Un carnet pour noter ses mots de passe. Une idée de cadeau de Noël ? — Pascal MARTIN : développement Web & PHP

#17910

J’avoue, de tous les moyens de stockage de mots de passe, le carnet en papier est peut-être celui qui est le plus solide.

Un stockage dans le navigateur ? Laisse tomber : si c’est Chrome (et pas seulement), les mots de passes sont envoyés en ligne et à la merci du prochain hack de Google.

Un stockage dans une extension de navigateur ? Même chose, mais chez l’éditeur, ou alors il suffit que l’éditeur soit hacké et l’extension se met soudainement à tout envoyer chez un pirate.

Un stockage sur un fichier ou un gestionnaire de notes ? Il suffit d’un virus pas trop con et c’est mort aussi.

Oh et une méthode chiffrée parmi les idées ci-dessus ne me semble pas non plus plus sécurisé. À un moment donnée, un gestionnaire de mot de passe doit avoir accès au mot de passe en clair. C’est obligé. Et un virus / hacker peut très bien se réveiller à ce moment là.

Si vous devez stocker vos mots de passe parce que vous n’arrivez pas à les retenir de tête, le papier me semble également le plus sécurisé.

Évidemment, il ne faut que vous ayez une bibliothèque vide avec un seul calepin estampillé « MeS MoTs De PaSseS ». Un peu de discrétion est évidemment nécessaire (un carnet « ce carnet ne contient pas tous mes mots de passes » est donc beaucoup mieux #patapé #jerigole).

Quant à tout retenir de tête… soit vous êtes un surhumain avec une mémoire très forte (ce qui n’est pas impossible), soit vous avez un algo top secret de tête… et le point faible se trouve là.

Mais autrement, je rejoins l’article là : un carnet n’est peut-être pas forcément une mauvaise idée.

À la limite on pourrait offusquer un peu ça, en y mettant des numéros, comme par exemple 111.23.56.143.555… correspondant aux numéros de pages dans un bouquin particulier, duquel l’on prendrait les premières lettres pour reformer le mot de passe : mais là encore, ça ralentirait seulement un cambrioleur ou les autorités, mais vous également…

https://blog.pascal-martin.fr/post/un-carnet-pour-noter-ses-mots-de-passe-une-idee-de-cadeau-de-noel.html

This Toy Can Open Any Garage - YouTube

#17799

Super intéressant, et un peu flippant.

Le tout a bien-sûr devenir de plus en plus commun avec les serrures de porte connectés, et tout le reste, qui ne sont que des version un peu plus complexes que ce qui est présenté là dedans.

Let's Encrypt est-il en train de passer de sauveur à single point of failure (SPOF) ?

#17344

+1

J’y avais pensé aussi.

On peut faire la même remarque par exemple pour tout ce qui est Framasoft (leurs services en ligne là). C’est joli de dégoogliser Internet, mais si c’est pour mettre ses œufs dans un autre panier unique, c’est pas l’idéal non plus.

La solution, concernant Frama, ils l’ont : ce sont les C.H.A.T.O.N.S : un collectifs où chaque membre héberge une instance du service, de façon indépendante. Un peu à la manière de Mastodon.

Faire la même chose pour Let’s Encrypt semble pas mal, mais ça signifie aussi l’éventuelle naissance d’instances corrompues / vérolées / …

Ensuite, le HTTPS permet deux choses :
– chiffrer les communications entre le serveur et le navigateur
– authentifier le fait qu’un site est bien le site qu’il prétend être.

Dans mon cas (et je pense la majorité des cas), seule la première partie est intéressante. L’autre fonction est d’avantage utile pour les sites sensibles (banques, services gouvernementaux, etc.).

Or ceci, c’est déjà possible : n’importe qui pour produire un certificat HTTPS pour chiffrer son site. C’est juste que ce certificat ne sera pas signé et ne pourra pas servir pour authentifier le site. Le problème avec ça, c’est que les navigateurs lèvent une alerte pour cette raison…

https://www.nextinpact.com/news/105955-lets-encrypt-est-il-en-train-passer-sauveur-a-single-point-of-failure-spof.htm

Third party CSS is not safe - JakeArchibald.com

#17274

Maieuh…

Il est possible de faire un keylogger en CSS…

L’article, globalement, suggère (à juste titre) que si on utilise des scripts externes, ça revient à donner les clés de son site à quelqu’un d’autre (celui qui gère ledit script : JS peut tout faire sur la page, en fait, y compris remplir des champs, modifier des formulaires, faire des requêtes…).

Utiliser des styles externes semble moins risqué, mais il reste tout de même possible de faire beaucoup de choses… Le keylogger est juste un exemple.

La conclusion à tirer est qu’il faut tout héberger chez soi. Et surtout, comme d’hab, faire attention à ce qu’on récupère : un fichier CSS téléchargé puis hébergé sur son site peut très bien lui-même faire des includes() ailleurs, y compris sur des images, des svg…

https://jakearchibald.com/2018/third-party-css-is-not-safe/

Je suis toujours Charlie, et vous ? – Parigot-Manchot

#17118

Je ne lis pas forcément Charlie, je n’aime pas forcément Charlie, mais je refuse qu’on tue ceux qui le font.

Y a pas eu besoin de Charlie pour ça, mais c’est effectivement mon état d’esprit aussi.

Le problème 3 ans après, c’est que ce mème est devenue l’excuse justement pour instaurer des politiques sécuritaires où l’on "tue" ce qui font des choses avec lesquelles certains sont en désaccord.

Concrètement et par exemple, au nom de l’anti-terrorisme, l’État place une arme dans les mains de tous les policiers, même privés (agents de sécurité), même peu entraînés (policiers municipaux), et même en dehors de leur service.

Une arme, quand elle est utilisée, est destinée à tuer ou mutiler. Placer une arme dans les mains de quelqu’un, c’est lui donner le droit de vie où de mort de ceux qui sont à portée.

Quand c’est l’État qui le fait avec les policiers, ça revient à placer la peine de mort entre des mains individuelles plutôt qu’entre les mains d’une institution comme la Justice.

Et ça, ce n’est pas Charlie.
Je ne veux pas vivre dans un monde où l’on tue des humoristes. Mais je ne veux pas non plus vivre dans un monde où un inconnu mandaté par mon pays peut me descendre s’il en a envie ou s’il pète un câble.