authentication using Gandi LiveDNS
▻https://github.com/obynio/certbot-plugin-gandi
Plugin Certbot pour les challenges DNS chez Gandi. Devrait fonctionner pour les certificats wildcard. Fourni aussi le cron « qui va bien » pour le renouvellement automatique
A lot of recent articles about the #DoH (#DNS over #HTTPS) security protocol. Read carefully, there is a lot of bad faith, too.
A set of Internet actors wrote to the US congress to complain that activation of DoH by Google may deprive them of the spying and manipulation they’re used to ▻https://www.ncta.com/sites/default/files/2019-09/Final%20DOH%20LETTER%209-19-19.pdf
Summary of the issue in the Wall Street Journal ▻https://www.wsj.com/articles/google-draws-house-antitrust-scrutiny-of-internet-protocol-11569765637 (paywall, note how the Akamai spokeperson clearly states that they monitor DNS requests and want to continue to do so).
▻https://arstechnica.com/tech-policy/2019/09/isps-worry-a-new-chrome-feature-will-stop-them-from-spying-on-you (one of the few articles that do not copy blindly the discourse of the Internet operators and ISPs)
▻https://www.cnet.com/news/google-reportedly-under-antitrust-scrutiny-for-new-internet-protocol (based on the Wall Street Journal article, with a nice addition “cable and wireless companies being cut off from much of users’ valuable DNS surfing data”, which spills the beans.)
▻https://www.eff.org/deeplinks/2019/09/encrypted-dns-could-help-close-biggest-privacy-gap-internet-why-are-some-groups (#EFF opinion, with a strange idea “EFF is calling for widespread deployment of DNS over HTTPS support by Internet service providers themselves”, so asking DoH support by the very entities that you do not fully trust.)
How to Enable DNS-over-HTTPS (DoH) in Mozilla Firefox
▻https://www.trishtech.com/2018/08/how-to-enable-dns-over-https-doh-in-mozilla-firefox
How to Enable DNS-over-HTTPS (DoH) in Mozilla Firefox
Posted onAugust 8, 2018AuthorTrishaLeave a comment
When you visit a website, the web browser first translates the domain name (such as yahoo.com) to the IP address using the DNS server configured in your operating system. We actually offer a free tool Public DNS Server Tool that helps you quickly configure your Windows system to use one of the publicly available DNS servers.
But now Firefox browser (starting from version 62) has come up with a new feature called Trusted Recursive Resolver (TRR) which sets Firefox to use a secure DNS server of its own. For this feature, all the DNS resolution requests are sent over HTTPS and this is why only a DNS over HTTPS (DoH) complaint server can be used for this feature.
Here is how you can enable DoH in Firefox browser:
Type about:config in the address bar and press Enter.
When warning appears, click on the I accept the risk button.
In the search box type trr to find the settings we want.
#dns #DoH #dnsoverhttps #https
Ce que peut faire votre Fournisseur d’Accès à l’Internet
►https://framablog.org/2018/11/29/ce-que-peut-faire-votre-fournisseur-dacces-a-linternet
Nous sommes ravis et honorés d’accueillir Stéphane Bortzmeyer qui allie une compétence de haut niveau sur des questions assez techniques et une intéressante capacité à rendre assez claires des choses complexes. Nous le remercions de nous expliquer dans cet article … Lire la suite
#Claviers_invités #G.A.F.A.M. #Internet_et_société #Chiffrement #FAI #FFDN #GAFA #https #Internet #neutralité #Réseau #RFC #Snowden #Surveillance
RFC 8484 : DNS Queries over HTTPS (DoH)
Voici un nouveau moyen d’envoyer des requêtes #DNS, #DoH (DNS over #HTTPS). Requêtes et réponses, au lieu de voyager directement sur UDP ou TCP sont encapsulées dans HTTP, plus exactement HTTPS. Le but ? Il s’agit essentiellement de contourner la #censure, en fournissant un canal sécurisé avec un serveur supposé digne de confiance. Et le chiffrement sert également à préserver la vie privée du client. Toutes ces fonctions pourraient être assurées en mettant le DNS sur #TLS (RFC 7858) mais DoH augmente les chances de succès puisque le trafic HTTPS est rarement bloqué par les pare-feux, alors que le port 853 utilisé par DNS-sur-TLS peut être inaccessible, vu le nombre de violations de la neutralité du réseau. DoH marque donc une nouvelle étape dans la transition vers un Internet « port 443 seulement ».
#RFC
RFC 8446 : The Transport Layer Security (TLS) Protocol Version 1.3
Après un très long processus, et d’innombrables polémiques, la nouvelle version du protocole de #cryptographie #TLS, la 1.3, est enfin publiée. Les changements sont nombreux et, à bien des égards, il s’agit d’un nouveau protocole (l’ancien était décrit dans le RFC 5246, que notre nouveau #RFC remplace).
Monitor your #https certificate expiry with this script
▻https://hackernoon.com/monitor-your-https-certificate-expiry-with-this-script-1338bf5acfe9?sour
Last year’s new years eve, I got a call from my client. They said their website was infected by a virus and no one can access it.Now, my client runs a juice shop, and had no idea about how the web technically works, so I discarded the “virus” issue but he said site can’t be accessed so I fired up Firefox in my phone and I saw the Your connection is not secure page.Ever since Let’s Encrypt came out of beta, I’ve used it to convert all my and my clients’ sites to secure connections via HTTPS. I had set up a cron as instructed by certbot to renew the certificates regularly, but it used to fail every once in a while because I didn’t update the python packages, or something like that. Let’s Encrypt is kind enough to send a mail before expiring, but initial installations were done by an employee.Since (...)
#lets-encrypt #https-certificate-expiry #ssl-certificate #https-certificate-script
Anomalie #4097 : bug HTTPS dans la fonction url_de_base() sur certains serveurs mal configurés - SPIP - SPIP Core (Forge de développement)
▻https://core.spip.net/issues/4097
le contournement nécessaire dans mes_options.php pour les serveurs mal configurés ($_SERVER[’HTTPS’] et $_SERVER["SCRIPT_URI"] absents ou faux)
HTTP Status Codes you probably haven’t heard of
▻https://hackernoon.com/http-status-codes-you-probably-havent-heard-of-edf780a9f391?source=rss--
And might not often see in the wild.A colleague of mine stumbled upon a HTTP status code that the team wasn’t sure of: 207. When I took a look I stumbled across a few others I hadn’t really been made aware of throughout my 4 year developer career.Lets go through some interesting codes…207: Multi-StatusA status code sent to represent information about multiple resources where appropriate.Imagine you have an aggregation layer that might make calls against multiple APIs to collate & process the data and return a JSON payload. If one of the calls succeeds and several others fail what’s the #api to do?It’s not a 4xx, the resource was found; it’s not a 300, there’s no redirect; it’s not a 5xx, the aggregation server didn’t fail to handle something and explode so it’s technically a 200 in the eyes (...)
Divide and Govern : How We Implemented Session Separation at Mail.Ru portal
▻https://hackernoon.com/divide-and-govern-how-we-implemented-session-separation-at-mail-ru-porta
In the beginning…Mail.Ru is a gigantic portal created more than 15 years ago. Since then we have evolved from a minor web project to the most visited Runet site online. The portal comprises an enormous number of services, each with its own story and separate team of developers, who had to do their utmost to make sure all projects (new, old and those joining the portal as it evolved) shared a single user #authentication system. Then after many years we were eventually faced with a task that was almost the opposite: separate user sessions. Why this was necessary, what obstacles tripped us up and how we got around them will be covered in this post. If we take a trip back in time when all our services were part of a single second-level domain and separated into third-level domains, (...)
Türkischer Provider jubelte Kunden Überwachungs-Software unter (h...
▻https://diasp.eu/p/6855609
Türkischer Provider jubelte Kunden Überwachungs-Software unter
#berwachungs #citizenlab #deeppacketinspection #dpi #https #internetzensur #jubelte #kunden #provider #rkischer #software #turkei #uberwachung #unter posted by pod_feeder
RFC 6844 : DNS Certification Authority Authorization (CAA) Resource Record
Ce #RFC a quelques années mais n’avait connu que peu de déploiement effectif. Cela va peut-être changer à partir du 8 septembre 2017, où les AC ont promis de commencer à vérifier les enregistrements #CAA (Certification Authority Authorization) publiés dans le #DNS. Ça sert à quoi ? En gros, un enregistrement CAA publié indique quelles AC sont autorisées à émettre des certificats pour ce domaine. Le but est de corriger très partiellement une des plus grosses faiblesses de #X.509, le fait que n’importe quelle AC peut émettre des certificats pour n’importe quel domaine, même si ce n’est pas un de ses clients.
▻http://www.bortzmeyer.org/6844.html
#certificat_électronique #HTTPS #TLS
Note : seenthis.net n’a pas d’enregistrement CAA.
Le passage de #Wikipédia au #HTTPS a été très efficace contre la censure
▻Https://motherboard.vice.com/fr/article/le-passage-de-wikipedia-au-https-a-ete-tres-efficace-contre-la-cen
Internet : Le chiffrement a contribué à faire baisser la censure de #Wikipédia dans le monde.
▻http://www.lemonde.fr/pixels/article/2017/05/30/le-chiffrement-a-contribue-a-faire-baisser-la-censure-de-wikipedia-dans-le-m
J’ai une pensée pour #Kweeper et pour #Scoopit qui devrait s’en inspirer et passer au #https...
Je dis ça, je dis rien ; mais : je le dis = Des rochers sur la One = ▻http://oxymoron-fractal.blogspot.fr/2017/05/des-rochers-sur-la-one.html
Why HTTPS for Everything?
▻https://https.cio.gov/everything
“Every unencrypted HTTP request reveals information about a user’s behavior, and the interception and tracking of unencrypted browsing has become commonplace. Today, there is no such thing as non-sensitive web traffic, and public services should not depend on the benevolence of network operators.”
The protocol-relative URL - Paul Irish
►https://www.paulirish.com/2010/the-protocol-relative-url
L’astuce pour requeter des ressources hors domaine depuis un site en httpS
<img src=’//domain.com/img/logo.png’>
et
.omgomg { background : url(//domain.net/image.gif) ;}
#https #astuce #ressource_externe
#bogue_seenthis : mettre le code src=//domain.com/img/logo.png avec l’URL entre guillemets doubles provoque son remplacement en https: //seenthis.net///domain.com/img/logo.png
essaie en mettant la chaîne //domain.com/img/logo.png entre guillemets doubles (comme dans une URL dans un fichier HTML)
Pour le bogue #seenthis, c’en est peut être pas un : c’est peut être parce que cette technique n’est plus conseillée ?
Cf l’avertissement au début de l’article (anti pattern) sur le risque sécurité.
ha mais dans ce cas ça n’est pas un bug, mais une feature qui est déclenchée suite à un mauvais usage :p
si tu veux éviter que seenthis lance la récupération automatique des images sur une portion de contenu comme celle-ci, il faut la baliser comme un extrait de code avec le raccourci prévu pour ça :)
Everything you need to know about HTTP security headers
Récap à propos des entête X-XSS-Protection, Content Security Policy, HTTP Strict Transport Security (HSTS), HTTP Public Key Pinning (HPKP), X-Frame-Options, X-Content-Type-Options, Referrer-Policy & Cookie Options.
#content_security_policy | Openweb.eu.org
▻http://openweb.eu.org/articles/content-security-policy
De nombreuses initiatives tendent à amener plus de sécurité sur les sites Internet. La généralisation de #https avec des initiatives comme Let’s Encrypt, la restriction de l’utilisation de certaines API avec HTTPS, de nombreux outils permettant de tester et d’améliorer la sécurité des sites, etc. Parmi ce vaste effort de sécurisation des sites, une technologie offre de nouvelles possibilités surprenantes sur le front-end. Son petit nom est « Content Security Policy ».
JCSA16 : Retour en images sur la Journée du Conseil scientifique de l’Afnic 2016 ▻https://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/10075/show/jcsa16-retour-sur-la-journee-du-conseil-scientifique-de-l-afnic-2016.html
#JCSA16 #Afnic #Cryptography #tor #DNS #Internet #blockchain #securté #security #web #https #TLS #Certificate #ANSSI
Obtenir une bonne note sur Mozilla Observatory : HTTPS/CSP/SRI/CORS/HSTS/HPKP/etc.
▻https://www.nicolas-hoffmann.net/source/1697-Obtenir-une-bonne-note-sur-Mozilla-Observatory-HTTPS-CSP-SRI-
Un projet très intéressant est sorti il y a peu nommé Mozilla Observatory. Cet outil permet de tester divers points concernant la sécurité des sites Web.
En grand joueur, je me suis amusé à essayer d’obtenir la meilleure note possible, qui selon le barême est de 130/100. Je suis arrivé à 120/100 sur le site de Röcssti, ce qui n’est déjà pas si mal.
L’observatoire de la résilience de l’Internet français publie son rapport 2015 ▻https://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/9991/show/l-observatoire-de-la-resilience-de-l-internet-francais-publie-son-rapport-2015
#ANSSI #AFNIC #INTERNET #RESILIENCE #WEB #TLS #BGP #SMTP #DNSSEC #IPv6 #HTTPS #RPKI #DDoS
Ce soir, #seenthis doit changer d’hébergement. On va essayer de faire au mieux pour que ça se passe sans accroc, mais il est possible qu’il y ait quelques coupures du signal à certains moments.
Horaire prévu : entre 22h et minuit (heure française)
Ouf... généralement, à cette heure-là, je dors #heureux_les_couche-tôt !
C’est une montée en charge, un truc de maintenance… ?
Arf ! Pour moi c’est l’heure de pointe... du coup si vous avez besoin d’aide pour tester des trucs, n’hésitez pas à frapper à la lucarne hein !
Cf. ►http://seenthis.net/messages/420961
C’est essentiellement un choix politique, de savoir s’il y a une communauté pour s’occuper de ça, ou si ça échoit toujours au même (en l’occurrence c’était @arno depuis le début, puis moi depuis le crash il y a une grosse année). Maintenant c’est (censé) devenir collectif.
Et aussi un peu ▻http://seenthis.net/messages/490093 (#https)
\o/ ça semble bien touner
ah, apparemment, c’est fait !
(je dois me reconnecter)
BRAVO !
Et les fameuses 2 minutes de #merdrecestquoimonmotdepasse !
Bravo tout le monde !
Et 2 minute de sueur devant un message intempestif :
La page n’est pas redirigée correctement
Firefox a détecté que le serveur redirige la demande pour cette adresse d’une manière qui n’aboutira pas.
La cause de ce problème peut être la désactivation ou le refus des cookies.
Mais c’est bon c’est revenu à la normale sans rien changer.
merci @seenthis . Depuis la migration, mon poil est plus doux.
Merci :)
Y a pas des boutons à la facebook dans la v2 ?
C’est pas une V2 :) Yeah ! Super le passage de relais ! Beaucoup de choses obscures dans les échanges sur la liste, mais super intéressant.
Ce serait bien d’ajouter dans les pages #seenthis, une page sur le fonctionnement collaboratif du nouvel hébergement et sur les différentes manières de participer avec les liens.
J’ai l’impression d’un petit problème ce matin : pour les contenus externes du genre vidéo Youtube chargée par oEmbed en javascript après avoir cliqué sur l’image de prévisu :
La console de Firefox me dit « Blocage du chargement du contenu mixte actif ». Et du coup impossible de lire les vidéos à l’intérieur de Seenthis.
▻https://developer.mozilla.org/en-US/docs/Web/Security/Mixed_content
@rastapopoulos Ah oui, pareil avec Safari, contenu Youtube bloqué :
[blocked] The page at about:blank was not allowed to display insecure content from ▻http://www.youtube.com/embed/aH_FP67cLP0?rel=0&autoplay=1.
Si je comprends bien, c’est parce que désormais Seenthis est en https, et les navigateurs refusent d’y charger du contenu externe en http.
Un souci avec https. J’ai dû changer d’ordi pour arriver ici.
Sous MacOS X 10.5, je n’arrive pas à avoir les certificats SSL
Je suspecte que dans oembed, à la fabrication du lien d’embed vers l’extérieur, au lieu de http://youtube.com, il faut mettre juste //youtube.com.
pour les embed https voir patch ici ►https://github.com/seenthis/seenthis/commit/d389754065eff70d1ea29882374ed4b0959f3672
@nidal mettre // c’est la première chose que j’ai essayée, mais ça plantait, car spip applique un filtre url_absolue qui n’est pas au courant de l’existence de cette notation. En fait pour nous ça revient au même que mettre https, et pour d’autres instances de seenthis qui ne sont pas https, ça marchera quand même.
Mais @fil comment tu peux être sûr que le service en question supporte HTTPS ? Évidemment la plupart sont des gros services qui l’ont, mais ya quand même aucun test, aucun assurance que la vidéo, le son, la playlist, etc, fonctionnent aussi en HTTPS, non ?
Oui, ok comme le dit le log de commit « on fait l’hypothèse que… » :)
@rastapopoulos Le plugin autoembed ne travaille qu’avec un nombre limité de sources.
Au fait, @fil, au passage, il faudrait en profiter pour ajouter un allowFullScreen dans les iframe, de façon à ce que ça autorise le plein écran pour les vidéos jouées dans Seenthis.
allowFullScreen fait et appliqué
▻http://zone.spip.org/trac/spip-zone/changeset/98620
Grand #merci l’équipe pour cette migration, https et le fullscreen possible sur les vidéos ! Vous êtes géniaux :)
Ah tiens, mes flux RSS sont silencieux. Je les passe en HTTPS et là : « connection closed by peer ». C’est grave ? Par exemple ▻https://seenthis.net/people/suske/follow/feed mais en fait c’est dans l’application que cela cale, pas dans le navigateur. Hum. I feel alone :-)
Édit : ça maaaaarche maintenant ! Youpie !! #merciiii
Ça y est, c’est bon sur ma vieille casserole.
Encore merci. Pour TOUT ! et aussi pour la réactivité. Bravo !
Merci et bravoooooo ! Longue vie à @seenthis !
même si je ne comprends pas bien ce qui s’est passé (c’est-à-dire qu’on est partis, mais où ? (et quel est donc ce « s » à l’http qui à l’air tout changer ?)) merci oui.
Cool, HTTPS. Supervision changée pour se connecter en HTTPS. Rendez-vous le 13 septembre pour l’expiration du certificat :-)
@tintin Le S de HTTPS signifie Secure (Sûr). Cela indique que la communication entre ton navigateur et SeenThis est chiffrée (rendue illisible par la cryptographie), ce qui 1) est indispensable pour protéger ton compte (autrement, lire le mot de passe serait trop facile) 2) perturber le travail des surveillants (genre NSA, Beauveau, etc).
Je sais pas si c’est une « bonne pratique », mais chez moi j’ai ajouté un job cron hebdomadaire :/etc/letsencrypt/letsencrypt-auto renew
Si le certificat est proche de l’expiration mais n’est pas expiré il est automatiquement renouvelé selon une procédure allégée (automatique).
@Fil Icinga préviendra 15 jours avant :-)
Ah, l’API a un problème ? Je ne peux plus soumettre de nouveaux seens par l’API, « HTTP Error 405 : No message found »
@stephane peux-tu nous filer une url qui pose problème ?
Je viens de tester seenthis.net/api/messages/341663 et ça semble bien fonctionner.
@b_b Réparé (cf. le rapport de bogues sur Github)
Félicitations et merci pour la proposition de transformer la gestion de #seenthis dans un projet collectif !
J’y vois quelques question de caractère recurrent :
– Quand est-ce qu’on écrira la doc nécessaire pour monter et gérer des instances #seenthis sous SPIP 3.n.n ?
– La doc utilisateurs me semble être un peu éparpillée, comment y remédier ? (Contrairement à #SPIP ceci me semble facilement faisable por #seenthis)
– des patchs du genre ►https://github.com/seenthis/seenthis/commit/d389754065eff70d1ea29882374ed4b0959f3672 risquent d’emmener le projet à un point où une documentation une fois écrite marchera à un moment donné mais sera invalidée par les changements postérieurs.
– Où en est l’idée de faire communiquer entre eux des installations de #seenthis (Il a été question d’utiliser XMPP pour connecter les bdd etc.) ?
– Est-ce qu’on se voit cet été pour travailler sur les aspects techniques et politiques du projet #seenthis ?
– Un exemple : qui fera partie du collectif et quelle règles y seront appliquées ?
P.S. bon anniverversaire #SPIP :-)
Certbot
▻https://certbot.eff.org
Automatically enable HTTPS on your website with EFF’s Certbot, deploying Let’s Encrypt certificates.
Un utilitaire en python pour l’installation et le renouvellement des certificats Let’s Encrypt.
Disponible sous forme du paquet debian : python-certbot-apache
#letsencrypt #python #serveur #certificat #automatisation #https
We’re Going HTTPS: Here’s How WIRED Is Tackling a Huge Security Upgrade
▻https://www.wired.com/2016/04/wired-launching-https-security-upgrade
“enabling HTTPS on a media site isn’t easy. Many have discussed the importance of HTTPS on news and media sites, and a few notable sites have already achieved it.”