Les piti liens de Vader
Le monde fantastique des Taxis, ou l'empire tyrannique G7.
(Permalink) (Profil)

Les liens du Lapin Masqué
"Vise comme un ivrogne... Saute comme un abruti !" XD

J'avais déjà partagé cette vidéo (http://www.mypersonnaldata.eu/shaarli/?cqWjNA), mais ça me fait tellement marrer ^^
(Permalink) (Profil)

Les liens du Lapin Masqué
"Vise comme un ivrogne... Saute comme un abruti !" XD

J'avais déjà partagé cette vidéo (http://www.mypersonnaldata.eu/shaarli/?cqWjNA), mais ça me fait tellement marrer ^^
(Permalink) (Profil)

les liens du Colibri
Sont toujours aussi bon !
(Permalink)

GuiGui's Show - Liens
« Après les sénateurs, les députés ont à leur tour adopté hier [ NDLR : le texte issu de la commission mixte paritaire concernant ] la proposition de loi sur la surveillance des communications électroniques internationales. Un vote à l’unanimité.

[...]

Le texte adopté est désormais susceptible d’être soumis pour contrôle au Conseil constitutionnel. C’est ce qu’a hautement laissé entendre le sénateur Philippe Bas (LR), assurant hier que le président du Sénat « ne manquera pas de saisir le Conseil constitutionnel ». »

J'admire (ironie) le pas de course : 1er octobre : vote en séance publique à l'Assemblée -> 27 octobre : vote en séance publique au Sénat -> 3 novembre : réunion de la CMP -> 5 novembre : vote du texte de la CMP en séance publique au Sénat et à l'Assemblée. Si tout pouvait aller aussi vite en France, ça serait le paradis.
(Permalink)

Shaarli geek de geekz0ne.fr
Note : 2 sites pour détecter les montages photo

http://fotoforensics.com/
http://29a.ch/photo-forensics/#forensic-magnifier
(Permalink) (Profil)

SADMAN's Shaarli
Si c'est avéré, c'est effectivement l'une des chasse les plus puissante du moyen orient :-)
(Permalink)

SADMAN's Shaarli
Infographie de l'avion de chasse Su-35
(Permalink)

Des p'tits liens
Pour avoir lu ledit bouquin, je ne peux que plussoyer l'avis du traducteur.
(Permalink)

GuiGui's Show - Liens
J'avais déjà testé les enregistrements SSHFP afin de valider, via le DNS, les clés publiques de mes serveurs persos (voir http://shaarli.guiguishow.info/?X1OYWg). Maintenant que mes desktops sont sous Jessie, dans laquelle la version packagée d'openssh-client supporte les condensats sha256 dans le RDATA des enregistrements SSHFP ainsi que le type ecdsa, entre autres choses, c'est l’occasion de déployer pour de vrai.

Il vous faut :
   * Des zones DNS signées avec DNSSEC sinon l'intérêt de SSHFP est nul.
      Si vos zones ne sont pas signées (cas d'un hébergeur, comme OVH pour les zones comme kimsufi.com, par exemple), laissez tomber. Utiliser une zone signée + CNAME ne fonctionnera pas : CNAME ne peut pas se cumuler avec un autre type d'enregistrement. La seule piste envisageable, c'est de dupliquer, dans ma zone signée les enregistrements de type A et AAAA et d'y ajouter les enregistrements SSHFP mais c'est vraiment crade : vous dupliquez dans une zone des informations d'une autre zone d'où un coût en maintenance supérieur et un risque d'erreur accru. ;


   * Si vous utilisez ssh-keygen pour générer les enregistrements SSHFP, il vous faut la partie publique des clés de votre serveur au format openssh. Si vous avez du dropbear (exemple : OpenWRT), il faudra d'abord la convertir.
       * sudo apt-get install dropbear
       * /usr/lib/dropbear/dropbearconvert dropbear openssh <cle_dropbear> <cle_dropbear>.ssh
       * La partie publique n'est pas stockée sur mon périphérique OpenWRT... générons-la à partir de la partie privée que nous venons de convertir (https://askubuntu.com/questions/53553/how-do-i-retrieve-the-public-key-from-a-ssh-private-key) : ssh-keygen -y -f <cle_dropbear>.ssh > <cle_dropbear>.ssh.pub

       * ssh-keygen -r <hostname> -f <cle_dropbear>.ssh.pub . Deux enregistrements sont produits. Le plus court utilise sha1 pour produire le condensat, le plus long utilise sha256. De nos jours, avec sha1 qui commence à montrer des signes de faiblesse, il faut utilise sha256.


   * Publier les enregistrements SSHFP.


   * Un openssh-client compilé avec la lib ldns lui permet de faire les vérifications DNSSEC et donc de s'assurer que l'information n'a pas été altérée. Ce n'est pas le cas avec Debian : openssh-client n'est pas compilé avec libldns (ldd $(whereis -b ssh) pour vérifier). Donc, il faut impérativement un récursif-cache validant sur votre machine (voir dnssec-trigger, http://shaarli.guiguishow.info/?uEnUXw) ou, à défaut sur le réseau local qui doit alors être de confiance (VPN, réseau domestique...) et pas de WiFi (oui, même WPA1|2 car la clé est partagée entre les utilisateurs du réseau. Et même avec ça, il reste le problème des switchs réseaux mais comme d'hab, ça dépend de qui vous voulez vous protéger).
       Il faut bien comprendre que, sans la lib ldns, la validation des enregistrements DNSSEC est effectué par le récursif-cache validant que vous utilisez. Celui-ci signale qu'il a réalisé le travail de vérification en plaçant le flag "AD" (Authenticated Data) dans le header du message DNS... qui n'est pas signé : un MITM (ou un mensonge du récursif-cache utilisé) reste donc possible.

   * Activer la vérification des SSHFP en ajoutant ceci à votre .ssh/config :
       « Host *
             VerifyHostKeyDNS=yes »

     Vous pouvez aussi restreindre seulement aux machines dont vous savez que le déploiement est effectif. Ça ne change rien pour les machines qui n'ont pas de SSHFP associé à leur clé publique, known_hosts sera alors utilisé mais vous ne ferez pas de requêtes DNS inutiles pour ces machines-là.

     À partir de ce moment-là, SSH n'utilise plus .ssh/known_hosts mais uniquement le DNS. À la mise en service d'une nouvelle machine (virtuelle ou non), il faudra publier son SSHFP avant de faire un SSH sinon l'absence de réponse sera mise en cache et une validation manuelle sera nécessaire (comme sans VerifyHostKeyDNS quoi). Même chose lors d'un changement de la clé du serveur : il faudra pré-publier et attendre l'expiration du TTL du vieil enregistrement SSHFP avant d'être sûr que le nouveau arrive dans le cache... Les clients n'ont plus besoin de mettre à jour leur known_hosts.


   * Vérifier : ssh -vvv serveur :
       * Si vous utilisez un récursif-cache qui ne valide pas :
         « debug3: verify_host_key_dns    
           debug1: found 1 insecure fingerprints in DNS
           debug1: matching host key fingerprint found in DNS »
         Et SSH vous demandera une confirmation manuelle de la clé du serveur.

       * Avec un récursif-cache validant :
         « debug3: verify_host_key_dns
           debug1: found 1 secure fingerprints in DNS
           debug1: matching host key fingerprint found in DNS »
         Et vous êtes connectés automagiquement à votre serveur.

Via http://www.bortzmeyer.org/4255.html
(Permalink)

Nekoblog.org :: Marque-pages
(via https://twitter.com/mathieumatiu/status/663380948722057217)
(Permalink)

Bookmark Bronco
Un mec assis qui sourit...
oui, c'est tout.
Et il fait des vidéos de ça...
147 épisodes à l'heure où je poste.
Des vidéos de 4 heures...


Le mec qu'a rien à faire, visiblement.
(il se peut que je sois passé à côté d'un truc, hein... j'ai pas tout visionné, vous vous en doutez ^^)
(Permalink)

Bookmark Bronco
Timo, à toi ;-)
(Permalink)

@Pas de pierre, pas de palais... Pas de palais... Pas de palais !
Jusqu'au 20 novembre pour profiter du replay de TV5 Monde pour (re)voir le travail de Stéphan...
-------
"Le jour de ses 20 ans, Sophie mange avec son père au restaurant. Celui-ci s'inquiète beaucoup pour son avenir et décide qu'il lui faut quelqu'un dans sa vie. En bon chef d'entreprise, il lui offre de gérer ses problèmes et commence par vouloir la délocaliser... "
(Permalink) (Profil)

Bookmark Bronco
Pan dans ta gueule...
(Permalink)

GuiGui's Show - Liens
Créer un conteneur chiffré luks au lieu d'une partition chiffrée luks.
(Permalink)

Escales internautiques
(Permalink)

Escales internautiques
(Permalink)

Escales internautiques
(Permalink)

Escales internautiques
(Permalink)