PROJET AUTOBLOG


Shaarli - Les discussions de Shaarli

Archivé

Site original : Shaarli - Les discussions de Shaarli du 23/07/2013

⇐ retour index

The Ultimate XSS Protection Cheat Sheet for Developers [PDF]

jeudi 10 juillet 2014 à 10:34
WebManiaK, le 10/07/2014 à 10:34
Un recueil de préconisations de sécurité pour éviter les failles de type injection de script (XSS - Cross Site Scripting) dans les applications. Pas mal fait et plutôt exhaustif. Je me garde ça sous le coude pour mes développements.
(Permalink)

Use of "global" keyword in Python - Stack Overflow

jeudi 10 juillet 2014 à 10:30
Yome, le 10/07/2014 à 10:30
Bon a savoir : en python si on déclare une variable globale, on peut changer sa valeur à l'intérieur d'une fonction sans soucis, mais on peut aussi changer la valeur globale en appelant "global maSuperVariableGlobale".
J'aurai appris quelque chose aujourd'hui :)
(Permalink)

LiquidOff, le produit miracle qui rend tout hydrophobe | Kickstarter

jeudi 10 juillet 2014 à 10:29
SharTech, le 10/07/2014 à 10:29
Vous avez tous déjà vu ces produits qui, une fois vaporisés sur des textiles, des chaussures et autres matériaux, les rendent complètement hydrophobes.
Celui-ci, à la différence des autres, n'utiliserait pas de produits chimiques nocifs et dangereux.
Si c'est vrai, c'est tout simplement génial pour: les chaussures, les portables, les fringues.
Ils ont lancé une campagne kickstarter dans le but d'obtenir 25 000$, ils en sont à...140 000$ !
Il y a des vidéos sur le site.
(Permalink)

New GPG key - Antoine Amarilli's blog

jeudi 10 juillet 2014 à 10:22
phyks, le 10/07/2014 à 10:22
(Permalink)

hickford/MechanicalSoup

jeudi 10 juillet 2014 à 10:21
Sebsauvage, le 10/07/2014 à 06:41
Je me met ça sous le coude: Une lib Python pour automatiser l'interaction avec des sites web.  C'est un peu plus concis qu'utiliser directement BeautifulSoup, et ça peut être utile pour faire du web-scraping.
(Permalink)

phyks, le 10/07/2014 à 10:21
Une librairie python pour intéragir avec des sites webs (surcouche pour requests et beautifulsoup).

(via sebsauvage)
(Permalink)

Dear NSA, Privacy is a Fundamental Right, Not Reasonable Suspicion | Electronic Frontier Foundation

jeudi 10 juillet 2014 à 10:20
WebManiaK, le 10/07/2014 à 10:20
Un article très bien rédigé de la part de l'EFF et qui explique que la vie privée d'une personne est un droit et qu'elle ne doit pas être considérée comme suspicieuse. Tout le monde peut avoir une vie privée, et heureusement.

J'aime tout particulièrement ce paragraphe en anglais qui relate parfaitement la situation. Je cite:
"The idea that it is suspicious to install, or even simply want to learn more about, tools that might help to protect your privacy and security underlies these definitions—and it’s a problem. Everyone needs privacy and security, online and off. It isn’t suspicious to buy curtains for your home or lock your front door. So merely reading about curtains certainly shouldn’t qualify you for extra scrutiny."

En gros et en français, cela indique que ce n'est pas parce que vous installez des rideaux ou que vous verrouillez la porte de votre habitat que vous devez être l'objet d'un examen minutieux pour prouver votre innocence et votre bonne foi.
(Permalink)

Sad Brazilians

jeudi 10 juillet 2014 à 10:17
Alexis J, le 10/07/2014 à 10:17
(Permalink)

No Facebook, no iPhone, no problem: how I declared my digital independence | Dan Gillmor | Comment is free | theguardian.com

jeudi 10 juillet 2014 à 10:12
WebManiaK, le 10/07/2014 à 10:12
Un excellent article (bien que long) sur l'aventure d'une personne qui a cherché à réduire au minimum son empreinte numérique chez les géants du net. Il y a de bonnes choses à retenir là-dedans.
(Permalink)

NSA targets the privacy-conscious (Seite 1)| Das Erste - Panorama - Meldungen

jeudi 10 juillet 2014 à 10:11
WebManiaK, le 10/07/2014 à 10:11
Bah voilà, maintenant on sait officiellement que la NSA regarde l'activité des personnes prudentes sur Internet. Cool ! Je dois sûrement être fiché :/
(Permalink)

JE SUIS UN ACCIDENT - Nikon Film Festival

jeudi 10 juillet 2014 à 09:58
Nonymous, le 10/07/2014 à 09:58
Coudifiage
(Permalink)

Quel langage devrait-on utiliser pour introduire la programmation ? Python devance Java dans les grandes écoles américaines

jeudi 10 juillet 2014 à 09:49
HowTommy, le 10/07/2014 à 09:49
Mhhh perso je dirais :
Première approche du développement : python
Première approche objet : java
Première approche web : PHP et JavaScript (avec un prof COMPETENT qui va vous apprendre toutes les règles de base pour ces deux langages)
Enfin développement plus poussé : C++

Le tout dans cet ordre, ça me parait bien :)
(Permalink)

Un rapport pour encadrer le Bitcoin remis par TRACFIN à Michel Sapin

jeudi 10 juillet 2014 à 09:44
Mitsu, le 09/07/2014 à 19:48
« "Nous ne sommes pas dans l'illégal, mais dans l'a-légal". »
Monsieur Jean-Baptiste Carpentier...  "a-légal" n'existe pas. Si ce n'est pas illégal, c'est légal.

Le débat c'est: l'argent émis par la banque centrale doit-il être la seule monnaie utilisable en France ? Si oui, ça revient à interdire chèques et CB, tickets restau, bons d'achat, et surtout....  produits/services de troc. Plus de coups de main entre voisins, désormais ça devra être payés en Euros et être déclaré à l'URSSAF. Gnéhéhé.

Le Bitcoin est-il une monnaie ? Il peut en tout cas être utilisé comme tel, pour acheter de l'abonnement à CCrypto VPN par exemple. *clin d’œil*

Le Bitcoin est-il un bien-refuge au même titre que l'immobilier ou les métaux précieux ? Sa rareté sous-tend une valeur croissante, et sa forte popularité depuis quelques temps a exacerbé la course à son acquisition, faisant monter ses cours très haut.   (oui au regard du nombre d'acteurs économiques et de l'intérêt médiatique pour le Bitcoin, les cours ne vont certainement pas rester aux niveaux actuels encore longtemps.  *clin d’œil*)

Le Bitcoin est-il l'idéal pour acheter de la drogue ? Absolument pas: tout l'historique des transactions étant public pour toujours, c'est beaucoup plus fiable que des relevés de comptes bancaires ! Le Darkcoin, lui, ne fait que brouiller le cheminement des transactions, les transactions ont quand même lieu et sont visibles dans l'historique des adresses. Kif-kif pour les forces de l'ordre. ("À qui t'as envoyé ces Darkcoin ? Parle !"). Il n'y a que le cash qui soit la monnaie de la drogue, s'il n'a pas été retiré d'un distributeur de banque (et l'argument "on a retrouvé votre ADN sur ce billet saisi chez un dealer" est très bancal). Interdisons le cash ! Oh wait...

Bref. Une révolution du système monétaire est en cours, une révolution imposée aux banques et financiers par le peuple, qui décide des monnaies qu'il utilise. Et je trouve ça très sain et démocratique.
(Permalink)

pandouillaroux, le 09/07/2014 à 21:02
et on paye des gens pour dire des conneries pareils T-T

Via: http://root.suumitsu.eu/links/?EvhLcQ
(Permalink)

HowTommy, le 10/07/2014 à 09:44
Avis totalement partagé :)
(Permalink)

Le blocage sans juge des sites terroristes, un réflexe anti-démocratique

jeudi 10 juillet 2014 à 09:42
Mitsu, le 09/07/2014 à 19:21
Lu et approuvé, sans réserve. Extraits très importants:
« Un Etat qui estime que la censure est la meilleure réponse au terrorisme est un Etat qui ne croit plus dans sa capacité à défendre ses propres valeurs face à ceux qui les attaquent. »

« Vouloir cacher au peuple le discours d'un terroriste, c'est ne pas avoir confiance dans la capacité du peuple à entendre les contre-arguments. »

« La seule réponse cohérente au terrorisme est de ne pas être terrorisé. De ne pas renier ses propres valeurs. »

Pour mon opinion au sujet du terrorisme:
http://root.suumitsu.eu/links/?6UA0Tg
http://root.suumitsu.eu/links/?us4-Zw
(Permalink)

HowTommy, le 10/07/2014 à 09:42
Bien dit Mitsu
(Permalink)

First #RaspberryPi Compute Module motherboard | Raspberry Pi Pod

jeudi 10 juillet 2014 à 09:38
Alexis J, le 10/07/2014 à 09:38
Un jolie carte mère prête à recevoir le nouveau RaspberryPi Compute Module. Bien conçu bien vu!

Lien direct vers le projet Kickstarter : https://www.kickstarter.com/projects/geekroo/como-booster-launch-your-raspberry-pi-compute-modu/
(Permalink)

Tous les formats et tailles d’images sur Facebook, Twitter, Youtube, Pinterest (MAJ 2014)

jeudi 10 juillet 2014 à 08:03
lepaille, le 10/07/2014 à 08:03

(Permalink)

These photos are taken from exactly the right angle - 9GAG

jeudi 10 juillet 2014 à 07:32
Kevin Vuilleumier, le 09/07/2014 à 14:30
Troisième photo : non, ce ne sont pas des naines, mais des femmes assises sur les genoux de leurs compagnons. Regardez bien.
(Permalink)

Sebsauvage, le 10/07/2014 à 07:32
Le tout, c'est de prendre la photo sous le bon angle au bon moment   (^∇^)
(via http://links.kevinvuilleumier.net/?-3uHkA)
(Permalink)

Serveurs hackés par botnet chez OVH

jeudi 10 juillet 2014 à 07:18
Ecirtam, le 09/07/2014 à 16:42
2 des serveurs de ma société, se trouvant chez OVH,  ont été victime d'un botnet.

Je vous livre mon analyse des logs.
J'ai découvert que l’attaquant exploitais une faille apache-cgi puis téléchargeais 2 scripts :
http://188.165.136.196/new.txt
(copie : http://sebsauvage.net/paste/?0efa5ffbf96d7005#gcclK9rOwSlKhjaiIuv57NsMZzSUwpzetEKNOsbBwHs= )

http://91.121.21.139/stuff/root/e.pl
(copie : http://sebsauvage.net/paste/?cd95f59050539318#e8x53EoMjDFVO/GxQUdYLO0c7q/IzhNP3LmDU2WBl80= )


new.txt est un script perl qui se connecte au serveur IRC 178.32.139.233 sur le salon #apa2.
C'est de là que sont envoyés les commandes par l'utilisateur eth.
( username:admin@LndTm.it
real name:ifconfig eth0
server:irc.uniroma2.mil.nf (uniroma2 IRCd) ( 91.121.21.139 )
)
new.txt permet d'exécuter n'importe quel commande sur le serveur infecté. Il fait aussi du scan réseau.

Infos sur le serveur IRC :
:irc.got-root.eu 005 eth0 INVEX :are supported by this server
:irc.got-root.eu 251 eth0 :There are 16 users and 5900 invisible on 3 servers
:irc.got-root.eu 252 eth0 3 :operator(s) online
:irc.got-root.eu 253 eth0 2 :unknown connection(s)
:irc.got-root.eu 254 eth0 26 :channels formed
:irc.got-root.eu 255 eth0 :I have 575 clients and 1 servers
:irc.got-root.eu 265 eth0 :Current Local Users: 575  Max: 729
:irc.got-root.eu 266 eth0 :Current Global Users: 5916  Max: 6773
:irc.got-root.eu 375 eth0 :- irc.got-root.eu Message of the Day -
:irc.got-root.eu 372 eth0 :- 4/7/2014 12:45


e.pl est un script perl qui télécharge tout les outils d'exploitation de fails à partir du site http://suse.altervista.org.
Il y a de tout. Du C, du python du shell et des binaires compilés sous différents linux.


Les IP 188.165.136.196, 91.121.21.139 et 178.32.139.233 se trouvent chez OVH.
J'ai prévenu OVH ce matin mais ces serveurs sont toujours là.

Je vous joins aussi le résultat nmap sur ces IPs : http://sebsauvage.net/paste/?d4b839e30184dec0#W+tOzDiOyRap4aKIIqYPFjOqCeXSxhOGFP9gmOt1Oa8=

Si quelqu'un arrive à faire tomber ce botnet, ça serait cool.
Si vous voulez vous connecter au serveur IRC, eth banni tout ceux qui ne répond pas correctement à ces commandes qui commences par "^^"
Les admins du botnet sont argv, unixroot et eth.

J'ai modifier le script new.txt pour se connecter à l'IRC comme les bots :
http://sebsauvage.net/paste/?d7bc0f4dad735540#yeBQMinY4gfQfJ+BFJWueqZnerQJcBB19Z8Dq8agpSM=
Le problème de mon script est qu'il ne répond pas à ces commandes donc je me suis fait ban.

Surtout faites très attentions à ces programmes. Ne les exécuter pas en dehors d'une VM !

Je suis dispo sur https://shaarli.fr/jappix-1.0.7/?r=shaarli@conference.dukgo.com pour toutes questions.
(Permalink)

Mitsu, le 09/07/2014 à 17:56
Merci pour l'alerte, Oros ! Je fais tourner.

Méfiance avec les configurations trop uniformes: Apache étant utilisé un peu partout, il est très intéressant de trouver et exploiter ses failles avant qu'elles soient corrigées. Si définir le rewriting et les redirections en vhost-config plutôt que dans des .htaccess ne vous dérange pas, optez pour les excellents Lighttpd et Nginx. Cherokee a l'argument d'une jolie interface web de configuration, à ceci près qu'il est pas beaucoup développé ni dispo packagé.
(Permalink)

Sebsauvage, le 10/07/2014 à 07:18
Si vous êtes chez OVH, regardez si votre instance ne se serait pas faite pirater.
(Permalink)

Djihad ou intégrisme juif ? Auditrice coupée sur Inter - Arrêt sur images

jeudi 10 juillet 2014 à 05:21
Sam Ganegie, le 10/07/2014 à 05:21
(Permalink)

TWITTR / Mitsukarenai: Dans les années 1870, Obama ...

jeudi 10 juillet 2014 à 01:04
Mitsu, le 10/07/2014 à 01:04
Je ne peux m'empêcher de faire un parallèle entre les colons américains et les tribus indiennes au 19e siècle, avec Israël et les palestiniens actuellement.

Dans les deux cas, un des belligérants a une supériorité technologique écrasante et veut s’approprier des terres de l'autre en dépit des traités signés. Dans les deux cas le "fort", nouveau venu dans la région alors qu'il n'a pas été invité, traite le "faible" de sauvage, de terroriste, de monstre assoiffé de sang. Dans les deux cas, pour punir les auteurs d'escarmouches du "faible", des villages entiers sont décimés, femmes et enfants compris, et la population déplacée de force. Dans les deux cas, le "fort" prétend être encerclé de "faibles" prêts à l'attaquer à tout moment. Dans les deux cas, personne d'extérieur n'agit pour entraver le "fort" dans sa croisade. Dans les deux cas, il faudra plus d'un siècle pour que la justice reconnaisse les droits du "faible".

Dans les deux cas ça s'appelle un génocide, pour lequel le "fort" restera impuni.
Dans les deux cas, c'est humainement inacceptable.
(Permalink)

La vie est mal configurée

jeudi 10 juillet 2014 à 01:00
florian1, le 10/07/2014 à 01:00
Un blog que j'ai vu passé dans un shaarli.

J'y ai trouvé quelques articles sympa, ex :
- 2+4=6 : http://david.monniaux.free.fr/dotclear/index.php/post/2014/06/03/246
- Les erreurs dans Wikipédia : http://david.monniaux.free.fr/dotclear/index.php/post/2014/06/06/Et-gnagna-erreurs-dans-les-articles-de-Wikip%C3%A9dia
- Combinatoire de l'accouplement : http://david.monniaux.free.fr/dotclear/index.php/post/2013/04/13/Combinatoire-de-l-accouplement
(Permalink)