Menu principal

Statut de la page

Veille de la semaine #6 de 2018

8 Key React Component Decisions (en) : Au delà des 8 choix techniques, cet article donne un panorama de comment les projets React sont généralement organisés avec en plus quelques rappels historiques sur l'évolution de React lui-même. How we improved webpack build performance by 95% (en) : At the worst time, the entire build would take as long as 3 hours and 21 minutes! Please Stop Using Local Storage (en) : Éventuellement à lire après How EU Cookie Law Myths Affect Web Security. Traduction libre d'un paragraphe : Pour faire simple, il [...]
Lire la suite
Vus : 515
Publié par Damien Pobel : 25

Vérification kernel et navigateur Spectre et Meltdown

lol.jpeg

Script de vérification.

# git clone https://github.com/speed47/spectre-meltdown-checker.git
cd spectre-meltdown-checker/
./spectre-meltdown-checker.sh

ou plus simple mais moins précis (fonctionne que pour Meltdown) :

dmesg | grep "Kernel/User page tables isolation: enabled" && echo "patched :)" || echo "unpatched :("

MAJ du mercedi 10 : Si vous voulez pas jouer avec git :

wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh

Vérifier votre navigateur pour spectre :

http://xlab.tencent.com/special/spectre/spectre_check.html

Vus : 342
Publié par System Linux : 203

Mise à jour à venir pour contrer les failles Meltdown et Spectre

L’information ne vous a peut-être pas échappé mais deux failles de sécurité portant les noms de Spectre et Meltdown ont été découvertes ce 03 Janvier 2018. Meltdown a été découverte par Jann Horn de chez Google (dans le cadre du projet Google Project Zero), d’un cabinet de consulting en sécurité informatique (Cyberus-technology.de) et de chercheurs de l’Université de Technologie située à Graz. Quant à Spectre, c’est à nouveau Jann Horn de chez Google ; Paul Kocher en collaboration de Daniel Genkin (Université de Pennsylvanie et Université du Maryland), Mike Hamburg (Rambus), Moritz Lipp (Université de Technologie située à Graz) et Yuval Yarom (Université d’Adélaïde et [...]
Lire la suite
Vus : 351
Publié par elementary OS : 353

Le bordel arrive sous peu...Différence entre Meltdown et Spectre

m_s.jpg

OuCh...

Petit lien pour s'informer :

https://danielmiessler.com/blog/simple-explanation-difference-meltdown-spectre/

Pour les windobiens :

https://support.microsoft.com/en-us/help/4056892/windows-10-update-kb4056892

https://meltdownattack.com/

Va falloir choisir entre la vitesse et la sécurité :p

Pour vérifier en ligne de commande si les patchs sont bien passés :

grep bugs /proc/cpuinfo

Si vous n'avez pas insecure_cpu c'est que vous êtes encore vulnérable.

Vus : 479
Publié par System Linux : 203

Firewall : Mon script iptables

Je partage ici mon script de firewall iptable. C’est un script « à l’ancienne », dans du bash… ça fait le taf, mais rien de bien transsudant. En gros : On ferme tout les ports sauf ceux qui nous intéresse (80, 25, icmp…) Petite fonction pour ouvrir les ports mis en écoute sur Portsentry. Portsentry c’est un petit logiciel de sécurité en mode « pot de miel ». On met des ports en écoute mais il n’y a rien derrière. Dès que quelqu’un tente de s’y connecter (un robot ou quelqu’un de malveillant), ça bloque son IP dans le firewall pour un temps donnée. C’est radical si vous déplacez le port SSH du 22 vers autre chose et que vous mettez Portsentry à écouter (entre autre) sur le 22… Mode maintenance du serveur web (lancé via ./iptables.sh [...]
Lire la suite
Vus : 36
Publié par David Mercereau : 36

Let’s Encrypt sur HAProxy (Partie 2)

Le fonctionnement de la Terre, avant qu’un certain Galilée y mette son grain de sel, a toujours déchaîné les passions des Hommes et a consommé beaucoup d’encre. Parmi les théories les plus folles, Terry Pratchett nous enseigne dans sa série de livres du Disque Monde que le monde repose sur le dos de quatre gigantesques éléphants, eux-même reposant sur la carapace d’une tortue encore plus gigantesque appelée A’Tuin. Les quatre éléphants (Bérilia, Tubul, Ti-Phon l’Immense et Jérakine) se répartissent la charge que représente le poids du disque terrestre grâce à la rotation quotidienne de ce dernier. Si maintenant vous ne voyez pas le rapport entre une cosmologie impliquant des animaux au moins aussi grands que des continents capable de tenir en apnée pendant des milliards d’années et le sujet [...]
Lire la suite
Vus : 252
Publié par raspbeguy : 12

Petit test simpliste de Ani-Shell.php

Charmant fichier php... Pour tester la "chose" il vous faut un apache et php sur votre bécane : # apt-get update && apt install apache2 # apt install php7.0 libapache2-mod-php7.0 # service apache2 restart Vérifier que ça fonctionne : # vi /var/www/html/phpinfo.php Copier ceci dedans : <?php phpinfo(); ?> Télécharger la "chose" : Cette bestiole est détecté en malware alors faites gaffe... : https://sourceforge.net/projects/ani-shell/files/?source=navbar # mv Ani-Shell.php [...]
Lire la suite
Vus : 136
Publié par System Linux : 203

Pensez à faire vos mises à jour OS

Si vous avez suivi vos flux twitter, rss ou certains sites d’actualités informatiques, il ne vous a pas échappé que le protocole WPA2 (ndlr : utilisé pour les réseaux Wifi) était sensible à plusieurs vulnérabilités permettant dans certains cas à un utilisateur malveillant d’intercepter les communications entre un client et un point d’accès Wi-fi, pouvant amener le client à réutiliser des paramètres entrant en compte dans le chiffrement des données échangées. Elementary s’appuyant sur les dépôts Ubuntu, Canonical a déjà mis à disposition un correctif pour ces 2 packages : il est disponible comme une simple mise à jour de votre OS, les packages suivant seront mis à jour : PackageVersion [...]
Lire la suite
Vus : 421
Publié par elementary OS : 353

RTPBleed et Asterisk : les appels d’Asterisk sous écoute

Asterisk souffre d’un problème assez grave permettant à un attaquant d’écouter simplement vos conversations. Une attaque de l’homme du milieu (man-in-the-middle), sans être vraiment au milieu d’ailleurs, permet de rediriger les flux RTP assez facilement. L’annonce a été faite il y a quelques jours (31/08/2017). Il s’agit en fait d’un vieux bug datant de 2011 qui a été réintroduit au premier trimestre 2013. Le premier report annonçant la régression date de mai dernier ainsi que le patch (fournit pour test). L’annonce officielle a été faite le 31 août dernier. Quelles sont les versions vulnérables ? Toutes les versions d’Asterisk entre la 11.4.0 à la 14.6.1 sont malheureusement [...]
Lire la suite
Vus : 166
Publié par Mathias : 93
Vus : 233
Publié par System Linux : 203
Powered by BilboPlanet