J'aide un web-master à supprimer les spam de forum, mais maintenant tous par les proxy, vu qu'on a supprimé les plages des pays concernés.
Comme les proxy suppriment l'en-tête de l'expéditeur, j'aimerais savoir si quelqu'un connait le moyen de trouver l'origine dans le paquet ip.
Je sais que l'on peut le faire avec des programmes très spéciaux, qui coutent "les yeux de la tête"e;e;e;, mais n'y a t-il pas une autre méthode ou des programmes free/shreware qui le permettent ?
C'est un peu pour ça que j'imaginais introduire des variations dans le stockage de la clef de cryptage, pour que le pirate ne sache pas tout de suite où chercher ...
Et donc toi-même tu finiras par ne plus savoir où chercher et tu te retrouveras coincé face à un serveur avec lequel seul un accès ph ysique permettrait de récupérer tes données.
Oui alors c'est vrai que si pour l'accès client la procédure de changement de mot de passe laisse à désirer ...
Stéphane Catteau a écrit, le 19/03/2013 17:58 :
Gloops n'était pas loin de dire :
C'est un peu pour ça que j'imaginais introduire des variations dans le
stockage de la clef de cryptage, pour que le pirate ne sache pas tout de
suite où chercher ...
Et donc toi-même tu finiras par ne plus savoir où chercher et tu te
retrouveras coincé face à un serveur avec lequel seul un accès ph ysique
permettrait de récupérer tes données.
Oui alors c'est vrai que si pour l'accès client la procédure de
changement de mot de passe laisse à désirer ...
C'est un peu pour ça que j'imaginais introduire des variations dans le stockage de la clef de cryptage, pour que le pirate ne sache pas tout de suite où chercher ...
Et donc toi-même tu finiras par ne plus savoir où chercher et tu te retrouveras coincé face à un serveur avec lequel seul un accès ph ysique permettrait de récupérer tes données.
Oui alors c'est vrai que si pour l'accès client la procédure de changement de mot de passe laisse à désirer ...
Gloops
Stéphane Catteau a écrit, le 19/03/2013 18:06 :
Ce qui est logique. Tu dis toi-même que c'est du mutualisé, il y a donc X personnes qui partage le même serveur. Non seulement cela constituerait une faille de sécurité puisque tu pourrais sortir de ta zone réservée, mais en plus bonjour l'état du serveur si à chaq ue script celui-ci était reconfiguré par les uns et les autres.
Penses-tu qu'il faille reconfigurer tout le serveur à chaque fois qu'on veut crypter une section de configuration avec la commande système ?
Stéphane Catteau a écrit, le 19/03/2013 18:06 :
Ce qui est logique. Tu dis toi-même que c'est du mutualisé, il y a
donc X personnes qui partage le même serveur. Non seulement cela
constituerait une faille de sécurité puisque tu pourrais sortir de ta
zone réservée, mais en plus bonjour l'état du serveur si à chaq ue
script celui-ci était reconfiguré par les uns et les autres.
Penses-tu qu'il faille reconfigurer tout le serveur à chaque fois qu'on
veut crypter une section de configuration avec la commande système ?
Ce qui est logique. Tu dis toi-même que c'est du mutualisé, il y a donc X personnes qui partage le même serveur. Non seulement cela constituerait une faille de sécurité puisque tu pourrais sortir de ta zone réservée, mais en plus bonjour l'état du serveur si à chaq ue script celui-ci était reconfiguré par les uns et les autres.
Penses-tu qu'il faille reconfigurer tout le serveur à chaque fois qu'on veut crypter une section de configuration avec la commande système ?
Stéphane Catteau
Nicolas George devait dire quelque chose comme ceci :
Tu pourrais dire avec quel site tu l'as essayé, voire re-lancer l'essai, y investir encore un petit peu de ton karma exceptionnel, et noter les résultats.
Essais relancé ce week-end[1] et j'ai bien fait de ne pas jouer au loto :/ Sur 2x 15000 essais, 5 chaînes trouvées à l'identique pour les chaînes longues et 0 pour les chaînes courtes de type "mot de passe". Et aucun cas où la chaine trouvée était différente de celle soumise. Si ça intéresse quelqu'un je peux toujours mettre le script à disposition, mais bon, à voir.
[1] Je squate l'ordi des enfants pendant qu'ils sont pas là ;)
-- 17/06/1969 - 18/01/2011
Repose en paix mon amour :'(
Nicolas George devait dire quelque chose comme ceci :
Tu pourrais dire avec quel site tu l'as essayé, voire re-lancer l'essai, y
investir encore un petit peu de ton karma exceptionnel, et noter les
résultats.
Essais relancé ce week-end[1] et j'ai bien fait de ne pas jouer au
loto :/
Sur 2x 15000 essais, 5 chaînes trouvées à l'identique pour les chaînes
longues et 0 pour les chaînes courtes de type "mot de passe". Et aucun
cas où la chaine trouvée était différente de celle soumise.
Si ça intéresse quelqu'un je peux toujours mettre le script à
disposition, mais bon, à voir.
[1]
Je squate l'ordi des enfants pendant qu'ils sont pas là ;)
Nicolas George devait dire quelque chose comme ceci :
Tu pourrais dire avec quel site tu l'as essayé, voire re-lancer l'essai, y investir encore un petit peu de ton karma exceptionnel, et noter les résultats.
Essais relancé ce week-end[1] et j'ai bien fait de ne pas jouer au loto :/ Sur 2x 15000 essais, 5 chaînes trouvées à l'identique pour les chaînes longues et 0 pour les chaînes courtes de type "mot de passe". Et aucun cas où la chaine trouvée était différente de celle soumise. Si ça intéresse quelqu'un je peux toujours mettre le script à disposition, mais bon, à voir.
[1] Je squate l'ordi des enfants pendant qu'ils sont pas là ;)
-- 17/06/1969 - 18/01/2011
Repose en paix mon amour :'(
Stéphane Catteau
Gloops n'était pas loin de dire :
[Cryptage de communication SSH like]
Mais si le site est capable de décrypter avec ce qu'il y a dans le web.config, le pirate devrait y arriver par le même algorithme, non ?
Pour résumer simplement une chose qui ne l'est pas autant que ça :
Pour pouvoir faire cela, il faudrait qu'il soit au milieu de la transaction et qu'il fonctionne comme un proxy, simulant d'un côté le serveur, et simulant le client de l'autre côté. C'est faisable sur le papier, ça l'est surement aussi en pratique, mais c'est très très loin d'être une chose triviale à faire et certains des facteurs intervenants dans le processus rendent la tache bien difficile à accomplir. Donc, même si quelqu'un dispose de tout ce qu'il faut pour mettre en oeuvre une telle attaque, il ne le fera que pour quelque chose qui en vaut réellement la peine. Or, sans vouloir te déprécier, je doute que ce soit le cas de ton site.
OK il faut s'appuyer sur un algorithme reconnu donc le secret ne résidera pas dans l'algorithme. Mais j'ai quand même l'impression que ça ne serait pas idiot d'être discret sur l'endroit où est stockée la clef ? Donc, que penses-tu de passer par une pirouette pour la récupérer ?
Que c'est inutilement casse-gueule. La seule et unique chose qui doive rester secret, c'est ta clé privée. Et là, comme je l'ai déjà dit, au pire tu la places sur une clé USB que tu connectes à chaque fois que tu as besoin d'accéder à la clé.
-- 17/06/1969 - 18/01/2011
Repose en paix mon amour :'(
Gloops n'était pas loin de dire :
[Cryptage de communication SSH like]
Mais si le site est capable de décrypter avec ce qu'il y a dans le
web.config, le pirate devrait y arriver par le même algorithme, non ?
Pour résumer simplement une chose qui ne l'est pas autant que ça :
Pour pouvoir faire cela, il faudrait qu'il soit au milieu de la
transaction et qu'il fonctionne comme un proxy, simulant d'un côté le
serveur, et simulant le client de l'autre côté.
C'est faisable sur le papier, ça l'est surement aussi en pratique,
mais c'est très très loin d'être une chose triviale à faire et certains
des facteurs intervenants dans le processus rendent la tache bien
difficile à accomplir.
Donc, même si quelqu'un dispose de tout ce qu'il faut pour mettre en
oeuvre une telle attaque, il ne le fera que pour quelque chose qui en
vaut réellement la peine. Or, sans vouloir te déprécier, je doute que
ce soit le cas de ton site.
OK il faut s'appuyer sur un algorithme reconnu donc le secret ne
résidera pas dans l'algorithme. Mais j'ai quand même l'impression que
ça ne serait pas idiot d'être discret sur l'endroit où est stockée la
clef ? Donc, que penses-tu de passer par une pirouette pour la
récupérer ?
Que c'est inutilement casse-gueule. La seule et unique chose qui doive
rester secret, c'est ta clé privée. Et là, comme je l'ai déjà dit, au
pire tu la places sur une clé USB que tu connectes à chaque fois que tu
as besoin d'accéder à la clé.
Mais si le site est capable de décrypter avec ce qu'il y a dans le web.config, le pirate devrait y arriver par le même algorithme, non ?
Pour résumer simplement une chose qui ne l'est pas autant que ça :
Pour pouvoir faire cela, il faudrait qu'il soit au milieu de la transaction et qu'il fonctionne comme un proxy, simulant d'un côté le serveur, et simulant le client de l'autre côté. C'est faisable sur le papier, ça l'est surement aussi en pratique, mais c'est très très loin d'être une chose triviale à faire et certains des facteurs intervenants dans le processus rendent la tache bien difficile à accomplir. Donc, même si quelqu'un dispose de tout ce qu'il faut pour mettre en oeuvre une telle attaque, il ne le fera que pour quelque chose qui en vaut réellement la peine. Or, sans vouloir te déprécier, je doute que ce soit le cas de ton site.
OK il faut s'appuyer sur un algorithme reconnu donc le secret ne résidera pas dans l'algorithme. Mais j'ai quand même l'impression que ça ne serait pas idiot d'être discret sur l'endroit où est stockée la clef ? Donc, que penses-tu de passer par une pirouette pour la récupérer ?
Que c'est inutilement casse-gueule. La seule et unique chose qui doive rester secret, c'est ta clé privée. Et là, comme je l'ai déjà dit, au pire tu la places sur une clé USB que tu connectes à chaque fois que tu as besoin d'accéder à la clé.
-- 17/06/1969 - 18/01/2011
Repose en paix mon amour :'(
Nicolas George
Stéphane Catteau , dans le message , a écrit :
Sur 2x 15000 essais, 5 chaînes trouvées à l'identique pour les chaînes longues et 0 pour les chaînes courtes de type "mot de passe".
Ça reste beaucoup. As-tu gardé les cinq chaînes longues ?
Stéphane Catteau , dans le message <mn.cc297dd337e1a6dc.30736@sc4x.org>,
a écrit :
Sur 2x 15000 essais, 5 chaînes trouvées à l'identique pour les chaînes
longues et 0 pour les chaînes courtes de type "mot de passe".
Ça reste beaucoup. As-tu gardé les cinq chaînes longues ?
Sur 2x 15000 essais, 5 chaînes trouvées à l'identique pour les chaînes longues et 0 pour les chaînes courtes de type "mot de passe".
Ça reste beaucoup. As-tu gardé les cinq chaînes longues ?
Stéphane Catteau
Nicolas George n'était pas loin de dire :
Sur 2x 15000 essais, 5 chaînes trouvées à l'identique pour les chaînes longues et 0 pour les chaînes courtes de type "mot de passe".
Ça reste beaucoup. As-tu gardé les cinq chaînes longues ?
Comme j'avais obtenu un nombre élevé (relativement parlant évidement) de chaînes déjà présente dans le dictionnaire, j'ai préféré me contenter de conserver les infos sur les chaînes différentes ; j'aurais eu l'air un peu con si le script me retournait un beau "out of memory" en plein milieu de son travail. Bon, je trouve un moment dans la semaine, je modifie le script en conséquence, je le publie quelque part et je laisse les autres entamer leur capital chance ;)
-- 17/06/1969 - 18/01/2011
Repose en paix mon amour :'(
Nicolas George n'était pas loin de dire :
Sur 2x 15000 essais, 5 chaînes trouvées à l'identique pour les chaînes
longues et 0 pour les chaînes courtes de type "mot de passe".
Ça reste beaucoup. As-tu gardé les cinq chaînes longues ?
Comme j'avais obtenu un nombre élevé (relativement parlant évidement)
de chaînes déjà présente dans le dictionnaire, j'ai préféré me
contenter de conserver les infos sur les chaînes différentes ; j'aurais
eu l'air un peu con si le script me retournait un beau "out of memory"
en plein milieu de son travail.
Bon, je trouve un moment dans la semaine, je modifie le script en
conséquence, je le publie quelque part et je laisse les autres entamer
leur capital chance ;)
Sur 2x 15000 essais, 5 chaînes trouvées à l'identique pour les chaînes longues et 0 pour les chaînes courtes de type "mot de passe".
Ça reste beaucoup. As-tu gardé les cinq chaînes longues ?
Comme j'avais obtenu un nombre élevé (relativement parlant évidement) de chaînes déjà présente dans le dictionnaire, j'ai préféré me contenter de conserver les infos sur les chaînes différentes ; j'aurais eu l'air un peu con si le script me retournait un beau "out of memory" en plein milieu de son travail. Bon, je trouve un moment dans la semaine, je modifie le script en conséquence, je le publie quelque part et je laisse les autres entamer leur capital chance ;)
-- 17/06/1969 - 18/01/2011
Repose en paix mon amour :'(
xavier
Stéphane Catteau wrote:
Dans quel sens ? Parce que bon, PuTTY est très bien et pour le reste il y a Perl.
Dans le sens serveur, et aussi client en CLI.
Windows, depuis 7/2008R2 a intégré pas mal d'outils Unix, mais SSH ne fait pas encore partie de leur culture.
-- XAv In your pomp and all your glory you're a poorer man than me, as you lick the boots of death born out of fear. (Jethro Tull)
Stéphane Catteau <steph.nospam@sc4x.net> wrote:
Dans quel sens ? Parce que bon, PuTTY est très bien et pour le reste
il y a Perl.
Dans le sens serveur, et aussi client en CLI.
Windows, depuis 7/2008R2 a intégré pas mal d'outils Unix, mais SSH ne
fait pas encore partie de leur culture.
--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
