Le fil des geeks informatiques

[Sloonz]

En fait il suffit que la fonction de chiffrement soit associative donc ça me parait pas si délirant que ça.

(bon mais j’ai fait autrement finalement, donc la question est purement académique maintenant )

Avec le one time pad, il faut que la clé soit aussi longue que le message, donc il faut trouver une autre excuse pour illustrer la contrainte de ce problème .

Ah oui, j’avais pas pensé à cet autre petit souci

[Sekonda]

(bon mais j’ai fait autrement finalement, donc la question est purement académique maintenant )

 

Tu improvises ton propre protocole de cypto ? Ce n'est pas une pratique recommandée si tu as des données sérieuses ...

 

[jubal]

Ah oui, j’avais pas pensé à cet autre petit souci

Le XOR c'est pas forcement du one time pad, ça peut être aussi des truc genre RC4 ou la clé a pas besoin d’être aussi grande que le message.

[WBell]

Ca ne les dérange pourtant pas de commit/pull/clone avec git, modifier une image avec Gimp, ou mettre en place un IDS/IPS avec snort.

Et les screenshots avec scrot...

[Noob]

Le XOR c'est pas forcement du one time pad, ça peut être aussi des truc genre RC4 ou la clé a pas besoin d’être aussi grande que le message.

Non mais il me semble que pour l'usage qu'il en faisait oui.

Si je me souviens bien si on fait du RC4 on a plus la propriété qu'il cherche a exploiter c'est à dire de coder un autre message pour éviter d'avoir à donner la clé A à qui que ce soit. RC4 n'a pas la propriété qui fait qu'en envoyant un autre message codés grâce à A on peut décoder le premier (les deux en fait).

[jubal]

Ah oui exact ca sert a rien dans son exemple.

[Theor]

A noter que RC4 (arcfour) n'est pas une solution acceptable si le besoin de confidentialité est important, lui préférer chacha20-poly1305.

[Theor]

Le projet GNU va se doter de sa première distribution officielle : GuixSD, basée sur Guix, lui même basé sur Nix mais utilisant Guile/Scheme plutôt que le langage DSL propre à Nix.

 

Guix permet d'obtenir des environnements reproductibles (les paquets et dépendances sont représentés par leur somme de hashage), avec des paquets installables sans droits root, isolables les uns des autres, installables simultanément en plusieurs versions, et le tout avec un paradigme fonctionnel (façon LISP, on décrit le problème plutôt que la procédure, et le dorsal gère ensuite la résolution des dépendances et la mise en état désiré, y compris pour les rollbacks).

 

Cerise sur le gateau, la distribution utilise dmd plutôt que systemd, qui a l'avantage d'être portable puisqu'elle vise à terme le support tant de Linux que de Hurd comme noyau. Le tout se veut 100% libre et hackable, sans être limité par un noyau particulier ou d'autres restrictions logicielles.

 

http://www.gnu.org/software/guix/

 

Et le artwork qui va arriver, sorti aujourd'hui sur la mailing list.

http://sirgazil.bitbucket.org/static/temp/img/guix/home-black-header.png

https://www.gnu.org/software/guix/graphics/GuixSD.svg

 

Juste un maigre ISO à démarrer sur QEmu pour l'instant, il va falloir faire mieux et vite... Je garde un oeil sur ce projet.

[poney]

Bon, je reviens encore avec mes problèmes informatik perso.

 

J'ai un emmerdement emmerdant : mon pc ne se connecte plus à Internet. J'ai essayé plusieurs wifi (publics comme privé : bar, appart d'ami, chez moi, mes parents, à l'université, ...) et plusieurs connections ethernet : RIEN. Systématiquement j'ai droit à "connectivité limitée". Il me semble qu'il ne trouve pas d'adresse IP.

Ah, si, il y a un endroit ou ça fonctionne : de mon bureau, avec une connexion Ethernet paramétrée et personnalisée (vous savez : passerelle, ip, dns, ... différent pour chaque utilisateur).
Là, ça fonctionne.

 

Je ne m'explique pas pourquoi, j'ai tout essayé : mise à jour windows, mise à jour carte Ethernet et carte wifi, mise à jour bios, ... j’ai aussi essayé deux anti spyware (Malbytes et spybot).

 

J'ai eu une série de bug  quand j'étais au Bénin et depuis, j'ai quelques soucis. Celui là et d'autre, par exemple, la résolution automatique des problèmes windaube  ne marche pas. Je pourrais m'en foutre si ça ne lançait pas régulièrement des alertes et si le firewall n'était pas systématiquement planté.

[L'affreux]

Tu es peut-être en IP fixe. Certains cybers au Bénin ne se gênent pas pour configurer les ordinateurs des clients comme ça. Je ne saurai pas te guider mais il faut réactiver les IP automatiques (protocole DHCP).

[poney]

J'ai trouvé : https://social.technet.microsoft.com/Forums/fr-FR/3dbfb2b3-106d-48f7-95c1-1cc578892bc5/windows-7-le-service-de-stratgie-de-diagnostics-ne-fonctionne-pas?forum=win7fr

 

En fait, quand le système windows de diagnostique ne fonctionne pas, ça empeche une connexion Internet. C'est fou et ça me semble totalement con.

Heureusement qu'il ne faut pas Internet pour résoudre le problème sinon ça serait digne de l'administration Française

[Eorl]

Oui, ça parait clairement un paramétrage en IP fixe.

 

Pour changer Panneau de configuration\Réseau et Internet\Connexions réseau (ou un truc du genre) puis clic droit sur ta connexion (ex : "connexion sans fil" ou "connexion réseau local" selon que tu veuilles régler le wifi/l'ethernet ) puis propriétés puis sélectionner protocole ipv4 puis propriétés puis cocher les cases de selection automatique. 

 

Par contre pour ton ethernet ne marchera plus au bureau, il faudra que tu refasses la manip' inverse

 

Edit : Oui, le diagnostic semble savoir faire ça de manière automatique, bien vu aussi, me sens débile là 

 

 

[poney]

J'avais déjà pensé à faire la manip que tu proposais, c'était déjà en mode auto et ça n'avait pas fonctionné.

 

Maintenant oui

[Jesrad]

Lenovo vient de pousser toute l'infrastructure SSL du haut d'une falaise.

J'arrive même pas à imaginer comment ils en sont arrivés à penser que fabriquer un générateur de faux certificats SSL avec la clé privée de root CA exposée serait une bonne idée, encore moins l'installer sur tous leurs portables grand public.

[L'affreux]

Ah effectivement.

Sur le plan logiciel ils font n'importe quoi. C'est dommage parce que sinon leurs machines sont solides.

[poney]

Oui, je suis vraiment content de mon Thinkpad

[Eorl]

Oui, je suis vraiment content de mon Thinkpad

 

Idem, mais Thinkpad c'est du ex-IBM. Je crache pas spécialement sur Lenovo (quoique, du coup), mais cette boite est quand même vachement exotique, j'ai toujours pas vraiment compris leur cœur de métier à part des grosses MNA. 

[Theor]

Lenovo vient de pousser toute l'infrastructure SSL du haut d'une falaise.

J'arrive même pas à imaginer comment ils en sont arrivés à penser que fabriquer un générateur de faux certificats SSL avec la clé privée de root CA exposée serait une bonne idée, encore moins l'installer sur tous leurs portables grand public.

 

Et que ce serait une excellente idée que le seul moyen de s'en débarrasser soit de réinstaller l'OS depuis une image non Lenovo, donc exit la récupération OEM, et possiblement la clé de licence.

[Jesrad]

Haha ça y est le certificat privé a été cracké (mot de passe: komodia).

Burn mofos, burn.

[Eorl]

Incroyable cette histoire quand même, et voir un lampiste se démener sur leur forum, ça n'a pas de prix : http://forums.lenovo.com/t5/Lenovo-P-Y-and-Z-series/Removal-Instructions-for-VisualDiscovery-Superfish-application/ta-p/2029206

 

 

[Poil à gratter]

Haha ça y est le certificat privé a été cracké (mot de passe: komodia).

Burn mofos, burn.

Ah ouais, chapeau, ça c'est du mot de passe solde. Jusqu'au bout ils auront fait n'importe quoi. C'est tellement énorme on dirait presque du sabotage, mais des fois la connerie n'a pas de limites.

[neuneu2k]

J'arrive même pas à imaginer comment ils en sont arrivés à penser que fabriquer un générateur de faux certificats SSL avec la clé privée de root CA exposée serait une bonne idée, encore moins l'installer sur tous leurs portables grand public.

 

Moi je vois bien, "y'a un JIRA:  Le bidulemuche ne marche pas sur les sites https, blocking release, high priority", le type qui savait comment ça marchait à dit "en théorie, on peut faire ça, mais il ne faut surtout pas le faire", et ceux qui ne comprenaient rien lui ont dit "tu le fait ou tu saute" et comme c'est un noiche et que quand on se fait virer d'une boite comme ça, c'est juste la condamnation aux travaux forcés, il l'a fait.

 

C'est pas comme si l'autorité de certification nationale de la république des droits de l'homme qui à intventé le minitel avait fait mieux hein...

 

Y'a eu tout un débat sur le certificate pinning à l'IETF, et grosso merdo, les enculés de leur mère fabriquant de firewalls/antivirus d'entreprise ont fait valoir les interets des gros nazis du service complience de la sécurité de l'information des grandes entreprises, et le résultat forcé par les banques qui filent tout le pognon consensus à été que ça devait etre caché aux utilisateurs normaux optionnel.

 

La première chose à faire sur un PC, une fois qu'on à les droits d'admin locaux (l'exercice est laissé au lecteur, c'est en général trivial) c'est de supprimer tous les root certificates du store windows, de remettre le minimum vital en vérifiant les hash, et de bloquer le store en écriture aux scripts de login au domaine (lesquels ignorent TOUJOURS les erreurs d'écriture, parce qu'ils sont codés en VBS lol).

 

En bonus, bloquer l'application des GPO, rendre la base de registre locale et non modifiable du domaine.

 

Sinon, vous branchez un chromebook, c'est pas mal non plus...

 

 

 

 

 

[Sloonz]

Excellent. Tout ce qui délégitime l’infrastructure de « sécurité » des PKI est bon à prendre, si ça peut accélérer l’adoption d’alternatives largement plus sûres type DANE.

[Sekonda]

Le projet GNU va se doter de sa première distribution officielle : GuixSD, basée sur Guix, lui même basé sur Nix mais utilisant Guile/Scheme plutôt que le langage DSL propre à Nix.

Est-ce que Guile apporte quelque chose par rapport au DSL de Nix, à part le fait d'utiliser le même langage pour beaucoup d'élement du système (dont dmd) ?

[Noob]

Moi je vois bien, "y'a un JIRA:  Le bidulemuche ne marche pas sur les sites https, blocking release, high priority", le type qui savait comment ça marchait à dit "en théorie, on peut faire ça, mais il ne faut surtout pas le faire", et ceux qui ne comprenaient rien lui ont dit "tu le fait ou tu saute" et comme c'est un noiche et que quand on se fait virer d'une boite comme ça, c'est juste la condamnation aux travaux forcés, il l'a fait.

En fait d'après ce que je vois, le mot de passe komodia ne vient pas de nulle part, il s'agit d'une boite qui a développé un soft spécialement dédié à cette tâche.

Un cas pratique est de permettre du contrôle parental ou précisément contrôler le contenu des pubs passant par https.

http://www.komodia.com/products/komodia-redirector/

 

Ceux qui l'ont réutilisé pour la pub chez Superfish ont sans doute rien compris aux conséquences que ça allait avoir.

Sans même parler de ceux chez Lenovo qui ont pris la décision d'installer cette merde de Superfish sur tous leurs produits.

[Poil à gratter]

Moi je vois bien, "y'a un JIRA:  Le bidulemuche ne marche pas sur les sites https, blocking release, high priority", le type qui savait comment ça marchait à dit "en théorie, on peut faire ça, mais il ne faut surtout pas le faire", et ceux qui ne comprenaient rien lui ont dit "tu le fait ou tu saute" et comme c'est un noiche et que quand on se fait virer d'une boite comme ça, c'est juste la condamnation aux travaux forcés, il l'a fait.

Je m'étais fait la même réflexion, et puis je me suis dit que même si c'est un noob qui l'a fait de force, le moindre tutoriel qui explique comment signer des certificats, ça dit bien d'utiliser une pass phrase, et pas un mot de passe que je n'utiliserais même pas pour un compte poubelle. 

 

LE truc bizarre aussi c'est pourquoi le certificat de Bank of America? Rapport avec la pub?

 

La première chose à faire sur un PC, une fois qu'on à les droits d'admin locaux (l'exercice est laissé au lecteur, c'est en général trivial) c'est de supprimer tous les root certificates du store windows, de remettre le minimum vital en vérifiant les hash, et de bloquer le store en écriture aux scripts de login au domaine (lesquels ignorent TOUJOURS les erreurs d'écriture, parce qu'ils sont codés en VBS lol).

Ce que quasi personne ne fait évidemment, moi compris. Et tu parles de PC sur un réseau d'entreprise gérés par un contrôleur de domaine, là ce sont des PC pour utilisateurs finaux en homegroup, lâchés dans la nature.

 

Sinon, vous branchez un chromebook, c'est pas mal non plus...

Rien ne prouve qu'il n'est pas vérolé d'une manière ou d'une autre.

[Poil à gratter]

En fait d'après ce que je vois, le mot de passe komodia ne vient pas de nulle part, il s'agit d'une boite qui a développé un soft spécialement dédié à cette tâche.

Un cas pratique est de permettre du contrôle parental ou précisément contrôler le contenu des pubs passant par https.

http://www.komodia.com/products/komodia-redirector/

 

Ceux qui l'ont réutilisé pour la pub chez Superfish ont sans doute rien compris aux conséquences que ça allait avoir.

Sans même parler de ceux chez Lenovo qui ont pris la décision d'installer cette merde de Superfish sur tous leurs produits.

Ahhhh c'est de mieux en mieux

[Theor]

Est-ce que Guile apporte quelque chose par rapport au DSL de Nix, à part le fait d'utiliser le même langage pour beaucoup d'élement du système (dont dmd) ?

 

De ce point de vue là, non, Guix n'amène rien de plus par rapport à Nix. Utiliser Scheme/Guile plutôt que le langage propre à Nix a plusieurs intérêts en revanche :

 

- Scheme est plus puissant et standard, dispose d'un compilateur, de bibliothèques et peut appeler des fonctions C nativement. Nix est inspiré de Haskell et est donc plus "pur" fonctionnellement que LISP, mais plus exotique et moins développé.

- Scheme possède des macros pour en faire un DSL de gestion de paquets, donc rien à envoyer au DSL de Nix

- utilisation transparente de Scheme tant pour les fichiers de conf, description, ou scripts système

 

Au final c'est un choix que je pense à la fois propre, puissant et élégant, quoique trop orienté power user pour l'utilisateur lambda. La distribution entière ressemblera un peu à un EMACS géant tournant autour d'un évaluateur scheme, sans torrents de dépendances dures derrière. En théorie, ça pourrait faire la distribution ultimement hackable.

[Jesrad]

Ahhhh c'est de mieux en mieux

Combien tu paries que le certificat est identique à celui de Komodia's Redirector ?

[Noob]

LE truc bizarre aussi c'est pourquoi le certificat de Bank of America? Rapport avec la pub?

Ben c'est justement le problème d'une attaque man in the middle, pour avoir accès au contenu dans du https, il falsifie un certificat pour celui qui veut visiter le site de BofA.

D'un côté le browser fait une requête avec la clé publique du faux certificat BofA que Superfish décrypte avec sa clé privée et il relaie le tout à BofA avec les bonnes clé/certificats.

Le mec qui a publié le problème a voulu vérifié si ça marchait avec les sites d'e-banking.

 

Et comme le certificat de Superfish est root CA ben l'utilisateur voit un petit cadenas vert comme il se doit.

Le oups c'est que maintenant que tout le monde connait le certificat en question et le mot de passe, si tu as un laptop lenovo je t'envoie sur mon site qui prétend être n'importe quelle banque et je le signe avec ce certificat. Ton navigateur mettra un petit cadenas vert comme il faut même si tu es sur grospigeon.fr au lieu de créditchampêtre.fr.