Antichesse (o ^ω^ o)
Outch, la dernière version stable est touchée (1.3.72). Il est recommandé de migrer vers la 1.4.0 aussitôt qu'elle sera publiée.
La criticité est de 8.8/10, avec une faille permettant une élévation de privilèges, ça fait mal.
Edit : je n'avais pas vu mais Kotlin 1.4.0 était déjà sortie. Il semble que le NIST et l'OWASP aient publié l'info qu'une fois la nouvelle version de Kotlin fût corrigée et publiée par JetBrains. C'est très pro !
Alerte au gogol ! Alerte au gogol les enfants
Boursorama en ajoutant des trackers de serveurs de pub sur son site permet à des sociétés tierces d'accéder aux comptes de ses clients. Bravo, zetes des champions...
C'est un scandale, information à faire tourner autant que possible en espérant que le bad-buzz leur serve de leçon !
Je viens de tester chez Free et Free Mobile => les deux sont 100 % ok.
@Chlouchloutte t'es pas chez Orange ou Sosh pour nous dire ?
@Riduidel et encore le pire c'est lorsqu'on regarde le code même vite-fait !
Certaines classes de tests sont des coquilles vides qui chargent un contexte Spring qui sera rechargé la classe d'après... (Encore ça admettons)
Mais la cerise sur le gâteau c'est ce test qui montre que côté cryptographie ils utilisent 3DES.
Pour ceux qui ne le saurait pas, 3DES (ou Triple DES) est sensible à plusieurs attaques de différents types réduisant la taille de clef la clef privée de 168 bits à 80 bits et que le NIST considère comme déprécié depuis trois ans déjà ; heureusement qu'il ne s'agit que d'une application qui ne contiendrait que les données personnelles de tous les français.
Euh... Attendez une seconde... (눈_눈)
Edit : en fait j'ai lu un peu vite car ce test est bien une classe de test mais qui ne contient qu'une main() et donc qui n'est pas un test... Pareil, je n'avais pas vu le répertoire test dans src/test/java... Ni tous les TU qui n'ont aucune assertion et donc qui ne sont pas des TU mais des fonctions qui s'exécutent et dont le résultat est validé avec "ses petits yeux" par le développeur !!! À ce niveau-là ça n'est plus de l'amateurisme, c'est une forme d'Art aux antipodes du Software Craftsmanship.
Un très bon article sur JWT et comment assurer l'authenticité d'un token et par corollaire la répudiation d'un token douteux.
Je cite @Sebsauvage :
Un peu violent mais sûrement efficace: Quand PortSentry détecte des connexions sur les services fictifs qu'il expose, il bloque l'IP source.
Du coup via Sebsauvage.
Bon, je testerai dès la rentrée cette n-ième faille de sécurité de Windows ! lol
Bon bah tout est dans le titre... Dans ce post j'affirmais que :
Vous pouvez ne faire confiance à personne en ce qui concerne votre vie privée. Les meilleures boites se font hacker tous les jours et celles dont on ne parle pas ou peu sont juste celles qui sont meilleures pour étouffer les affaires !
Est-ce que vous pensez qu'il existe des sociétés ayant plus de moyens que Facebook, pouvant se payer de meilleurs ingénieurs que Facebook et détenant autant de données sensibles et intimes que Facebook ? (Pour info, le développeur-architecte sénior est à 950 K$ / an en 2019 chez Facebook hein).
Ca restreint pas mal le champs des possibles n'est-ce pas ? Et pourtant Facebook s'est encore une fois transformée en passoire... Dégagez votre appli Facebook, cette immondice est littéralement un spyware ; et pour votre santé mentale je vous recommanderais de dégager aussi Facebook de votre vie !
Imaginez le scénario... Vous échangez des SMS intimes... Parfois très intimes avec quelqu'un ou même plusieurs personnes et... Et ??? ET !!?????
Toutes vos conversations se retrouvent sur internet, avec votre nom, votre numéro et votre géolocalisation à chaque fois. Bref de quoi vous identifier, dresser un profil psychologique trèèèèèèès précis comprenant tous vos désirs les plus secrets et de quoi vous retrouver facilement.
Alors là il ne s'agit "que des numéros (émetteur & destinataire) et du contenu des messages" donc "ça va" on ne peut pas encore vous géolocaliser hein... Juste pas lol (è_é)
Combien de temps faudra-t-il encore le répéter : chiffrez vos conversations. Vous pouvez ne faire confiance à personne en ce qui concerne votre vie privée. Les meilleures boites se font hacker tous les jours et celles dont on ne parle pas ou peu sont juste celles qui sont meilleures pour étouffer les affaires !
Globalement pour faciliter le SSO, l'authentification à deux facteurs et se prémunir contre certaines attaques.
Via Eorn.
Je cite :
Firefox est le seul navigateur à avoir obtenu un sans faute lors d'un récent audit réalisé par l'agence allemande de sécurité informatique - l'Office fédéral allemand de la sécurité de l'information (ou le Bundesamt für Sicherheit in der Informationstechnik - BSI). La BSI a testé Mozilla Firefox 68 (ESR), Google Chrome 76, Microsoft Internet Explorer 11 et Microsoft Edge 44. Les tests n'incluaient pas d'autres navigateurs tels que Safari, Brave, Opera ou Vivaldi.
Bon c'est piègeaclic, mais un peu de publicité pour le navigateur qui n'en a pas ce sera ma contribution du jour au logiciel libre !
La Sécurité Sociale pour tous !? Non merci, je ne veux pas payer pour la santé d'autres personnes. Je préfère l'assurance privée où je paie pour la santé d'autres personnes ET pour le salaire d’intermédiaires vampires dont le seul rôle consiste à me dire NON quand j'ai besoin de me faire soigner.
Un résumé en une image :
Comment installer, configurer, tuner et sécuriser son instance nginx.
Via Hedi
Oh comme c'est beau ! La sécurité permet de faire avancer tellement facilement les choses !!!
Pour vous résumer l'article, l'authentification à deux facteurs n'est pas jugée suffisamment sécurisée par l'Union Européenne (oui toujours cette même saleté) et donc les banques ont l'obligation de faire mieux :
- Installer une appli au code source fermé sur les mobiles de tous les citoyens.
- Et le mot magique ajouter de la biométrie (typiquement il faut filer ses empruntes digitales à sa banque pour avoir le droit de se payer un Big Mac avec son argent à soi).
Je l'ai dit et je vais le redire, l'oligarchie n'a pas de patrie, pas de sympathie pour les gens et cherche par tous les moyens à mettre en place un contrôle total lui garantissant sa place sous le soleil et au sommet de la pyramide sociale qu'elle a bâti elle-même pour elle-même.
La double authentification par sms n'est pas jugée suffisamment sûr, mais quels problèmes rencontre-t-elle pour justifier de tels propos ? "Pas suffisamment sûr" mais sur quels critères ? À quel moment est-on considéré comme "suffisamment sûr" ? Les citoyens ont-ils le droit de décider du degré de risque qu'ils souhaiteront prendre ou y seront-ils forcés comme des enfants ?
Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux.
Benjamin Franklin
Les liens vers les fichiers de base de données de vulnérabilités (CVE) du consortium OWASP.
Pour @Doudou. Tout un tas de check-list portant sur les thèmes de la sécurité.
Je pose ici ce que dit Sebsauvage :
Bon... récemment Mozilla s'est un peu pris les pieds dans le tapis, a laissé un certificat expiré, ce qui a causé la désactivation de TOUTES les extensions. Faire des erreurs, ça arrive à tout le monde. Ils ont fait ce qu'il faut: Communiquer dessus et résoudre le problème.
Mais il y a quand même tout un tas de choses qui ne vont pas dans ce qui est arrivé.Je vais être franc: Je hais cordialement les logiciels qui ne sont pas capables de fonctionner en autonomie et qui s'écroulent dès qu'il ne peuvent plus parler à papa-maman. Comme Chrome, par exemple, qui CESSE DE FONCTIONNER dès que vous bloquez tous les domaines appartenant Google. C'est de l'informatique DE MERDE.
Firefox prend la même voix. L'exemple des extensions est assez parlant.Un problème de certificat lié à leur Appstore ne devrait pas impacter et désactiver les extensions déjà installées. Il y a là un énorme problème de conception.
Imaginez si Linux fonctionnait de la même manière ? Le certificat du dépôt expire, et tous les paquets sont invalidés et votre OS cesse de fonctionner ? Impensable. Personne ne voudrait de ça.On va ma dire que c'est pour notre sécurité. Le problème, c'est que Mozilla commence à faire comme Google : Faire les choix à la place de l'utilisateur "pour son bien", non seulement en ne lui proposant pas de choisir, mais en allant jusqu'à rendre la désactivation de l'option IMPOSSIBLE.
À partir de quand c'est une bonne idée ? Comme on peut considérer ça comme respectueux de l'utilisateur ?
Et la liste commence à s'allonger : Liaison à un service GAFAMesque activé par défaut (Pocket), requêtes vers Google dès que vous lancez Firefox (coucou Safebrowsing), préfetch HTTP et DNS activé par défaut, télémétrie activée par défaut...Ah oui, la télémétrie, on en reparle ? Activée par défaut, cela permet à Mozilla D'INSTALLER SILENCIEUSEMENT DES CHOSES À DISTANCE. Si vous n'avez rien spécifié, Mozilla peut décider de vous enrôler dans des "expériences". C'est tout bonnement inacceptable pour un organisme qui prétend défendre notre vie privée.
Actuellement, quand j'installe Firefox, je fais comme pour une fraîche installation de Windows: Commencer par changer tout un tas de paramètres et bidouiller pour désactiver plein d'options. C'est triste.
On va me dire: « Mais c'est pour la sécurité ! ». Ce que fait Google actuellement (verrouillage massif d'Android, y compris une partie d'adb dans Android 9) part de la même intention : Protéger l'utilisateur. Au final, on sait très bien que ce verrouillage ne sera pas au bénéfice de l'utilisateur.
Vous êtes prêts à troquer votre liberté contre un peu plus de sécurité ?
Je reformule ma question : Êtes vous prêt à troquer votre liberté contre l'économie d'apprendre un minimum de notions de sécurité ?
C'est une question rhétorique : Les GAFAM ont déjà choisi pour vous. Ça sera pour votre "sécurité". Et tant pis pour votre liberté (dans Android, vous ne pouvez même plus récupérer la clé qui sert à chiffrer vos propres données dans le téléphone. Vous ne pourrez donc pas récupérer les données de votre carte MicroSD si votre téléphone est mort).Et ça me fait vraiment chier de voir que Mozilla prend la même voie.
Pourtant, je vais continuer à utiliser Firefox, parce que c'est le seul navigateur à ne pas être à but commercial. fatigue
Pour @Animal
Merci @Sebsauvage. je hurle tout cela depuis dix au moins et de tout mon corps. Lire ta remarque me touche au plus haut point !