Julian Assange: Debian est la propriété de la NSA

C’est quoi ton problème ?

Je te donne pour exemple l’anssi, MisterFreeze rajoute VeriSign et COMODO, il t’en faut combien pour que ce soit valable ?

Comment tu te permet de venir prendre un ton critiquant, je cite, “des généralités et d’affirmations gratuites sans donner de références précises” ?

Donc oui, y’a des CA véreux, CF les exemples plus haut et la littérature si tu veux en savoir plus.
Et oui, /etc/hosts fait parti du DNS. Le DNS, pour les incultes, c’est le machin qui traduit un nom de domaine en IP, et ça fonctionne depuis getaddrinfo(3) jusqu’à bind, en passant par /etc/hosts, le NSS et tout ce que tu voudrais bien rajouter. C’est comme ça, c’est pas magique, ça se règle dans /etc/nsswitch.conf et /etc/gai.conf.

Tient, histoire de pousser un peu le bouchon, et vu que tu sembles trop haut placé pour daigner faire une recherche :
securityaffairs.co/wordpress/203 … -mitm.html
theregister.co.uk/2013/12/10 … reprimand/
thehackernews.com/2013/12/fake-g … de-in.html
cbronline.com/news/social/go … 13-4144458
schneier.com/blog/archives/ … up_is.html
eweek.com/c/a/Security/Fake- … EO-440985/
wired.com/2011/03/comodo-compromise/
news.netcraft.com/archives/2014/ … ernet.html

Pour finir, ne vient pas te réfugier derrière Stéphane comme un gamin dans le jupon de maman, tu ferais mieux de comprendre ce que tu lis…

Dixit celui qui prend un ton donneur de leçon depuis le début et qui se permet des :

et qui fini son poste par :

Pathétique.

Soit tu es capable d’avoir une discussion, disons, « brutal » et tu n’a pas à te plaindre, soit tu veut de la plus pure courtoisie et tu aurais dut rester calme dès le début (sachant que fran.b est resté (comme toujours particulièrement calme)).

Sur le fond il a était clair : tu veut parler politique et lui technique.

Ouais, c’est encore un post bourré de bullshit, qui se résume en deux phrases :

• TLS, c’est bien
• l’utilisation de TLS actuellement (ie https etc), c’est dla merde

Tellement plus clair et concis

Au fait, c’est rigolo, j’ai relu tout les posts de ce topic, François rentre deux l’une de ces deux catégories : il est incompétent, ou il se moque des gens. Dans les deux cas, il est difficile pour moi de le placer au rang de maitre …

Au fait aussi :

Faut croire que je suis moins pourri que lesdites organisations (ou plus compétents, en fonction de ta naïveté) : je n’abuse pas de mon pouvoir sur mes administrés, contrairement à elles.

La discussion reste intéressante car le pire sentiment pour un admin est de croire qu’il est en sécurité
Imaginez un type de la FSF tombant sur un spyware dans un paquet source…plus sérieusement c’est pas parfait mais techniquement c’est quand même bien mieux que chez nos confrères des OS proprios.

En ce qui concerne SSL la faille était d’une nature particulière qui en gros permettait de prédire une clé (en théorie) car l’algorithme n’était pas suffisamment complexe (buggé).

Après quand on voit des trucs comme facebook, ils ont pas trop à se forcer à la NSA pour avoir des infos, il suffit d’aller sur le oueb.
Je pense que des logiciels comme Tor ou PGP doivent un peu plus les faire bosser…ça me donne aussi l’occasion de rappeler que de nombreux journalistes dans des pays “chauds” sont encore en vie parce qu’ils échangent avec leur rédaction via Tor

Après vous connaissez la règle…rien n’est inhackable, c’est juste une question de temps et de puissance de calcul.

[quote=“Triangle”]En ce qui concerne SSL la faille était d’une nature particulière qui en gros permettait de prédire une clé (en théorie) car l’algorithme n’était pas suffisamment complexe (buggé).
[/quote]
Je suppose que tu veux dire celle particulière à Debian ? Ou un mainteneur à voulu “optimiser” l’initialisation d’une variable et qui a fait en sorte que les clés générées étaenit concentrées sur un nombre limité de possibilités.

Dommage que Pascal boude assez souvent ce genre de sujet dans pause café …

Toujours pas de nouveaux certificats en vue !

source : http://www.industrie-techno.com/pourquoi-heartbleed-fait-trembler-les-deux-tiers-du-web.29437

Sur la faille proprement dite, il suggère:

[quote]La mise à jour est nécessaire mais pas suffisante. Il faut aussi :

• invalider les sessions (la faille permet de lire les cookies)
• changer les mots de passe (la faille permet de lire un htpasswd en
  mémoire)
• et sans doute changer les clés TLS (pas uniquement re-signer les
  certificats), la faille pouvant permettre de lire les clés privées.
  [/quote]
  (je pense que ça ne l’ennuie pas que je le cite). Ed n’a pas du invalider les sessions car la mienne était toujours active mais bon, ça n’est pas bien grave, ce site n’est pas la première cible je pense. J’ai tout de même ouvert une nouvelle session hier.

Non, définitivement. Les deux font partie des différents mécanismes de résolution de noms d’hôtes(resolver), parmi d’autres. Le DNS, c’est un protocole client-serveur et l’infrastructure qui va avec, point. Tu ne trouveras aucune spécification du fichier hosts dans les RFC définissant le DNS.

Ou alors si on est bien placé, il suffit d’intercepter les requêtes DNS et de répondre à la place du serveur interrogé.

Pour info, le système de noms de domaines inclut plein de trucs, donc le fameux protocole…

[quote=“PascalHambourg”]

Ou alors si on est bien placé, il suffit d’intercepter les requêtes DNS et de répondre à la place du serveur interrogé.[/quote]

Dans ce cas on n’est sur du man in the middle.

Si je ne me trompe pas les attaques courantes ciblant les service DNS sont le ‘poisonning’ et le ‘spoofing’ ainsi que le bon vieux DOS DNS par amplification qui encore fait merveille il y a peu chez un de nos client.

Plein de trucs qui au final passent dans le protocole, au travers des requêtes et des réponses.
Plein de trucs mais pas le fichier hosts. DNS a été conçu pour remplacer le fichier hosts devenu trop gros, pas pour l’intégrer.

Zut, j’ai lu les RFC, je n’ai rien trouvé sur la fonction getaddrinfo(3).
Donc, cette fonction n’a rien à voir du tout avec la résolution de nom.

Non monsieur, rien à voir…
Elle fait parti, j’imagine, d’un autre système, peut-être la gestion des journaux systèmes, ou la création de flux RSS.

Parmis les “pleins de trucs”, j’en ai cité une demi-douzaine dans un post plus haut, si tu avais pris la peine de lire le topic en entier, cela t’éviterais de penser que tout passe par le protocole.

(au passage, tu peux utiliser plein d’autre truc que le protocole et /etc/hosts, m’enfin tu sembles persuadé du contraire … tu as surement raison)

La vache, haleth (ceci n’est pas un jeu de mots) nous pète une crise d’autoritarisme là non ?

Honnêtement, je suis totalement incapable d’intervenir techniquement dans cette discussion que je suis malgré tout avec intérêt. Mais là haleth, je trouve que tu abuses un peu de l’agressivité. François et Pascal sont des membres dont ni les compétences ni la placidité ne sont plus à prouver. Ils essaient d’échanger calmement avec toi, et tu te comportes comme un pitbull enragé à chaque post. Lâche un peu la pression, personne ne t’en veut ici !

@haleth > Tu peut faire pleins de choses pour résoudre des noms de domaines, ce que te disent fran.d et Pascal c’est que DNS est un protocole et que la fonction dont tu parle n’en fait pas parti.

La page man dont tu fait référence indique que cette fonction est définie dans la RFC 2553 dans un paragraphe qui parle de « Protocol-Independent Nodename and Service Name Translation », la RFC en elle-même décrit une interface pour utiliser des sockets IPv6. Il faut juste comprendre que le rapport entre /etc/hosts et DNS est le même qu’entre DNS et LDAP, on peut tous les avoir en backends derrière cette fameuse fonction, mais leur ensemble ne fait pas partie de DNS (c’est l’inverse [mono]getaddrinfo(3)[/mono] peut utiliser DNS)

[quote=“haleth”]Zut, j’ai lu les RFC, je n’ai rien trouvé sur la fonction getaddrinfo(3).
Donc, cette fonction n’a rien à voir du tout avec la résolution de nom.[/quote]
getaddrinfo a à voir avec la résolution de nom. Pas avec le DNS. Visiblement tu confonds les deux alors que le DNS n’est qu’une des multiples méthodes de résolution de nom disponibles. Tout ce qui fait de la résolution de nom n’est pas du DNS.

Si les paquets OpenSSL ne sont pas maintenus à jour tout autant qu’avec un site de vente pas sérieux qui néglige la sécurité sur son framework/cms de site de vente … et encore que plus généralement le paiement passe par des plugins bancaires hors de prix … donc bon

[quote=“cricri_montpellier”]La question reste de la “liberté” et de la sécurité des logiciels libres.

Les distros linux sont elles réellement libres? Un exemple est la problématique de la lecture des dvd de films…pourquoi sur microsoft la question ne se pose même pas et que sur linux il faut se livrer à des tas de contorsions pour y arriver.

Ensuite pour la problématique de la sécurité informatique: est ce qu’arriver à résoudre les difficultés de la configuration du GNUnet palliera aux manquements actuels

Je crains qu’il soit nécessaire de faire un tri dans les distros utilisées

Mais Assange, comme Zimmerman, a le mérite de soulever de bonnes questions.[/quote]

Aucun souci pour lire des DVD du commerce avec un bon XBMC logé dans un HTPC, enfin quand on s’appuie sur un minimum de lecture ou qu’on n’a l’habitude( donc merci d’éviter le troll Redmond ).

Attention GNU n’est pas un OS ce sont des Outils

Pour ce qui est de la bave, lors des dernières failles de Bind et d’OpenSSL on ne l’a pas entendu non plus

Moi je pense à un petit coup de projecteur pour de futurs articles, Assange n’est plus qu’un buisnessman de l’information.

Parlant de ça Bind remplacer définitivement dans FreeBSD (raz le bol généralisé et après consensus ils ont décidé de dégager ce paquet trop souvent impacté par des failles de sécurités).[/quote]

Oui pour GNU mais ce que je voulais soulever est la nécessité de créer cet internet indépendant.

gnunet.org/

ps: pourquoi se fait il que je n’arrive pas à configurer Tor, à l’installer tout court alors que sur un autre OS je l’utilisais facilement