In article ,
VANHULLEBUS Yvan wrote:Nom de fichier + MD5 est aujourd'hui considere comme "leger", meme si
les exploitations concretes sont encore experimentales pour ce que
j'en ai vu (en tout cas pas facilement generalisables).
Concretement, on ne sait pas generer un fichier ayant le meme MD5 qu'un
fichier donne, mais on sait generer deux fichiers de MD5 identique.
La question qui se pose, c'est la perennite de la chose: MD5 a du plomb
dans l'aile, et peut-etre que la prochaine faille finira de tout casser.
Note que SHA1 n'est pas beaucoup mieux loti, il se pose la question de
savoir par quoi les remplacer...
In article <87is05wjig.fsf@actarus.zen.inc>,
VANHULLEBUS Yvan <vanhu@nospam_free.fr> wrote:
Nom de fichier + MD5 est aujourd'hui considere comme "leger", meme si
les exploitations concretes sont encore experimentales pour ce que
j'en ai vu (en tout cas pas facilement generalisables).
Concretement, on ne sait pas generer un fichier ayant le meme MD5 qu'un
fichier donne, mais on sait generer deux fichiers de MD5 identique.
La question qui se pose, c'est la perennite de la chose: MD5 a du plomb
dans l'aile, et peut-etre que la prochaine faille finira de tout casser.
Note que SHA1 n'est pas beaucoup mieux loti, il se pose la question de
savoir par quoi les remplacer...
In article ,
VANHULLEBUS Yvan wrote:Nom de fichier + MD5 est aujourd'hui considere comme "leger", meme si
les exploitations concretes sont encore experimentales pour ce que
j'en ai vu (en tout cas pas facilement generalisables).
Concretement, on ne sait pas generer un fichier ayant le meme MD5 qu'un
fichier donne, mais on sait generer deux fichiers de MD5 identique.
La question qui se pose, c'est la perennite de la chose: MD5 a du plomb
dans l'aile, et peut-etre que la prochaine faille finira de tout casser.
Note que SHA1 n'est pas beaucoup mieux loti, il se pose la question de
savoir par quoi les remplacer...
Tu bosses pour la DST
Je ne travaille pas pour eux...
Mais j'accorde la même importance à une adresse email qu'à un numéro
de carte Visa...
je préfère bouffer sur mon temps libre que de me retrouver un jour avec la
liste de nos membres à vendre sur la toile (où le patron qui me fusille)...
Pour moi un exemple simple: Tu t'abonne à une mailing-list respectable, et
la machine qui gère le mailing se fait hacker par un zozo quelconque qui
publie/revend ton mail perso au plus offrant; Tu est heureux de recevoir
des tonnes de crasses tout les jours?
Tu bosses pour la DST
Je ne travaille pas pour eux...
Mais j'accorde la même importance à une adresse email qu'à un numéro
de carte Visa...
je préfère bouffer sur mon temps libre que de me retrouver un jour avec la
liste de nos membres à vendre sur la toile (où le patron qui me fusille)...
Pour moi un exemple simple: Tu t'abonne à une mailing-list respectable, et
la machine qui gère le mailing se fait hacker par un zozo quelconque qui
publie/revend ton mail perso au plus offrant; Tu est heureux de recevoir
des tonnes de crasses tout les jours?
Tu bosses pour la DST
Je ne travaille pas pour eux...
Mais j'accorde la même importance à une adresse email qu'à un numéro
de carte Visa...
je préfère bouffer sur mon temps libre que de me retrouver un jour avec la
liste de nos membres à vendre sur la toile (où le patron qui me fusille)...
Pour moi un exemple simple: Tu t'abonne à une mailing-list respectable, et
la machine qui gère le mailing se fait hacker par un zozo quelconque qui
publie/revend ton mail perso au plus offrant; Tu est heureux de recevoir
des tonnes de crasses tout les jours?
Sous Linux, il y a /dev/shm qui est bien pratique comme zone en rwx (par
défaut). D'ailleurs, j'ai vu plusieurs exploits (par exemple pour
awstats) qui utilisaient cette facilité ...
Sous Linux, il y a /dev/shm qui est bien pratique comme zone en rwx (par
défaut). D'ailleurs, j'ai vu plusieurs exploits (par exemple pour
awstats) qui utilisaient cette facilité ...
Sous Linux, il y a /dev/shm qui est bien pratique comme zone en rwx (par
défaut). D'ailleurs, j'ai vu plusieurs exploits (par exemple pour
awstats) qui utilisaient cette facilité ...
Le Fri, 24 Jun 2005 11:34:14 +0000, MaXX a écrit :Faut être sûr que les applis/CGIs/autres sont propres... Par ex un machin
qui permet une injection SQL; dans ce cas que la BDD soit locale ou
distante ne changera rien, seuls les droits sur les différents objets
peuvent éviter de tout casser (au moins limiter les dégâts).
Tu remarqueras que je n'ai pas dit que c'était plus sûr, mais que ça
évitait que le httpd n'écrive sur le disque. Et je n'ai pas non plus
parlé de distance... Bref...
Oups... Désolé, je crois que la chaleur me joue des tours... Enfin ça reste
Le Fri, 24 Jun 2005 11:34:14 +0000, MaXX a écrit :
Faut être sûr que les applis/CGIs/autres sont propres... Par ex un machin
qui permet une injection SQL; dans ce cas que la BDD soit locale ou
distante ne changera rien, seuls les droits sur les différents objets
peuvent éviter de tout casser (au moins limiter les dégâts).
Tu remarqueras que je n'ai pas dit que c'était plus sûr, mais que ça
évitait que le httpd n'écrive sur le disque. Et je n'ai pas non plus
parlé de distance... Bref...
Oups... Désolé, je crois que la chaleur me joue des tours... Enfin ça reste
Le Fri, 24 Jun 2005 11:34:14 +0000, MaXX a écrit :Faut être sûr que les applis/CGIs/autres sont propres... Par ex un machin
qui permet une injection SQL; dans ce cas que la BDD soit locale ou
distante ne changera rien, seuls les droits sur les différents objets
peuvent éviter de tout casser (au moins limiter les dégâts).
Tu remarqueras que je n'ai pas dit que c'était plus sûr, mais que ça
évitait que le httpd n'écrive sur le disque. Et je n'ai pas non plus
parlé de distance... Bref...
Oups... Désolé, je crois que la chaleur me joue des tours... Enfin ça reste
On Fri Jun 24 2005 at 09:12, MaXX wrote:Tu bosses pour la DST
Je ne travaille pas pour eux...
Si tu travaillais pour eux, tu ne t'en vanterais pas :-]Mais j'accorde la même importance à une adresse email qu'à un numéro
de carte Visa...
Grosse erreur, à mon humble avis : si l'on veut que la sécurité reste
économique et ne coûte pas plus cher que les attaques, les moyens de
défense doivent être proportionnés à la valeur de ce qu'ils
protègent. Une adresse e-mail ne permet pas de siphonner ton compte en
banque.
Bah, c'était un exemple... Si mon serveur tombe et qu'un petit malin
je préfère bouffer sur mon temps libre que de me retrouver un jour avec
la liste de nos membres à vendre sur la toile (où le patron qui me
fusille)...
C'est un autre problème, pénal celui-ci (protection des données
personnelles). Dit autrement, tu protèges ta liberté, ce qui a un prix
plus élevé que n'importe quel tas de silicium.
CF. plus haut...
Pour moi un exemple simple: Tu t'abonne à une mailing-list respectable,
et la machine qui gère le mailing se fait hacker par un zozo quelconque
qui publie/revend ton mail perso au plus offrant; Tu est heureux de
recevoir des tonnes de crasses tout les jours?
Et si un membre de la respectable liste publie lui même les
coordonnées des adhérents ? Ou envoie son archive personnelle à un
pote moins sérieux ?
Je vais replacer une théorie personnelle (à mon grand âge, on radote).
Si tu le dis.. Mais je persiste, les "vieux" ont plus d'expérience que les
Les Romains avaient un mince cordon de troupes sur la frontière de
l'Empire. Quand la pression des Barbares s'est accrue, les légions
étaient incapables de les empêcher de franchir la frontière et les
Barbares s'égaillaient dans tout l'Empire.
Pour sauver l'honneur, je préfère me battre que de poser les armes au
Je retrouve souvent ce "principe du Limes" : un fortin devant, là où
il y a Internet et les pas-beaux, et des passoires derrière.
Je préfère administrer une machine plutôt qu'un passoire... Pas toi?
La "défense en profondeur", il n'y a que ça qui marche.
Tu ne laisses pas trainer ton adresse e-mail ? Bien. Mais sois prêt à
activer un filtre anti-spam le jour où les cochonneries vont commencer
à pleuvoir. Et si ça continue, sois prêt à la griller et en ouvrir une
autre.
Ha? depuis 1997 je n'ai jamais reçu plus de 10 spam par jour (score SA
Ceinture, bretelle et parachute.
Au final, c'est moins cher qu'un gros système doûteux.
On Fri Jun 24 2005 at 09:12, MaXX wrote:
Tu bosses pour la DST
Je ne travaille pas pour eux...
Si tu travaillais pour eux, tu ne t'en vanterais pas :-]
Mais j'accorde la même importance à une adresse email qu'à un numéro
de carte Visa...
Grosse erreur, à mon humble avis : si l'on veut que la sécurité reste
économique et ne coûte pas plus cher que les attaques, les moyens de
défense doivent être proportionnés à la valeur de ce qu'ils
protègent. Une adresse e-mail ne permet pas de siphonner ton compte en
banque.
Bah, c'était un exemple... Si mon serveur tombe et qu'un petit malin
je préfère bouffer sur mon temps libre que de me retrouver un jour avec
la liste de nos membres à vendre sur la toile (où le patron qui me
fusille)...
C'est un autre problème, pénal celui-ci (protection des données
personnelles). Dit autrement, tu protèges ta liberté, ce qui a un prix
plus élevé que n'importe quel tas de silicium.
CF. plus haut...
Pour moi un exemple simple: Tu t'abonne à une mailing-list respectable,
et la machine qui gère le mailing se fait hacker par un zozo quelconque
qui publie/revend ton mail perso au plus offrant; Tu est heureux de
recevoir des tonnes de crasses tout les jours?
Et si un membre de la respectable liste publie lui même les
coordonnées des adhérents ? Ou envoie son archive personnelle à un
pote moins sérieux ?
Je vais replacer une théorie personnelle (à mon grand âge, on radote).
Si tu le dis.. Mais je persiste, les "vieux" ont plus d'expérience que les
Les Romains avaient un mince cordon de troupes sur la frontière de
l'Empire. Quand la pression des Barbares s'est accrue, les légions
étaient incapables de les empêcher de franchir la frontière et les
Barbares s'égaillaient dans tout l'Empire.
Pour sauver l'honneur, je préfère me battre que de poser les armes au
Je retrouve souvent ce "principe du Limes" : un fortin devant, là où
il y a Internet et les pas-beaux, et des passoires derrière.
Je préfère administrer une machine plutôt qu'un passoire... Pas toi?
La "défense en profondeur", il n'y a que ça qui marche.
Tu ne laisses pas trainer ton adresse e-mail ? Bien. Mais sois prêt à
activer un filtre anti-spam le jour où les cochonneries vont commencer
à pleuvoir. Et si ça continue, sois prêt à la griller et en ouvrir une
autre.
Ha? depuis 1997 je n'ai jamais reçu plus de 10 spam par jour (score SA
Ceinture, bretelle et parachute.
Au final, c'est moins cher qu'un gros système doûteux.
On Fri Jun 24 2005 at 09:12, MaXX wrote:Tu bosses pour la DST
Je ne travaille pas pour eux...
Si tu travaillais pour eux, tu ne t'en vanterais pas :-]Mais j'accorde la même importance à une adresse email qu'à un numéro
de carte Visa...
Grosse erreur, à mon humble avis : si l'on veut que la sécurité reste
économique et ne coûte pas plus cher que les attaques, les moyens de
défense doivent être proportionnés à la valeur de ce qu'ils
protègent. Une adresse e-mail ne permet pas de siphonner ton compte en
banque.
Bah, c'était un exemple... Si mon serveur tombe et qu'un petit malin
je préfère bouffer sur mon temps libre que de me retrouver un jour avec
la liste de nos membres à vendre sur la toile (où le patron qui me
fusille)...
C'est un autre problème, pénal celui-ci (protection des données
personnelles). Dit autrement, tu protèges ta liberté, ce qui a un prix
plus élevé que n'importe quel tas de silicium.
CF. plus haut...
Pour moi un exemple simple: Tu t'abonne à une mailing-list respectable,
et la machine qui gère le mailing se fait hacker par un zozo quelconque
qui publie/revend ton mail perso au plus offrant; Tu est heureux de
recevoir des tonnes de crasses tout les jours?
Et si un membre de la respectable liste publie lui même les
coordonnées des adhérents ? Ou envoie son archive personnelle à un
pote moins sérieux ?
Je vais replacer une théorie personnelle (à mon grand âge, on radote).
Si tu le dis.. Mais je persiste, les "vieux" ont plus d'expérience que les
Les Romains avaient un mince cordon de troupes sur la frontière de
l'Empire. Quand la pression des Barbares s'est accrue, les légions
étaient incapables de les empêcher de franchir la frontière et les
Barbares s'égaillaient dans tout l'Empire.
Pour sauver l'honneur, je préfère me battre que de poser les armes au
Je retrouve souvent ce "principe du Limes" : un fortin devant, là où
il y a Internet et les pas-beaux, et des passoires derrière.
Je préfère administrer une machine plutôt qu'un passoire... Pas toi?
La "défense en profondeur", il n'y a que ça qui marche.
Tu ne laisses pas trainer ton adresse e-mail ? Bien. Mais sois prêt à
activer un filtre anti-spam le jour où les cochonneries vont commencer
à pleuvoir. Et si ça continue, sois prêt à la griller et en ouvrir une
autre.
Ha? depuis 1997 je n'ai jamais reçu plus de 10 spam par jour (score SA
Ceinture, bretelle et parachute.
Au final, c'est moins cher qu'un gros système doûteux.
[...] utiliser mod_security, mod_dossevasive [...]
Euh, pour moi, moins il y a de code qui tourne, moins il y a de chances
d'avoir des problèmes. Une recherche Google me donne au moins un bug pour
chacun de ces modules :
http://www.securityfocus.com/bid/9885
http://security.lss.hr/en/index.php?pageÞtails&ID=LSS-2005-01-01
[...] utiliser mod_security, mod_dossevasive [...]
Euh, pour moi, moins il y a de code qui tourne, moins il y a de chances
d'avoir des problèmes. Une recherche Google me donne au moins un bug pour
chacun de ces modules :
http://www.securityfocus.com/bid/9885
http://security.lss.hr/en/index.php?pageÞtails&ID=LSS-2005-01-01
[...] utiliser mod_security, mod_dossevasive [...]
Euh, pour moi, moins il y a de code qui tourne, moins il y a de chances
d'avoir des problèmes. Une recherche Google me donne au moins un bug pour
chacun de ces modules :
http://www.securityfocus.com/bid/9885
http://security.lss.hr/en/index.php?pageÞtails&ID=LSS-2005-01-01
[...]SMS? Short Message System?
Service !
Mais il faut un modem-GSM, c'est cher, c'est vrai.
Il existe 2 autres solutions : les passerelles Web/SMS et le service SMS
sur ligne fixe de FT.
Ce que je cherche c'est un moyen de me beeper quand la ligne ADSL tombe ou
Faut savoir déléguer parfois ou se syndiquer :-)
Il y a des jours où j'aimerais...
Comme tu dis ça je sens que je vais relire à deux fois les clauses de mon
assurance voyage quand je vais partir en Australie...
L'assurance peut se résumer à débrancher le portable dès le retrait des
billets.
J'y compte bien vu les coûts en roaming ;-)
Du reste c'est surtout le contrat de travail pour lequel il faudra
vérifier les clauses : ton employeur pourra-t-il te reprocher de n'avoir
pas vérifier qu'il avait bien compris tes consignes ?
Lui non, sa femme oui...
[...]Les coûts (mon temps) je m'en préoccupe peu, je met en place au boulot,
je répercute chez moi donc j'allie l'utile à l'agréable en quelques
sortes. Je ne me casses pas la tête pour des heures (je sais je suis
con).
Tu n'es pas con, c'est con. Car ne pas répercuter ces coûts biaise le
véritable coût de l'infrastructure ce qui ne permet pas de comparer par
rapport aux solutions équivalentes du marché. Ta hiérarchie est sans
doute très contente de cet état mais n'est pas consciente que c'est
elle, un jour, qui en paiera les frais.
D'accord sur ce point.
Désassmebler une femme ça a son charme également :
MOV, JMP, ADD, SUB, ADD, SUB, MUL !
MDR!
Toi, tu es dans une PME hein ?
TPE même...
Ca se voit tout de suite :-)
db
[...]
SMS? Short Message System?
Service !
Mais il faut un modem-GSM, c'est cher, c'est vrai.
Il existe 2 autres solutions : les passerelles Web/SMS et le service SMS
sur ligne fixe de FT.
Ce que je cherche c'est un moyen de me beeper quand la ligne ADSL tombe ou
Faut savoir déléguer parfois ou se syndiquer :-)
Il y a des jours où j'aimerais...
Comme tu dis ça je sens que je vais relire à deux fois les clauses de mon
assurance voyage quand je vais partir en Australie...
L'assurance peut se résumer à débrancher le portable dès le retrait des
billets.
J'y compte bien vu les coûts en roaming ;-)
Du reste c'est surtout le contrat de travail pour lequel il faudra
vérifier les clauses : ton employeur pourra-t-il te reprocher de n'avoir
pas vérifier qu'il avait bien compris tes consignes ?
Lui non, sa femme oui...
[...]
Les coûts (mon temps) je m'en préoccupe peu, je met en place au boulot,
je répercute chez moi donc j'allie l'utile à l'agréable en quelques
sortes. Je ne me casses pas la tête pour des heures (je sais je suis
con).
Tu n'es pas con, c'est con. Car ne pas répercuter ces coûts biaise le
véritable coût de l'infrastructure ce qui ne permet pas de comparer par
rapport aux solutions équivalentes du marché. Ta hiérarchie est sans
doute très contente de cet état mais n'est pas consciente que c'est
elle, un jour, qui en paiera les frais.
D'accord sur ce point.
Désassmebler une femme ça a son charme également :
MOV, JMP, ADD, SUB, ADD, SUB, MUL !
MDR!
Toi, tu es dans une PME hein ?
TPE même...
Ca se voit tout de suite :-)
db
[...]SMS? Short Message System?
Service !
Mais il faut un modem-GSM, c'est cher, c'est vrai.
Il existe 2 autres solutions : les passerelles Web/SMS et le service SMS
sur ligne fixe de FT.
Ce que je cherche c'est un moyen de me beeper quand la ligne ADSL tombe ou
Faut savoir déléguer parfois ou se syndiquer :-)
Il y a des jours où j'aimerais...
Comme tu dis ça je sens que je vais relire à deux fois les clauses de mon
assurance voyage quand je vais partir en Australie...
L'assurance peut se résumer à débrancher le portable dès le retrait des
billets.
J'y compte bien vu les coûts en roaming ;-)
Du reste c'est surtout le contrat de travail pour lequel il faudra
vérifier les clauses : ton employeur pourra-t-il te reprocher de n'avoir
pas vérifier qu'il avait bien compris tes consignes ?
Lui non, sa femme oui...
[...]Les coûts (mon temps) je m'en préoccupe peu, je met en place au boulot,
je répercute chez moi donc j'allie l'utile à l'agréable en quelques
sortes. Je ne me casses pas la tête pour des heures (je sais je suis
con).
Tu n'es pas con, c'est con. Car ne pas répercuter ces coûts biaise le
véritable coût de l'infrastructure ce qui ne permet pas de comparer par
rapport aux solutions équivalentes du marché. Ta hiérarchie est sans
doute très contente de cet état mais n'est pas consciente que c'est
elle, un jour, qui en paiera les frais.
D'accord sur ce point.
Désassmebler une femme ça a son charme également :
MOV, JMP, ADD, SUB, ADD, SUB, MUL !
MDR!
Toi, tu es dans une PME hein ?
TPE même...
Ca se voit tout de suite :-)
db
Je vais replacer une théorie personnelle (à mon grand âge, on radote).
Les Romains avaient un mince cordon de troupes sur la frontière de
l'Empire. Quand la pression des Barbares s'est accrue, les légions
étaient incapables de les empêcher de franchir la frontière et les
Barbares s'égaillaient dans tout l'Empire.
Je retrouve souvent ce "principe du Limes" : un fortin devant, là où
il y a Internet et les pas-beaux, et des passoires derrière.
Je vais replacer une théorie personnelle (à mon grand âge, on radote).
Les Romains avaient un mince cordon de troupes sur la frontière de
l'Empire. Quand la pression des Barbares s'est accrue, les légions
étaient incapables de les empêcher de franchir la frontière et les
Barbares s'égaillaient dans tout l'Empire.
Je retrouve souvent ce "principe du Limes" : un fortin devant, là où
il y a Internet et les pas-beaux, et des passoires derrière.
Je vais replacer une théorie personnelle (à mon grand âge, on radote).
Les Romains avaient un mince cordon de troupes sur la frontière de
l'Empire. Quand la pression des Barbares s'est accrue, les légions
étaient incapables de les empêcher de franchir la frontière et les
Barbares s'égaillaient dans tout l'Empire.
Je retrouve souvent ce "principe du Limes" : un fortin devant, là où
il y a Internet et les pas-beaux, et des passoires derrière.
Je me refuse à croire que la défense en profondeur ne soit pas la
règle générale. Je ne parle pas des PME bien entendu.
Je me refuse à croire que la défense en profondeur ne soit pas la
règle générale. Je ne parle pas des PME bien entendu.
Je me refuse à croire que la défense en profondeur ne soit pas la
règle générale. Je ne parle pas des PME bien entendu.
Mais bon, normal, c'est ce dont la presse parlait, avant tout.
Mais en 2005, tout de même. Je me refuse à croire que la défense en
profondeur ne soit pas la règle générale. Je ne parle pas des PME bien
entendu.
Mais bon, normal, c'est ce dont la presse parlait, avant tout.
Mais en 2005, tout de même. Je me refuse à croire que la défense en
profondeur ne soit pas la règle générale. Je ne parle pas des PME bien
entendu.
Mais bon, normal, c'est ce dont la presse parlait, avant tout.
Mais en 2005, tout de même. Je me refuse à croire que la défense en
profondeur ne soit pas la règle générale. Je ne parle pas des PME bien
entendu.
