Un récent intérêt pour un problème de sécurité des navigateurs Web a porté sur leur relation au DNS. Qu'est-ce que le changement (rebinding) et le DNS est-il responsable de cette faille ?

L'article Protecting Browsers from DNS Rebinding Attacks, ainsi qu'une démonstration à grand spectacle à la conférence Black Hat ont suscité un intérêt médiatique marqué. Qu'y a t-il dans cet article ? Pour le comprendre, je me permets un petit détour sur le modèle de sécurité d'un navigateur Web typique.

Comme nous avons pu le voir dans la première partie de cet article consacré au HTTPS, la sécurisation de la communication dans le monde du web est primordiale. Cette seconde partie est donc logiquement dédiée à sa mise en pratique, pour montrer qu’il est très facile de déployer des certificats gratuits, valables 90 jours et délivrés par une autorité certifiée.

Au départ, je pensais que c’était une attaque comme les autres décrites par mes amis @rootbsd et @SecurityBeard

Le week-end des 23 et 24 février a vu beaucoup d'articles dans les médias à propos d'une campagne d'attaques Internet menées via les noms de domaine. Qu'est-ce qui s'est passé ?

Cet article se veut pédagogique et prévu pour des gens qui ne sont pas des experts en noms de domaine. (Les experts qui veulent plein de détails techniques devront attendre un peu, pour un autre article.)

Bon bha ça y est le weekend est passé et tout le monde a publié son ptit truc concernant la grosse attaque des Internets !

About a quarter of internet users use a virtual private network, a software setup that creates a secure, encrypted data connection between their own computer and another one elsewhere on the internet.

Salut tout le monde !

Aujourd’hui je vais vous parler de ce qui représente le point d’entrée de la sécurité informatique, et qui pourtant, d’après mes observations personnelles, n’est pas encore très bien acquis par tout le monde.

Les mots de passe 😱

Bam le sujet est lancé, j’ai pas peur de choquer moi.

J’avoue que l’objet même du mail m’a fait sourire. J’ai plusieurs adresses email, chaque boîte correspondant à une activité assez précise et ne sont pas liées entre elles. Par ailleurs, n’utilisant pas le même mot de passe pour mes activités en ligne, quand bien même l’un d’eux serait compromis, cela n’affecterait qu’un service particulier. Enfin, j’ai une carte bancaire sans autorisation de découvert, dédiée à mes achats en ligne, avec un numéro de portable entièrement dédié. Sans aller jusqu’à dire qu’il n’y a aucun point faible dans mon système, disons que je prends certaines précautions.

Avoir des mots de passe solides, c’est bien (et même indis­pen­sable), mais s’en souve­nir… c’est dur. On serait tenté de tout enre­gis­tré dans son navi­ga­teur, avec un mot de passe maître pour stocker les mots de passe de façon chif­frée mais… Fire­fox par exemple a un système de chif­fre­ment par mot de passe maître tout pourri.

In this talk, I’ll present several attacks that leak the plaintext of OpenPGP or S/MIME encrypted emails to an attacker. Some of the attacks are technically interesting, i.e. the two different efail attacks, some are somewhat silly, yet effective. Some abuse HTML emails, some also work with plain ASCII emails. Furthermore, I’ll discuss our lessons learned and describe the efail-related changes to mail clients and the OpenPGP and S/MIME standards.

In the Internet’s early days, those wishing to register their own domain name had only a few choices of top-level domain to choose from, such as .com, .net, or .org. Today, users, innovators, and companies can get creative and choose from more than a thousand top-level domains, such as .cool, .deals, and .fun. But should they?

Whether you're a software developer or a sysadmin, I bet you're using SSH keys. Pushing your commits to Github or managing your Unix systems, it's best practice to do this over SSH with public key authentication rather than passwords. However, as time flies, many of you are using older keys and not aware of the need to generate fresh ones to protect your privates much better. In this post I'll demonstrate how to transition to an Ed25519 key smoothly, why you would want this and show some tips and tricks on the way there.

Salt est un logi­ciel de gestion de confi­gu­ra­tion comme Puppet ou Ansible.
Je l’uti­lise chez Frama­soft et sur mon infra person­nelle parce que je l’aime bien :
rapide ;
très bien docu­menté ;
syntaxe claire, acces­sible mais néan­moins flexible et puis­sante.

Le filtrage DNS est un moyen simple pour bloquer une majorité de publicités, traqueurs et sites malveillants avec un minimum d'efforts. La mise en place est rapide et facilement réversible.

Those that know me or have followed me online will know I'm a massive advocate of encryption on the web. One of my goals is to help encrypt as much of the web as I can by sharing knowledge and information, building tools and services, speaking at conferences and countless other things. I see this blog post as part of that mission.

First, I find amusing that many people like to quote "if that is free, then you are the product", but when it comes to Let's Encrypt, they forget this statement and enjoy their certificates carelessly.

This article explains a strange bug in the way Gmail organizes its folders/filters based on falsifying the From field in an attacker’s email. Any email so forged automatically enters the recipients “Sent” folder — giving the false impression to the unwitting user it was an email they themselves sent.

fuxploider: File upload vulnerability scanner and exploitation tool.