1. # 2932

    Jabber.org se tourne vers un serveur propriétaire

     
    linuxfr.org/2010/01/26/26... (http)

    Le site jabber.org a été le premier à offrir un service de messagerie instantanée basée sur XMPP, en 1999, avec comptes gratuits. De 1999 à février 2006 le logiciel libre jabberd (GPL, C/C++) a été utilisé. Puis une migration vers un autre serveur libre, ejabberd (GPL, Erlang), a eu lieu.
    Leur site est en train de migrer, péniblement apparemment, vers un serveur non libre (M-Link d'Isode Ltd), qui semble avoir du mal avec la charge du site. Le choix d'une solution propriétaire est étrange, lorsque l'on connaît le nombre de serveurs libres existants, que l'on met ses annonces sous « Creative Commons Public Domain License » et que l'on vante les clients Jabber/XMPP libres.

    Comme dirait @ced117... LOL ?
    Non, non, pas LOL
  2. # 2931

    De l'intérêt d'analyser ses fichiers de log

     
    Mon scoop sur le 'faux' 0-day de Microsoft, relayé entre autre par Tristan Nitot himself sur Twitter et sur son blog personnel a eu l'effet escompté: tout plein de visites ;-)
    Mais cela a aussi eu un effet de bord auquel je m'attendais moins: plein d'erreurs HTTP 400 :-(

    Ce blog-notes est le résultat (poussif) d'un développement perso. Poussif, parce que j'ai mis un peu longtemps pour le sortir...
    Mais, n'étant pas développeur de profession, j'ai omis un léger détail: les visiteurs ne font jamais ce à quoi on s'attend.
    En l'occurence, j'ai eu un certain nombre de visites (61 pour être précis) dont l'URL était non pas:
    blog-notes.jbfavre.org/?le-0day-internet-explorer-nen-etait-pas-un,2921
    mais
    blog-notes.jbfavre.org/?le-0day-internet-explorer-nen-etait-pas-un%2C2921

    Un urlencode qui coûte "cher". Toutes mes excuses donc pour ce vilain bug qui a été écrasé par une tapette à mouches géante.
    Bonsoir.


    Hein ??? Ah pardon, je n'ai même pas précisé comment je m'en était aperçu... euh, en fait c'est tout con: un script perl pour analyser les logs, suivi de grep sauvages, le tout saupoudré d'un pincée de connexion SSH sur le serveur ;-) Viii, promis, je documente tout ça très bientôt .
    Bon, cette fois, bonsoir.
  3. # 2930

    Microsoft confirme une faille de #Windows vieille de 17 ans.

     
    www.zdnet.fr/actualites/i... (http)

    Après le faux #0-day mais vrai 180-days, voici le 6205-days...
    Y a pas, y sont forts à Redmond :-D
  4. # 2929

    Microsoft, le 180-day exploit et les relations presse

     
    www.zdnet.fr/actualites/i... (http)
    Bon, le correctif est sorti, les pigeons clients utilisateurs d'IE ont eu tout le week-end pour patcher, ouf, c'est fini... hmmm ? Ah non, pardon, pas tout à fait en fait.

    Chipotons un brin:
    ZDNet publie une capture de ce qui semble être un communiqué de presse diffusé par Microsoft France. Extrait du communiqué de presse (Note: je n'ai pas retrouvé ce communiqué sur le site Microsoft France):

    Microsoft annonce qu'il publiera dans la soirée une mise à jour de sécurité exceptionnelle

    Toujours d'après Microsoft, mais dans son bulletin de sécurité MS10-002 cette fois, extrait:

    Mise à jour de sécurité cumulative pour Internet Explorer

    Dans la nomenclature Microsoft, un correctif cumulatif (comme son nom l'indique) corrige plusieures failles de sécurité. Raisonnablement, ils doivent être testés pendant quelques temps.

    Donc, en résumé, Microsoft a, dans l'urgence, publié un correctif cumulatif pour une faille touchant toutes les version d'IE en circulation (IE6, IE7 & IE8) bien qu'exploitable (?) que sur IE6, navigateur en perte de vitesse par rapport à ses petits frères (et heureusement).

    Euh, c'est moi où ils nous prennent pour des crétins ?
  5. # 2928

    Linké sur standblog

     
    standblog.org/blog/post/2... (http)
    Comme quoi bien lire les bulletins de sécurité Microsoft peut conduire tout droit sur standblog.org.

    A propos de la récente faille de Microsoft Internet Explorer, celle qui fut utilisée pour attaquer Google, j'écrivais que n'importe quel navigateur pouvait être victime d'une faille 0-day (Faille dont on découvre l'existence après que l'attaque ait eu lieu.) J'ajoutais que ce qui compte, c'est la rapidité de réaction pour corriger le problème. Je me réjouissais de voir un correctif publié rapidement. Pourtant, il s'est avéré que la faille était connue de Microsoft depuis août 2009, et ça, c'est un vrai scandale !

    Merci Tristan ;-)
    #3615mavie #jmelapète
  6. # 2927

    Howto convert vmware images to virtualbox

     
    nigibox.wordpress.com/201... (http)
  7. # 2926

    Adding windows 7 machine to samba domain

     
    nigibox.wordpress.com/201... (http)

    Today i have same trouble adding windows 7 machine to a samba domain thanks to samba ml i find this way,that work for me, change registry key on windows 7 without changing anything on samba server

  8. # 2925

    Se prémunir des "SpyWebs" avec Privoxy

     
    artisan.karma-lab.net/nod... (http)

    Entendons-nous bien, je comprends parfaitement l'importance des outils statistiques pour la gestion de la stratégie d'un site. Mais il existe aujourd'hui d'autres solutions (awstats, piwik (anciennement phpmyvisites), etc.) qui stockent localement les données des utilisateurs. Il est aujourd'hui parfaitement possible, avec certes un peu plus d'efforts, d'obtenir les mêmes résultats avec en prime un respect de ses utilisateurs, et une maîtrise des données.

  9. # 2924

    Release soon, release often

     
    blog-notes.jbfavre.org/ (http)
    Mais pas trop vite !

    Bref, le problème de feuille CSS est corrigé :-P
  10. # 2923

    On peut en faire des choses avec du stop-motion et des LEGO !

     
    www.journaldugeek.com/201... (http)

    On peut en faire des choses avec du stop-motion et des LEGO !

  11. # 2922

    Des sites gouvernementaux français visés par l'opération AURORA ?

     
    www.certa.ssi.gouv.fr/sit... (http)
    La lecture du bulletin de sécurité MS10-002 publié par Microsoft jeudi dernier le laisse en tout cas penser.

    En effet, Microsoft remercie un certain nombre d'entités pour leur coopération et le report d'informations concernant des attaques "ciblées" et "limitées" sur des utilisateurs d'IE6:

    Microsoft thanks the following companies for working with us and for providing details of limited, targeted attacks against customers of Internet Explorer 6:
    * Google Inc. and MANDIANT
    * Adobe
    * McAfee
    * French government CSIRT (CERTA)

    Or, le Centre d'Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques (CERTA) est "chargé d'assister les organismes de l'administration à mettre en place des moyens de protection et à résoudre les incidents ou les agressions informatiques dont ils sont victimes" (source: www.certa.ssi.gouv.fr/cer... (http)).

    Alors, la France a-t-elle été attaquée ? Aucune information n'est en tout cas disponible sur le site du CERTA.
  12. # 2921

    Le 0-day internet explorer n'en était pas un

     
    www.microsoft.com/technet... (http)

    Alors là, c'est la surprise du jour. La faille IE, présentée comme un 0-day, qui a été utilisée contre Google et une trentaine d'autre entreprise n'en est pas un.

    En fait, Microsoft a été averti de l'existence de cette faille... en août dernier !

    (Les emphases sont de mon fait).
    Une lecture attentive du bulletin de sécurité Microsoft nous apprend que:

    Microsoft thanks the following for working with us to help protect customers:
    Meron Sellem of BugSec for reporting the HTML Object Memory Corruption Vulnerability (CVE-2010-0249)

    Or, une petite visite sur le site de BugSec (www.bugsec.com/ (http) ) plus tard, on découvre cela:

    BugSec group’s On Line Fraud Research team, Versafe, found and reported a critical vulnerability in Internet Explorer in August 2009. The vulnerability was reported to Microsoft and treated on Jan. 21, 2010.

    Là c'est pas évident. Mais cliquez sur le lien (www.bugsec.com/index.php?... (http) ) et vous découvrirez ceci:

    This vulnerability used for attack against Google's accounts and reported on Wednesday, August 26, 2009 2:54 PM (GMT +2:00).


    Ouch ! #MegaFail !
  13. # 2920

    MS10-002 - Surprises !!!

     
    www.microsoft.com/france/... (http)
    Ayé ! Les gentils utilisateurs de MSIE sont presque sauvés des chinois. Mais si, souvenez-vous: Google, la Chine tout ça.

    Le correctif est critique (tu m'étonnes) et, chose étonnante, y compris pour IE7 & 8.
    Étonnant ? Ben oui, jugez plutôt:

    La faille est bien présente sur les versions 6, 7 et 8. Néanmoins, sur les deux dernières versions cette faille n'est pas exploitable.

    C'est pas moi qui le dit, c'est Bernard Ourghanlian de Microsoft France là:
    Interview de Bernard Ourghanlian par Boris Manenti (mardi 19 janvier 2009)

    Alors qui dit vrai: Microsoft ou... Microsoft ? Nan, parce que là quand même, on parle "juste" d'exécution de code à distance...

    Accessoirement, BugSec, à l'origine de la découverte de la faille CVE-2010-0249, annonce que toutes les versions d'IE sont vulnérables:

    Vulnerable:
    Microsoft Internet Explorer 8
    Microsoft Internet Explorer 7.0
    Microsoft Internet Explorer 6.0 SP1
    Microsoft Internet Explorer 6.0

    Alors ? Toujours réticent à utiliser un vrai navigateur ?
  14. # 2919

    La machine qui ne sert à rien

     
    www.youtube.com/v/Z86V_IC... (http)

    The most useless machine


    C'est con, mais ça m'a fait marrer 10 minutes.
  15. # 2918

    Sécurité d'Internet Explorer: mais où va nous ?

     
    Alors ça y est, le CERTA et le BSI allemand ont franchis le Rubicon: l'utilisation d'IE est déconseillée. Argl !! Ils y vont forts ! Vraiment ?
    En fait pas vraiment: comme l'indique SID, le CERTA n'a recommandé l'utilisation d'un navigatuer alternatif que "Jusqu'à publication du correctif"... décision normale et... déjà prise.

    Accessoirement, tout ce battage médiatique et la réaction de MS me gènent un peu:
    - Les 0-days existent depuis belle lurette et ne sont pas près de s'éteindre
    - Toutes les applications sont concernées par les failles de sécurité
    - À qui profite le crime ?

    Parce que bon, tout ce bruit autour de la (non-)sécurité supposée d'Internet Explorer peu de temps avant l'apparition de l'écran de choix du navigateur sur les OS Microsoft, au moment où Google investit pour la première fois dans des campagnes de pub... comment vous dire...

    Enfin, last but not least, la réaction de Microsoft. Alors là, inutile de vous dire que j'ai bien ri. Petit résumé:

    La faille existe sur IE6, 7 et 8 mais n'est exploitable que sur IE6.

    bon... Donc, Google utilise IE6, navigateur obsolète et notoirement non respectueux des standards, alors même que Google développe son propre navigateur et que les standards web sont le cheval de bataille de la firme ? Bien tiens...

    Enfin, comme il faut bien tirer sur l'ambulance, cette perle:

    Comme le préconise le Certa, conseillez-vous de changer de navigateur?
    - Je pense qu'il n'est pas nécessaire de changer de navigateur. D'autant que c'est plus facile à dire qu'à faire pour un problème de compatibilité avec tous les services utilisés habituellement.

    Tu m'étonnes: à force des faire des produits propriétaires qui ne respectent pas les standards, on finit toujours par enfermer les utilisatuers clients.