sebsauvage.net

Ce site n'est pas le site officiel.
C'est un blog automatisé qui réplique les articles automatiquement

Mailbox App for iOS Automatically Executes Javascript | Threatpost

Wednesday 25 September 2013 at 20:18

Quel espèce de crétin développe une application de mail qui exécute automatiquement tout javascript inclus dans les mails reçus ?  SÉRIEUSEMENT ???  ><
EDIT: Voir aussi http://nakedsecurity.sophos.com/2013/09/26/mailbox-app-on-ipads-and-iphones-runs-javascript-from-emails-vulnerability-or-feature/
(Permalink)

Source: http://threatpost.com/javascript-issue-plagues-mailbox-app-for-ios/102406


An attempt to backdoor the kernel [LWN.net]

Wednesday 25 September 2013 at 17:16

Ça ressemble à quoi une backdoor dans un Kernel linux ?
C'est aussi simple que remplacer "==" par "=" comme cela a été fait dans ces deux lignes de code:
      if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
                      retval = -EINVAL;

Ce qui ressemblait à l'origine à un contrôle de droits ("L'utilisateur est-il bien root ?") devient "On DONNE les droits root".
Donc n'importe qui qui aurait appelé cette fonction système wait4() avec ces deux flags actifs aurait obtenu l'accès root.

Un seul caractère supprimé, et voilà une backdoor pour obtenir l'accès root sur un système.  Devil is in the details.
(Permalink)

Source: http://lwn.net/Articles/57135/


End of support for Java SE 6 - Microsoft Malware Protection Center - Site Home - TechNet Blogs

Wednesday 25 September 2013 at 16:19

Juste un rappel: Java 6 n'est plus supporté par Oracle depuis février 2013. Ce qui veut dire plus de mises à jour de sécurité.
Même si vous avez installé Java 7, Java 6 n'est pas automatiquement supprimé. Pensez bien à le déinstaller.
(Permalink)

Source: https://blogs.technet.com/b/mmpc/archive/2013/09/24/end-of-support-for-java-se-6.aspx?Redirected=true


Just 2 minutes | CommitStrip - Blog relating the daily life of web agencies developers

Wednesday 25 September 2013 at 15:59

C'est exactement ça. Y'a des moments des modifs qui devraient être simples deviennent un vrai parcours du combattant.
(Permalink)

Source: http://www.commitstrip.com/fr/2013/09/24/yen-a-pour-2-minutes/


Chargement dynamique de librairie Javascript (à la demande)

Wednesday 25 September 2013 at 15:30

Voici un exemple minimaliste de création d'un QR-Code avec une lib javascript (http://neocotic.com/qr.js). Cliquez le bouton, ça génère un QR-Code.
Rien d'extraordinaire, mais c'est codé de manière à ce que la lib ne soit chargée dans la page *que* si le bouton est cliqué.

J'ai fait la même chose dans Shaarli: Cette lib est désormais utilisée pour générer le QR-Code au lieu de faire appel à un service externe (c'est mieux pour la protection de la vie privée.)
Mais en utilisant cette petite bidouille, on évite totalement de charger la lib dans chaque page. Elle n'est chargée que si on en a besoin.
Certes c'est une petite économie (11 ko), mais c'est toujours ça de gagné.
(oui promis je vais faire de mon mieux pour virer jQuery de Shaarli.)
(cf. commit https://github.com/sebsauvage/Shaarli/commit/af77b2fd9a574ba03b309ea0799946fabf37c7d1)

J'imagine qu'on doit pouvoir rendre ça plus générique, mais franchement le javascript me gave...
(Permalink)

Source: http://sebsauvage.net/paste/?61de6babdaaee5e0#SKfFj38Pzqq678hHs7mlwlVcGn7GMEUTtftHqAAiJ80=


What the heck is going on with NIST’s cryptographic standard, SHA-3? | Center for Democracy & Technology

Wednesday 25 September 2013 at 09:51

(Attention, je vais encore parler crypto).

Contexte: Le NIST standardise des algorithmes cryptographiques, tels que les algorithmes de hashage SHA-1 et SHA-2 (aussi connu sous les noms SHA-256, SHA-512...).
Différents algos étaient en compétition depuis 5 ans pour définir le nouveau standard SHA-3. Après beaucoup d'analyses, c'est l'algo "Keccak" qui a été retenu. Bien.

Pour en faire un standard, le NIST a donc créé une implémentation de référence à partir du whitepaper original. Gros soucis: Ils ont modifié substantiellement l'algo d'origine. Des modifications internes assez peu compréhensibles et qu'ils n'ont pas clairement justifiées. Et ils ont également réduit sa taille (L'algo d'origine produisait 224, 256, 384 et 512 bits. La nouvelle version seulement 128 et 256 bits.). Ce qui en fait un algo qui - au final - n'est pas plus sûr que SHA-2.

L'autre soucis, c'est que les modifications en font un algo très différent du Keccak d'origine, et rend donc caduc toutes les analyses cryptographiques de l'algo d'origine. On ne sait donc rien de la sécurité de ce nouvel algo, alors que sa sélection était le résultat de 5 ans de compétition et d'analyse avec ses concurrents.

Dans le contexte actuel, tout cela semble terriblement louche à la communauté crypto.  On a pas fini d'en entendre parler.

EDIT: Un avis de quelqu'un plus compétent que moi sur le sujet: http://hemltreppler.net/shaarli/?D6LOBA
(Permalink)

Source: https://www.cdt.org/blogs/joseph-lorenzo-hall/2409-nist-sha-3


Lieux des tournages des Star Wars - Choses vues, sur le web et ailleurs

Tuesday 24 September 2013 at 23:05

Woao... quelle dévotion.
(Permalink)

Source: http://sammyfisherjr.net/Shaarli/?_VL7vA


NOVEMBRE EN ATTENDANT – La sortie du nouvel album de Cantat avancée pour éviter la polémique | Big Browser

Tuesday 24 September 2013 at 16:00

Arg.... 12 ans sans album.  C'est moche  :-(
(Permalink)

Source: http://bigbrowser.blog.lemonde.fr/2013/09/24/novembre-en-attendant-le-nouvel-album-de-cantat-avance-pour-eviter-la-polemique/


giflike.com

Tuesday 24 September 2013 at 15:50

Site qui propose de petites animations dans le genre gif animés, mais avec la possibilité d'aller d'avant en arrière. (via http://sammyfisherjr.net/Shaarli/?D080qw)
(Permalink)

Source: http://www.giflike.com/g/popular24h


SFR Régie Fail - Liste de liens d'AkaiKen : tech, miam, art

Tuesday 24 September 2013 at 15:04

Trop marrant de faire ce genre de chose à ceux qui font du hotlinking.  Il m'est arrivé de le faire avec les images, c'est fun.
(Permalink)

Source: http://lamecarlate.net/links/?3el00g