@Guigui : super je me le note. Merci !
Brihx merci pour le lien. Par contre le coup des fonctions de dérivation de clefs qui doivent êtres rejouées n-fois pour éviter le brut-force j'ai toujours trouvé cela stupide et je m'explique.
Le but d'augmenter le nombre d'itérations est de ralentir l'algorithme de hash/crypto afin de se protéger des attaques de type brut-force. Or la puissance de calcul augmentant sans cesse avec le temps, plus les générations de CPU passent et plus il faut augmenter ce nombre d'itérations, ceci encore et toujours, jusqu'à consommer tout le pétrole sur terre pour le calcul d'un simple hash...
Sinon, on arrête de coder comme des profs de math débiles et on ajoute un Thread.sleep(1000) après le calcul du hash. Comme ça et quoi qu'il arrive, le check d'un mot de passe prendra toujours au moins 1 seconde quelque soit le CPU derrière, évitant ainsi les attaques du type brut-force, et en plus ça évite de contraindre un algo à utiliser un proc à 100% pour rien et ainsi de exposer son service à des attaques de type DDos.
Après ce n'est pas le rôle des matheux de coder efficace, c'est à nous (les IT) de comprendre ce qu'il faut faire et de bien le faire.
Outch, la dernière version stable est touchée (1.3.72). Il est recommandé de migrer vers la 1.4.0 aussitôt qu'elle sera publiée.
La criticité est de 8.8/10, avec une faille permettant une élévation de privilèges, ça fait mal.
Edit : je n'avais pas vu mais Kotlin 1.4.0 était déjà sortie. Il semble que le NIST et l'OWASP aient publié l'info qu'une fois la nouvelle version de Kotlin fût corrigée et publiée par JetBrains. C'est très pro !
Alerte au gogol ! Alerte au gogol les enfants
Boursorama en ajoutant des trackers de serveurs de pub sur son site permet à des sociétés tierces d'accéder aux comptes de ses clients. Bravo, zetes des champions...
C'est un scandale, information à faire tourner autant que possible en espérant que le bad-buzz leur serve de leçon !
Je viens de tester chez Free et Free Mobile => les deux sont 100 % ok.
@Chlouchloutte t'es pas chez Orange ou Sosh pour nous dire ?
@Riduidel et encore le pire c'est lorsqu'on regarde le code même vite-fait !
Certaines classes de tests sont des coquilles vides qui chargent un contexte Spring qui sera rechargé la classe d'après... (Encore ça admettons)
Mais la cerise sur le gâteau c'est ce test qui montre que côté cryptographie ils utilisent 3DES.
Pour ceux qui ne le saurait pas, 3DES (ou Triple DES) est sensible à plusieurs attaques de différents types réduisant la taille de clef la clef privée de 168 bits à 80 bits et que le NIST considère comme déprécié depuis trois ans déjà ; heureusement qu'il ne s'agit que d'une application qui ne contiendrait que les données personnelles de tous les français.
Euh... Attendez une seconde... (눈_눈)
Edit : en fait j'ai lu un peu vite car ce test est bien une classe de test mais qui ne contient qu'une main() et donc qui n'est pas un test... Pareil, je n'avais pas vu le répertoire test dans src/test/java... Ni tous les TU qui n'ont aucune assertion et donc qui ne sont pas des TU mais des fonctions qui s'exécutent et dont le résultat est validé avec "ses petits yeux" par le développeur !!! À ce niveau-là ça n'est plus de l'amateurisme, c'est une forme d'Art aux antipodes du Software Craftsmanship.
Un très bon article sur JWT et comment assurer l'authenticité d'un token et par corollaire la répudiation d'un token douteux.
Je cite @Sebsauvage :
Un peu violent mais sûrement efficace: Quand PortSentry détecte des connexions sur les services fictifs qu'il expose, il bloque l'IP source.
Du coup via Sebsauvage.
Bon, je testerai dès la rentrée cette n-ième faille de sécurité de Windows ! lol
Bon bah tout est dans le titre... Dans ce post j'affirmais que :
Vous pouvez ne faire confiance à personne en ce qui concerne votre vie privée. Les meilleures boites se font hacker tous les jours et celles dont on ne parle pas ou peu sont juste celles qui sont meilleures pour étouffer les affaires !
Est-ce que vous pensez qu'il existe des sociétés ayant plus de moyens que Facebook, pouvant se payer de meilleurs ingénieurs que Facebook et détenant autant de données sensibles et intimes que Facebook ? (Pour info, le développeur-architecte sénior est à 950 K$ / an en 2019 chez Facebook hein).
Ca restreint pas mal le champs des possibles n'est-ce pas ? Et pourtant Facebook s'est encore une fois transformée en passoire... Dégagez votre appli Facebook, cette immondice est littéralement un spyware ; et pour votre santé mentale je vous recommanderais de dégager aussi Facebook de votre vie !
Imaginez le scénario... Vous échangez des SMS intimes... Parfois très intimes avec quelqu'un ou même plusieurs personnes et... Et ??? ET !!?????
Toutes vos conversations se retrouvent sur internet, avec votre nom, votre numéro et votre géolocalisation à chaque fois. Bref de quoi vous identifier, dresser un profil psychologique trèèèèèèès précis comprenant tous vos désirs les plus secrets et de quoi vous retrouver facilement.
Alors là il ne s'agit "que des numéros (émetteur & destinataire) et du contenu des messages" donc "ça va" on ne peut pas encore vous géolocaliser hein... Juste pas lol (è_é)
Combien de temps faudra-t-il encore le répéter : chiffrez vos conversations. Vous pouvez ne faire confiance à personne en ce qui concerne votre vie privée. Les meilleures boites se font hacker tous les jours et celles dont on ne parle pas ou peu sont juste celles qui sont meilleures pour étouffer les affaires !
Globalement pour faciliter le SSO, l'authentification à deux facteurs et se prémunir contre certaines attaques.
Via Eorn.
Je cite :
Firefox est le seul navigateur à avoir obtenu un sans faute lors d'un récent audit réalisé par l'agence allemande de sécurité informatique - l'Office fédéral allemand de la sécurité de l'information (ou le Bundesamt für Sicherheit in der Informationstechnik - BSI). La BSI a testé Mozilla Firefox 68 (ESR), Google Chrome 76, Microsoft Internet Explorer 11 et Microsoft Edge 44. Les tests n'incluaient pas d'autres navigateurs tels que Safari, Brave, Opera ou Vivaldi.
Bon c'est piègeaclic, mais un peu de publicité pour le navigateur qui n'en a pas ce sera ma contribution du jour au logiciel libre !
La Sécurité Sociale pour tous !? Non merci, je ne veux pas payer pour la santé d'autres personnes. Je préfère l'assurance privée où je paie pour la santé d'autres personnes ET pour le salaire d’intermédiaires vampires dont le seul rôle consiste à me dire NON quand j'ai besoin de me faire soigner.
Un résumé en une image :
Comment installer, configurer, tuner et sécuriser son instance nginx.
Via Hedi
Oh comme c'est beau ! La sécurité permet de faire avancer tellement facilement les choses !!!
Pour vous résumer l'article, l'authentification à deux facteurs n'est pas jugée suffisamment sécurisée par l'Union Européenne (oui toujours cette même saleté) et donc les banques ont l'obligation de faire mieux :
- Installer une appli au code source fermé sur les mobiles de tous les citoyens.
- Et le mot magique ajouter de la biométrie (typiquement il faut filer ses empruntes digitales à sa banque pour avoir le droit de se payer un Big Mac avec son argent à soi).
Je l'ai dit et je vais le redire, l'oligarchie n'a pas de patrie, pas de sympathie pour les gens et cherche par tous les moyens à mettre en place un contrôle total lui garantissant sa place sous le soleil et au sommet de la pyramide sociale qu'elle a bâti elle-même pour elle-même.
La double authentification par sms n'est pas jugée suffisamment sûr, mais quels problèmes rencontre-t-elle pour justifier de tels propos ? "Pas suffisamment sûr" mais sur quels critères ? À quel moment est-on considéré comme "suffisamment sûr" ? Les citoyens ont-ils le droit de décider du degré de risque qu'ils souhaiteront prendre ou y seront-ils forcés comme des enfants ?
Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux.
Benjamin Franklin
Les liens vers les fichiers de base de données de vulnérabilités (CVE) du consortium OWASP.
Pour @Doudou. Tout un tas de check-list portant sur les thèmes de la sécurité.