sebsauvage.net

Ce site n'est pas le site officiel.
C'est un blog automatisé qui réplique les articles automatiquement

In Memoriam: Ian Murdock | Docker Blog - Les liens du Lapin Masqué

Thursday 31 December 2015 at 18:38

« Ian Murdock est décédé. Pour les béotiens, c'est le fondateur du projet Debian, une distribution GNU/Linux extrêmement importante dans la communauté, et à la base de centaines d'autres projets, dont la célèbre Ubuntu. »
Oh mince :-(
EDIT: autres liens: http://linuxfr.org/news/in-memoriam-ian-murdock-1973-2015
http://framablog.org/2016/01/04/debian-perd-son-ian/
(Permalink)

Source: http://www.mypersonnaldata.eu/shaarli/?oIfk1g


hashcat and oclHashcat have gone open source

Monday 28 December 2015 at 11:37

HashCat (crackeur de mots de passe/hashes) dont je vous avais parlé là: http://sebsauvage.net/links/?49LAdQ est désormais opensource.
https://github.com/hashcat/

hashcat peut attaquer les hashes comme md5, sha1, mais aussi sha256/512, les hmac, les hashes Cisco, AIX, Grub2, Oracle, Jango, MS SQL, vBulletin, MediaWiki, etc.
(Permalink)

Source: https://hashcat.net/forum/thread-4880-post-27401.html


How to Write Unfancy Web Apps | The Dubious Disc

Saturday 26 December 2015 at 22:10

« sometimes people forget that they do not need a Batmobile to get to the grocery store. »
Pas toujours besoin de dégaîner les gros frameworks pour de petites applications. Ce développeur cite les frameworks légers qu'il utilise.
TL;DR: Zepto (pour remplacer jQuery), Mustache (templating en javascript), Pure (librairie CSS).
(Permalink)

Source: https://thedubiousdisc.wordpress.com/2015/12/19/how-to-write-unfancy-web-apps/


Buffer Overflow & gdb - Part 1 - 0x0ff.info

Thursday 24 December 2015 at 11:20

Un tutoriel sur gdb, le débugger le plus connu des systèmes *nix.
Bon retour à 0x0ff sur la toile !
EDIT: Part 2 : http://www.0x0ff.info/2015/buffer-overflow-gdb-part-2/
Part 3 : http://www.0x0ff.info/2015/buffer-overflow-gdb-part-3/
(Permalink)

Source: http://www.0x0ff.info/2015/buffer-overflow-gdb-part1/


WebGL.nu - Indie WebGL Games

Tuesday 22 December 2015 at 15:37

Collection de jeux en WebGL
(Permalink)

Source: http://www.webgl.nu/


Oracle ordered to admit on its website that it lost the plot on Java security • The Register

Tuesday 22 December 2015 at 14:20

Ha ha... c'est trop bon. Oracle forcé par la FTC (commission du commerce américaine) à communiquer à ses clients qu'il a fait de la merde question sécurité de Java.
(Le soucis principal étant que l'installeur de Java ne retire jamais les anciennes version.)
(Permalink)

Source: http://www.theregister.co.uk/2015/12/22/ftc_oracle_java/


[Recherche] Tutoriels Dalvik/Smali

Tuesday 22 December 2015 at 13:06

Je ne trouve pas grand chose de bien sur le net, alors si par hasard vous tombez sur des tutoriels de Dalvik ou Smali, je suis preneur.
( oui, j'ai encore envie de bidouiller des applis Android comme je l'ai fait là: http://sebsauvage.net/wiki/doku.php?id=apk-hacking )
(Permalink)

Source: http://sebsauvage.net/links/?VxP-kA


Applications de messagerie chiffrée: Pourquoi je recommande Signal et non Telegram

Tuesday 22 December 2015 at 10:29

Telegram fait la une, ces derniers temps, et gagne en popularité (http://www.numerama.com/tech/135415-whatsapp-bloque-au-bresil-telegram-gagne-15-millions-dutilisateurs.html).
Pourtant, si je devais vous recommander une application de communication chiffrée, ce serait plutôt Signal.

Je ferai abstraction des très nombreuses critiques concernant la crypto de Telegram (car ils prennent grand soin de répondre à chaque point levé), et je pense qu'ils ont de bonnes intentions, mais il reste un problème à mes yeux: Ils ont la possibilité de déchiffrer vos messages. Dit autrement: ce n'est pas du chiffrement de bout en bout par défaut, sauf si vous utilisez la fonction «Secret chat». C'est d'ailleurs grâce à cela que Telegram peut aussi exister aussi en version "web" et "desktop" (ce qui n'est pas le cas de Signal).
https://telegram.org/faq#q-so-how-do-you-encrypt-data
https://telegram.org/faq#q-how-are-secret-chats-different
(D'ailleurs, c'est visible ici: https://www.eff.org/secure-messaging-scorecard)

Donc ça me met un peu mal à l'aise. Non que le logiciel soit de mauvaise qualité, mais les utilisateurs penseront être en train de discuter en toute confidentialité alors que ce n'est pas le cas.
(Même si la société Telegram est allemande, donc a priori un peu moins sujette aux demandes abusives qu'une société américaine.)

Signal est lui, par défaut, chiffré de bout en bout.
Une fois installé, il s'intègre à Android: quand vous sélectionnez un contact, vous pouvez passer un appel normal, un appel chiffré ou envoyer un message chiffré.
En plus de la messagerie chiffrée, il peut optionnellement aussi prendre en charge vos SMS, même s'il ne fait plus de chiffrement des SMS (comme SMSSecure le fait: http://sebsauvage.net/bon-android/?d=2015/09/16/19/35/06).

Pourtant Signal a aussi ses problèmes.
- Tout comme Telegram, si pas de WiFi/3G à portée, alors pas d'échange de message possible.
- Tout comme Telegram, Signal exige l'entrée de votre numéro de téléphone. Utilisation donc a priori impossible sur tablette (et bien entendu sur desktop).
- Les messages sont bien chiffrés de bout en bout, mais le développeur utilise les services GooglePlay (GCM: Google Cloud Messaging) pour les transférer d'un téléphone à l'autre. (Telegram passe par ses propres serveurs.)
- Conséquence: Distribution impossible de l'application sur F-Droid.

On est donc encore loin d'une situation idéale. Pourtant Signal me semble encore pour le moment un meilleur choix que Telegram en tant que messagerie chiffrée simple d'emploi.

Concernant le code de Signal, je suis tombé sur divers articles de cryptographes et développeurs qui ont examiné le code source, et qui sont visiblement restés pantois face à la qualité du code et au soin apporté à la sécurité. C'est plutôt bon signe. Le code de Signal a déjà largement été passé en revue.

Il reste bien sûr encore d'autres pistes à explorer: ChatSecure (OTR+XMPP, capable de se connecter au serveur XMPP de votre choix en sus, et même passer par TOR), SilentCircle (que je n'ai pas regardé).


Voici les applications pour smartphones ayant reçu les meilleures notes de l'EFF.
 - Signal : https://play.google.com/store/apps/details?id=org.thoughtcrime.securesms
 - Telegram (en mode «Secret chat») : https://play.google.com/store/apps/details?id=org.telegram.messenger
 - ChatSecure : https://play.google.com/store/apps/details?id=info.guardianproject.otr.app.im
 - SilentCircle : https://play.google.com/store/apps/details?id=com.silentcircle.silentphone

A noter également:
- Signal : à but non lucratif basée au États-Unis : https://whispersystems.org/
- Telegram : société à responsabilités limitée, sur le sol allemand : http://telegram.org/
- ChatSecure : opensource. Tenu par un collectif international : https://guardianproject.info/
- SilentCircle : société commerciale (Suisse) fondée entre autre par l'auteur de PGP : https://www.silentcircle.com/

Tous sont à sources ouverts (ce qui est une condition sine qua none pour la sécurité).

Mon regret: Tous passent par des serveurs tiers (même si ChatSecure vous permet d'utiliser le serveur XMPP de votre choix).  A quand une messagerie qui utilise la DHT (comme le fait RetroShare) ?  Est-ce seulement viable en 3G ?


EDIT: Oh là... gros changements prévus côté ChatSecure (refonte du coeur de l'appli + sortie d'une version simplifiée Zom), et aussi l'implémentation d'un des protocoles de Signal.
Voir: https://chatsecure.org/blog/chatsecure-core/
et : https://chatsecure.org/blog/chatsecure-conversations-zom/
Ça vaut peut-être le coup d'attendre la nouvelle version.

EDIT: sur le même sujet: https://recode.net/2015/12/21/is-your-messaging-app-encrypted/
(Permalink)

Source: http://sebsauvage.net/links/?Q3BMhg


Bio Menace sur GOG.com

Tuesday 22 December 2015 at 06:50

Encore un jeu gratuit sur GOG.  :)
(Permalink)

Source: https://www.gog.com/game/bio_menace


Filebin.net - Online storage at your fingertips

Monday 21 December 2015 at 13:59

Si vous avez besoin de transférer un fichier à quelqu'un et que vous n'avez pas de cloud perso, filebin.net marche très bien.
Interface propre, pas de limite de taille, conservé 30 jours par défaut, page d'admin pour supprimer des fichiers ou changer la date d'expiration (1 semaine à 1 an). Possibilité de mettre le lien en lecture/écriture: ceux qui ont le lien peuvent aussi uploader des fichiers.
La raison pour laquelle je signale ça, c'est que ce service marche bien aussi avec les navigateurs mobiles (vous pouvez par exemple envoyer le lien par SMS quand les attachements mail ne suffisent pas).
C'est un service simple, efficace et qui ne fait pas chier.
(Bien sûr, pour la confidentialité, pensez à chiffrer vos fichiers si besoin.)
(Permalink)

Source: http://filebin.net/