tag:blogger.com,1999:blog-16926911.post4220258185516477450..comments2024-01-07T10:33:46.825+01:00Comments on newsoft's fun blog: The Debian is for pwn!newsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.comBlogger15125tag:blogger.com,1999:blog-16926911.post-80887327417121026172009-02-09T23:07:00.000+01:002009-02-09T23:07:00.000+01:00Il y en a d'autres dans le genre sur lesquels on p...Il y en a d'autres dans le genre sur lesquels on peut récupérer des informations sympa...<BR/><BR/>https://register.facebook.com/editaccount.php<BR/><BR/>(il faut être loggé).Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-9126880704807628422009-01-21T18:35:00.000+01:002009-01-21T18:35:00.000+01:00Merci pour le lien vers ce plugin bien pratique qu...Merci pour le lien vers ce plugin bien pratique qui vient de me rapporter que Gandi.net utilise lui aussi des clés corrompues pour son service webmail :(<BR/>Comme quoi, même les gens bien peuvent commettre des erreurs..Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-61731130431157731652009-01-19T22:22:00.000+01:002009-01-19T22:22:00.000+01:00@potato & anonyme:(Pour les lecteurs pressés, ...@potato & anonyme:<BR/><BR/>(Pour les lecteurs pressés, ces 2 personnes signalent que <A HREF="https://login.facebook.com/" REL="nofollow">https://login.facebook.com/</A> utilise un certificat impliquant MD5, comme à peu près <A HREF="http://news.netcraft.com/archives/2009/01/01/14_of_ssl_certificates_signed_using_vulnerable_md5_algorithm.html" REL="nofollow">14% du Web mondial</A>.)<BR/><BR/>Le "bug" avec MD5 me semble une bête totalement différente, qui concerne principalement les autorités de certification. Avec le "bug" OpenSSL, on parle quand même de pouvoir regénérer à la maison le biclé Neuf WiFi (ce qui n'est pas le cas de celui de Facebook, pour le moment).newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-68283001853577340312009-01-19T22:07:00.000+01:002009-01-19T22:07:00.000+01:00@Pierre: la NB4 est sous Linux, mais après vérific...@Pierre: la NB4 est sous Linux, mais après <A HREF="http://www.efixo.com/neufbox4/freesoftware/" REL="nofollow">vérification</A>, il semble que ce soit du YaSSL sous le capot.<BR/><BR/>Tes remarques sont donc tout à fait pertinentes !<BR/><BR/>Quant au faux hotspot Neuf WiFi, cela me semble malheureusement très simple, puisque la page d'accueil est en HTTP (dans mes souvenirs). Au moment où tu cliques sur "Login", rien ne te permet donc d'être sûr que le POST envoie tes identifiants vers le bon serveur :(newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-68425283078650878522009-01-19T21:10:00.000+01:002009-01-19T21:10:00.000+01:00http://www.hiboox.fr/go/images/humour/facechiotte,...http://www.hiboox.fr/go/images/humour/facechiotte,24760dafa7a78ce924c795ee6ef32985.jpg.html<BR/><BR/>ca fait plaisir de savoir ca :)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-66915616201323511382009-01-19T21:02:00.000+01:002009-01-19T21:02:00.000+01:00ouais c'est assez lol , quoi que ton hotspot n'est...ouais c'est assez lol , quoi que ton hotspot n'est pas fequentez par 1234567 millions de personnes <BR/>http://www.hiboox.fr/go/images/jeu-video/fuckface,74f1c29e800f8782ef24f5014c628652.jpg.htmlAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-34384971048884609562009-01-19T08:51:00.000+01:002009-01-19T08:51:00.000+01:00Cela dit, le fait que n'importe qui puisse faire u...Cela dit, le fait que n'importe qui puisse faire un "véritable" hot spot neuf wifi est suffisamment inquiétant, je trouve.<BR/><BR/>De ce que j'ai compris, du reste, le serveur en question n'est pas sur chaque neufbox, c'est un serveur accédé depuis chaque neufbox. Mais je n'en suis pas sur du tout.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-55302294389928663252009-01-18T19:53:00.000+01:002009-01-18T19:53:00.000+01:00@Pierre: effectivement tu as raison, le fait que l...@Pierre: effectivement tu as raison, le fait que le certificat soit faible ne veut pas dire que la machine elle-même tourne sous une version de Debian avec un OpenSSL vulnérable ...<BR/><BR/>J'ai fait un raccourci un peu rapide avec les NeufBox :)newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-20351357827244397932009-01-18T18:32:00.000+01:002009-01-18T18:32:00.000+01:00Disclaimer: il est complètement possible que je me...Disclaimer: il est complètement possible que je me goure lamentablement, je suis dans un état de fatigue déplorable ;-)<BR/><BR/>Le lien que tu donnes vers http://www.lucianobello.com.ar/exploiting_DSA-1571/ est certes très intéressant, mais n'est valable il me semble que si la machine qui fait tourner SSL (le serveur https ou un proxy ssl qui renvoie à un serveur http) est une debian (ou assimilé) vulnérable. Le fait que le certificat soit ou non "faible", ne change rien.<BR/><BR/>En l'occurrence, rien n'indique que ce soit le cas et donc que ta phrase commençant par "Pour résumer" soit correcte.<BR/><BR/>Le véritable impact de cette trouvaille est qu'il est facile de faire un hotspot "neuf wifi" qui aura tout d'un vrai, avec vol des authentifiants à la clef.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-37382946747573269552009-01-16T10:28:00.000+01:002009-01-16T10:28:00.000+01:00@newsoftJe dois avoir un contact chez eux, je vais...@newsoft<BR/><BR/>Je dois avoir un contact chez eux, je vais leur soumettre :-))Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-92195650323797681952009-01-16T10:09:00.000+01:002009-01-16T10:09:00.000+01:00N'oublions pas les autres victimes où le data leak...N'oublions pas les autres victimes où le data leak peut faire encore plus de dégâts.. les adeptes de imaps et autres services mail sécurisés :)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-31328904835871733592009-01-15T23:14:00.000+01:002009-01-15T23:14:00.000+01:00Je connaissais, Sid en a parlé sur son blog :)Mais...Je connaissais, Sid en a parlé sur son blog :)<BR/><BR/>Mais ça ne répond pas tout à fait au même problème: Perspectives vise à ajouter de la confiance sur les certificats auto-signés (si je ne m'abuse).newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-22094961136623400582009-01-15T22:32:00.000+01:002009-01-15T22:32:00.000+01:00Je ne sais pas si tu connaissais mais voici une au...Je ne sais pas si tu connaissais mais voici une autre extension, dans la même lignée, pouvant t'intéresser (je ne connaissais pas avant l'article).<BR/><BR/>extension: http://www.cs.cmu.edu/~perspectives/<BR/><BR/>src:http://www.secuobs.com/news/15012009-perspectives.shtmlJeremyhttps://www.blogger.com/profile/05146626099980715232noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-41126269768261302272009-01-15T19:19:00.000+01:002009-01-15T19:19:00.000+01:00Il semble que le portail d'authentification soit c...Il semble que le portail d'authentification soit centralisé, vu que ça marche là où je suis présentement :)<BR/><BR/>Ou alors le même portail est déployé à l'identique dans toutes les gares.newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-1187048065435200082009-01-15T09:57:00.000+01:002009-01-15T09:57:00.000+01:00Faudra que je vois si ce que j'ai enregistré à Aus...Faudra que je vois si ce que j'ai enregistré à Austerlitz est utilisable vu que ça doit-être le même genre de hotspot :-)MeiKhttps://www.blogger.com/profile/09826573414335740041noreply@blogger.com