Le Hollandais Volant

Attention si vous utilisez LetsEncrypt : ils vont révoquer 3 048 289 de certificats à cause d’un bug.

Pour voir si vous êtes concernés, tapez votre nom de domaine là : https://checkhost.unboundtest.com/

30 dollars de matos suffisent pour faire sauter la limite de paiement via une carte sans contact.

En fait, comme d'hab, seule une intervention physique sur la carte (perçage au niveau de la bobine d'induction, ou mise en place d'un étui blindé) permet réellement de se protéger.

Les banques, ainsi que Visa et Mastercard vous mentent et font l'autruche.

Tiens, intéressant : sur certains outils, quand on entre un mauvais couple login/mot de passe, il affiche un bouton "mot de passe incorrecte, voulez-vous réinitialiser ?"

Jusque là, rien d’anormal. Sauf quand quand on clic dessus, mais que le login est mauvais, alors ils nous dit "login incorrect".

Du coup ça nous donne déjà une information : pas besoin de chercher un mot de passe, si déjà le login est mauvais, n’est-ce pas ?

Comment contourner l’authentification à deux étapes en deux secondes…

Ouais… Ça pourrait se tenir : le scénario du hacker est plausible. Sauf que :
– si ça avait été vrai, il n’aurait probablement pas dit « si tu veux pas, c’est ok aussi ». Pour moi, ça retire toute crédibilité : pourquoi faire chier les gens si « c’est ok aussi » ?
– dans tous les systèmes d’authentification à deux étapes, il y a un moyen de procéder si on n’a plus accès à son téléphone. Il y a toujours un moyen, même s’il est chiant ou long (parfois, la plateforme nous appelle ou nous demande nos papier, mais c’est possible).

Dans tous les cas : ne donnez jamais vos codes à des inconnus. Ni les mots de passe.

Don’t. Store. Your. Passwords.

Never.
Ever.
Nowhere.
At no times.

Or you’ll regret it.

Un audit de Thunderbird et d'Enigmail a montré d'importantes failles.

Mettez à jour Thunderbird des que possible. Mettez à jour Enigmail tout de suite (déjà corrigé).
N'utilisez pas d'extensions non-maintenues et n'utilisez pas le client mail pour lire les RSS. Et ça devrait aller.

Et sinon mon petit lien qui va bien : apprendre à utiliser Thunderbird pour envoyer des messages chiffrés

Pendant ce temps là, à Nice, on instaure tranquillement une milice populaire. Seuls des "bon fasho" (100% Charlie, #NationFrançaise et bon patriotes) seront sélectionnés.

Et si milice vous gêne, je sais pas, appelez ça Section de Sécurité, ou SS pour faire plus court. C'est bien SS.

Je suppose que le critère de sélection comprend également un QI inférieur à 42, pour accepter de faire ça alors que ça supprime des postes de flics entraînés à faire ça ?
Je suis pas spécialement pour mettre des flics à tous leq coins de rue, mais entre des flics un minimum entraîné et des civils qui vont plus se sentir pisser, le choix est vite fait.

Avec ça, au moins, je propose que Nice soit officiellement le Texas français... Aussi arriéré...

Dites @Google, c’est pas un peu contre productif le fait de mettre une case "ne plus me demander sur cet ordinateur" dans le cas d’une double authentification ? Et encore plus contre productif de cocher cette case par défaut ?

Oui, votre popup « pour plus de simplicité, laissez cette case cochée » est bien joli, mais ça enlève carrément l’intérêt à la double authentification.

En suivant cette logique, pourquoi ne pas non plus retirer aussi le champ du mot de passe ?

Je viens d’installer un certificat Let's Encrypt sur lehollandaisvolant.net.

Vous pouvez aller sur https://lehollandaisvolant.net/ et il ne devrait plus y avoir d’erreurs de "certificat autosigné".

HTTPS permet en fait deux chose :
** chiffrer les communications ;
** authentifier le site

Pour les blogs perso, l’important c’est le premier point : le chiffrement c’est importante. Si vous avez wordpress ou shaarli ou tout autre système qui demande une authentification, il faut utiliser le chiffrement sinon votre mot de passe et login voyage en clair sur le réseau.


La mise en place d’un certificat est relativement simple. Il suffit de suivre ce qui est là : https://zatsunenomokou.eu/blog/index.php?article8/creer-un-certificat-sur-un-hebergement-web-avec-seulement-ftp

Ici on passe en mode "ligne de commande" manuelle parce que le serveur qui héberge le site N’EST PAS l’ordinateur qui va générer le certificat (mon pc, dans le cas présent).

On commence par écrire la ligne de commande en donnant le nom du site (lehollandaisvolant.net). Ensuite, va dire qu’il faut uploader un fichier (au nom compliqué dans un dossier /.well-known/acme-challenge) : ça permet de prouver qu’on est bien le proprio du site (je peux mettre un fichier sur "lehollandaisvolant.net" mais pas sur "google.com", qui n’est pas à moi).

Une fois terminé, on se retrouve avec 4 fichiers (sur mon PC, donc) dans /etc/letsencrypt/live/lehollandaisvolant.net/*.

Il faut utiliser ces fichiers et les envoyer sur le serveur qui contient votre site.
Pour ma part, j’ai une page pour le faire grâce au panel admin que me propose mon hébergeur.

** le champ "Certificate" doit être rempli avec le fichier "fullchain.pem"
** le champ "Private Key" avec le fichier "privkey.pem"

Quand tout est en place et validé, votre site en HTTPS est accessible et ne lève plus d’erreurs.

Attention quand même : la validité est de 3 mois seulement (pour le moment, vu que c’est en phase bêta, je crois). Le renseignement de l’email lors de la création du certificat devrait être là pour vous avertir avant l’expiration.

NOTE : tant que Let's Encrypt restera en phase bêta, je ne mettrais pas le site HTTPS par défaut. Pour l’instant il est donc possible de rester en HTTP simple.

(Root requis)

« AFWall+ (Android Firewall +) is a front-end application for the powerful iptables Linux firewall »

Il utilise iptables, le pare-feu interne de Linux (Android est basé sur Linux).

Il permet de choisir par liste blanche ou liste noire, de choisir si on autorise une appli en wifi-local, en wifi non local, en data ou via le VPN (il utilise les différents modules réseau d’Android).

Et il fonctionne, évidemment.

Chez moi l’IP publique est la même sur les deux pages même avec mon VPN : c’est bon, donc.

(ça m’empêche pas de désactiver WebRTC pour le moment, dans about:config)

Ah bravo, WhatsApp !

lol ?

Au moins, le réseau Turbo d’Opera ne s’active pas en HTTPS, uniquement en HTTP.

(via tcit)