tag:blogger.com,1999:blog-16926911.post941139588723788717..comments2024-01-07T10:33:46.825+01:00Comments on newsoft's fun blog: La preuve que la sécurité est un échecnewsofthttp://www.blogger.com/profile/04331742158137961313noreply@blogger.comBlogger35125tag:blogger.com,1999:blog-16926911.post-43752268817513449972010-11-08T10:48:44.974+01:002010-11-08T10:48:44.974+01:00J'aimerais bien connaitre le schéma de spam de...J'aimerais bien connaitre le schéma de spam derrière ce commentaire ... si quelqu'un a une idée ?newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-12846530391439594222010-11-02T08:28:05.822+01:002010-11-02T08:28:05.822+01:00Terrific work! This is the type of information tha...Terrific work! This is the type of information that should be shared around the web. Shame on the search engines for not positioning this post higher!Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-69988740328766621022010-01-03T09:13:05.592+01:002010-01-03T09:13:05.592+01:00http://seclists.org/fulldisclosure/2009/Dec/489http://seclists.org/fulldisclosure/2009/Dec/489Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-87499680463660217002009-08-07T22:09:42.822+02:002009-08-07T22:09:42.822+02:00@Anonyme: Pourquoi ? T'as pas confiance en nos...@Anonyme: Pourquoi ? T'as pas confiance en nos banques ??Anonyme (le vrai)noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-255607766710985982009-08-06T13:54:56.421+02:002009-08-06T13:54:56.421+02:00Et pour le risque systémique dû à l'état de la...Et pour le risque systémique dû à l'état de la finance mondiale, ils ont aussi un plain de continuité ?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-55078688430206591352009-08-05T07:58:20.495+02:002009-08-05T07:58:20.495+02:00Effectivement, très bonne newsletter.
En ce qui m...Effectivement, très bonne newsletter.<br /><br />En ce qui me concerne, je tiens à rassurer mes lecteurs: s'il y a pandémie majeure, je resterai à la maison pour bloguer toute la journée :)newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-10022037180582525172009-08-05T00:50:17.961+02:002009-08-05T00:50:17.961+02:00En attendant, HSC signe sa meilleure newsletter......En attendant, HSC signe sa meilleure newsletter...10/10 en rédactionhttp://www.hsc-news.com/archives/2009/000059.htmlnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-68695232871224771382009-08-04T00:08:05.198+02:002009-08-04T00:08:05.198+02:00@S.: Linux a juste été créer pour troller avec Tan...@S.: Linux a juste été créer pour troller avec Tanenbaum. Et ce potentiel polémique ne l'a jamais vraiment abandonné :)Sidhttp://sid.rstack.org/blog/noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-42158374180623021232009-08-03T14:54:25.084+02:002009-08-03T14:54:25.084+02:00Toute façonl Linux n'a pas été désigné pour la...Toute façonl Linux n'a pas été désigné pour la sécurité ? <br /><br />OpenBSd non plus, il a été designé pour que Théo aie les plus grosses coucoug....S.https://www.blogger.com/profile/16195172180160128332noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-72370095799322187302009-08-01T22:19:35.568+02:002009-08-01T22:19:35.568+02:00J'en rajoute une couche.
""After a ...J'en rajoute une couche.<br /><br />""After a stern criticism from Linus, the long-time kernel hacker Alan Cox has decided to walk away .."<br /><br />http://linux.slashdot.org/story/09/07/29/1925224/Alan-Cox-Quits-As-Linux-TTY-Maintainer-mdash-Ive-Had-EnoughMatthieunoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-37685118810379622302009-07-31T21:55:49.862+02:002009-07-31T21:55:49.862+02:00http://twitter.com/newsoft/status/3056918614<a href="http://twitter.com/newsoft/status/3056918614" rel="nofollow">http://twitter.com/newsoft/status/3056918614</a>newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-25672069774224086612009-07-30T13:47:50.057+02:002009-07-30T13:47:50.057+02:00Pour alimenter le feed de commentaire je rajoutera...Pour alimenter le feed de commentaire je rajouterai<br />http://seclists.org/fulldisclosure/2009/Jul/0505.html<br /><br />You think having a CISSP makes you more employable? Try adding a plastic vagina, it doesnt matter if you have a manfaceMatthieunoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-10369104123563379342009-07-29T22:06:01.428+02:002009-07-29T22:06:01.428+02:00Pour ceux qui aiment le troll de qualité, voici un...Pour ceux qui aiment le troll de qualité, voici une <a href="http://linuxfr.org/2009/07/24/25761.html" rel="nofollow">interview de Spender</a> à lire d'urgence.<br /><br />"Best of":<br /><i><br />"Je sais que cela va probablement énerver certains des lecteurs, mais en ce moment je suis en train d'utiliser Windows 7 RC"<br /><br />"Mais comme il y a beaucoup de trous, le sentiment général qui domine est plutôt celui de la dépression :-)"<br /><br />[OpenBSD] "Depuis ce temps, ils ont ajoutés des mesures défensives, mais plusieurs années après d'autres dans l'industrie."<br /><br />"Le code écrit par des abrutis sera utilisé seulement par des abrutis."<br /></i><br /><br />Tout est dit !newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-34829952167790911102009-07-29T17:14:00.178+02:002009-07-29T17:14:00.178+02:00@zf05:
effectivement,
La recherche "zf05 inu...@zf05:<br />effectivement, <br />La recherche "zf05 inurl:zf05.txt filetype:txt" sur google est intéressante :)<br /><br />doxpara.com? he bin...<br />cr0.org ???? hebin, surtout que le repertoire exploits/ est vide :)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-71572331786474016902009-07-29T14:51:01.879+02:002009-07-29T14:51:01.879+02:00My goodness tu ose linker le voici de la securite ...My goodness tu ose linker le voici de la securite informatique :(mr potatoenoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-8274527392092763922009-07-29T13:33:48.086+02:002009-07-29T13:33:48.086+02:00ahaha, ça fait bien plaisir, encore 2 ou 3 françai...ahaha, ça fait bien plaisir, encore 2 ou 3 français (ou un suisse) et la sécurité ne sera plus un échecTon petit canardnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-48523836626161295452009-07-29T11:42:28.904+02:002009-07-29T11:42:28.904+02:00karlinou: [...] FreeBSD. J'utilise cet OS sur ...<b>karlinou:</b> <i>[...] FreeBSD. J'utilise cet OS sur des serveurs de prod. depuis 1999. [...] au niveau sécu noyeau, ça reste "honnête" ;)</i><br /><br />Pour avoir utilisé FreeBSD sur mes serveurs de prod, des gros environnements de jails (parfois très hostiles, dans le cadre de challenges de sécurité), j'en suis arrivé au constat que c'est un code propre, mais sans aucune protection. Le noyau est extrêmement difficile à hardened (qui ici a déjà réussi à rajouter ne serait-ce qu'un classique ProPolice ? :)), et en userland rien n'est disponible (ce qui en fait une plateforme parfaite pour commencer un enseignement sur de l'exploitation binaire).<br /><br />De plus les mainteneurs mettent parfois plusieurs semaines avant de pousser un patch dans les ports, obligeant à maintes reprises à le faire à la main.<br /><br /><br /><i>Dernier point : Le make install clean dans /usr/ports/editors/openoffice.org-2 marche vraiment bien ! ;)</i><br /><br />Si je l'ai abandonné en Desktop, c'est plus par soucis de simplicité, car effectivement tout fonctionne bien, c'est un bon BSD, et pour le sandboxing d'appli, rien ne vaut une architecture à base de jails (log/nullfs/xvnc & Co).<br />C'est comme tout, ça prenait trop de temps à monter et à entretenir pour le peu de sécurité offert en comparaison à une Ubuntu-grs (rien qu'au niveau du chiffrement, une Ubuntu alternate c'est une case à cocher à l'install).Vincenthttp://lasecuriteoffensive.fr/noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-63082684692847472252009-07-29T10:50:48.909+02:002009-07-29T10:50:48.909+02:00ah oui, FAIL ! ;-)ah oui, FAIL ! ;-)zf05noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-54435199539992291902009-07-28T21:32:34.074+02:002009-07-28T21:32:34.074+02:00On parle beaucoup de Linux et Windows, un peu d...On parle beaucoup de Linux et Windows, un peu d'OpenBSD mais très rarement de FreeBSD.<br /><br />J'utilise cet OS sur des serveurs de prod. depuis 1999. Je pense que ça vaut vraiment le coup de s'y attarder un peu, d'autant qu'au niveau sécu noyeau, ça reste "honnête" ;)<br /><br />Dernier point : Le make install clean dans /usr/ports/editors/openoffice.org-2 marche vraiment bien ! ;)karlinounoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-19037935742438753322009-07-28T15:10:55.836+02:002009-07-28T15:10:55.836+02:00perso, mettre wordpress (inaccessible depuis d'...perso, mettre wordpress (inaccessible depuis d'ailleurs) et des rapports clients sur une meme machine sur internet ...<br /><br />Je pense qu'il y a plus de chance que ce soit une vuln dans wordpress que dans SSH.blahnoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-32748809149621949372009-07-28T13:57:23.826+02:002009-07-28T13:57:23.826+02:00@newsoft : excellent post :) D'ou tu tiens que...@newsoft : excellent post :) D'ou tu tiens que c'est un bete bruteforce ssh ?<br /><br />@julien : agreed sur les failles kernel. Plus généralement, imho, personne ne teste la sécurité : pas plus Microsoft que les dev Linux. Ca coute cher et les end users s'en foutent, alors pour quoi faire ? Btw : je vote pour toi aux pwnies ;)<br /><br />note: pas de feedback sur le troll^H^H^H^H^Hpost de Linus ?Unknownhttps://www.blogger.com/profile/03311798111159439433noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-67306620517467261632009-07-28T11:50:23.665+02:002009-07-28T11:50:23.665+02:00PS. J'ai fait 2 éditions dans le billet d'...PS. J'ai fait 2 éditions dans le billet d'origine. Je ne sais pas si cela va apparaitre dans le flux RSS.newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-27735565506989162882009-07-28T11:44:36.318+02:002009-07-28T11:44:36.318+02:00@julien: effectivement la sécurité du noyau Linux ...@julien: effectivement la sécurité du noyau Linux a toujours été calamiteuse (surtout si on inclut tous les drivers disponibles), tout comme celle du noyau Windows (et particulièrement le sous-système GDI et ses 600+ appels système).<br /><br />Mais ces derniers temps, même la presse s'en est rendu compte :)<br /><br />Et puis la différence entre Linux et Windows, c'est qu'un système Linux est généralement fait pour distribuer des shells à plein d'utilisateurs non "root" (ex. les pages perso Cegetel accessibles en SSH !). Donc les failles locales sont critiques. Alors qu'un poste Windows n'a qu'un seul utilisateur, et il est souvent "admin local" (même si c'est en train de changer).newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.comtag:blogger.com,1999:blog-16926911.post-68642852926429399742009-07-28T09:39:39.174+02:002009-07-28T09:39:39.174+02:00@newsoft: Pourquoi ces derniers mois ? Je me souvi...@newsoft: Pourquoi ces derniers mois ? Je me souviens d'avoir fait une rump en 2005 a SSTIC, tout apeuré que j'étais par la sécurité du noyau Linux.<br /><br />Mon effroi était notamment du à des développeurs noyaux qui refusaient de patcher des null pointer derdference et rétorquant que ça produirait un oops dans tous les cas. Maintenant la plupart comprennent un peu mieux ce qui se passe, mais ca n'est pas encore ça..<br /><br />Cela étant dit la sécurité du noyau Linux n'est pas forcément pire que celle du noyau Windows. Personne ne regarde vraiment ni l'un ni l'autre, en tout cas pas pour dévoiler publiquement des failles, c'est tout. Mais dans les deux cas, en creusant un peu on en trouve. <br /><br />Ce qui se passe avec Linux c'est que certaines failles se révèlent toutes seules dans les Changelogs.<br /><br />De plus, personne ne compte vraiment sur la séparation des privilèges au sein de Windows j'imagine.Juliennoreply@blogger.comtag:blogger.com,1999:blog-16926911.post-33963654673559442122009-07-28T07:49:29.137+02:002009-07-28T07:49:29.137+02:00@DbD: je n'y crois pas. La dernière fois que j...@DbD: je n'y crois pas. La dernière fois que j'ai essayé d'installer un OpenBSD (et c'était il n'y a pas longtemps), les dépendances de paquets étaient toutes cassées.<br /><br />@Anonyme1: je ne vois pas bien ce qu'antisec apporte de nouveau (il faut dire que j'ai rapidement arrêté de lire le troll). Il me semble que les chevaux de bataille n'ont pas changé depuis le dernier en date: reporter les failles équivaut à faire de la QA gratuite pour les éditeurs, etc.newsofthttps://www.blogger.com/profile/04331742158137961313noreply@blogger.com