C'est pas vraiment de la sécurité info, mais comme on a déjà parlé des distributeurs de billets trafiqués ici :
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT TurboIl y aurais un moyen très simplende complètement bloquer le cookie stealing de manière générale: le browser ne donne pas le cookie sans un handshacking avec le serveur, qu'on soit en http ou https
Pas besoin de crypto compliqué, un simple système de challenge suffirais
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
(comment cela peut-il marcher en HTTPS ?)
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)
<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
Ça ne peu pas il le dit mais il faut que les cookies soient bien configurer pour n'accepter le domaine qu'en https
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Nil Le 02/01/2017 à 09:28 À ce point d'intrusion, il devrait bien pouvoir arriver à faire tourner du code distant, lancer un proxy, ajouter des certificats racine corrompus au navigateur ou au système et faire de l'interception de certificats, cela dit...
Bin si je comprends bien, il fait simplement du MITM et ne fonctionne que si un navigateur est ouvert en fait des requêtes HTTP en permanence.
Pour exécuter du code distant ou ajouter des certificats corrompus, il faudra de toute façon avoir des failles supplémentaires.
L'intérêt du système est son côté tout-en-un (et industrialiser ce genre de choses n'est pas forcément facile !), mais techniquement j'ai l'impression qu'il n'y a rien de neuf.
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)
<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
L'astuce de déclarer un netmask qui couvre toutes les adresses, c'était déjà connu ? C'est tout bête mais il fallait y penser, je trouve (et je ne pensais pas que les OS réagissaient de manière aussi "naïve").
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT TurboBen ce n'est pas naif, c'est la facon dont l'IP est faite, ton OS va regarder sur ses cartes reseau si l'IP que tu cherche y est accessible en "local" avant de chercher un point de sortie, c'est normal et documenté oui
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Ce n'est pas parce que c'est la norme que c'est forcément judicieux de l'appliquer à la lettre ; il y a des trucs dans IP qui ont été conçus avant qu'on se préoccupe des questions de sécurité, et qui sont bridés/non utilisés en pratique parce que c'est trop dangereux. Je ne sais pas s'il y a des cas concrets qui justifient un netmask aussi étendu, mais ça me paraît assez violent qu'on puisse détourner tout le trafic simplement en branchant une interface réseau secondaire inconnue, et ce sans aucune demande de confirmation. (Oui je sais, sur le papier c'est déjà cuit si on laisse quelqu'un toucher physiquement à la machine, mais en pratique on essaie de faire un peu mieux que ça).
Flan > merci ^^
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT TurboUn tel comportement me semble nécessaire si ton ordi est utilisé comme routeur ou pare-feu, par exemple.
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)
<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
Généralement, tu n'utilises pas la configuration par défaut d'un OS grand-public sur un routeur ou un pare-feu, et tu n'y connectes pas non plus des interfaces réseau sans les déclarer ^^
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT TurboA vrai dire je vois pas comment faire autrement, le netmask est ce qui determine la portée du reseau sur lequel tu es connecté, donc sans faire une limitation de la pile qui peux casser des comportement voulus je ne vois pas comment tu peux faire autrement a vrai dire, ca serait casser completement le fonctionnemet de la pile IP..
La seule solution serait de ne pas activer par defaut une carte reseau qui apparais, et demander a l'utilisateur de l'aciver ou pas mais a part ca... (et un certain nombre d'utilisateur cocherais toujours "oui" sans reflechir mais bon)
Flan: tu peux imaginer un appareil déguisé en clef USB qui expose une clef et cette interface reseau, la rPi 0 est grosse mais il y a moyen de faire un truc bien plus petit qui rentrerais dans une clef USB moyenne
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Je ne pense pas que le contexte soit le même. Un câble réseau piégé, ça demande quand même un bon degré de miniaturisation, je ne suis pas sûr que ce soit à la portée de tout le monde de le fabriquer ou de l'acheter ; et puis il faut pouvoir l'installer discrètement. Là on parle de matos à bas prix et facilement accessible à tout le monde.
(cross)
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT Turbo Nil Le 03/01/2017 à 23:56 Puis euh, le câble réseau, en WIFI, euh... :3
la vie privée est équivalente.
choli
C'est fou de voir des entreprises dont le cœur de métier est la sécurité info (et dans le cas de Kaspersky, pas vraiment considérées comme mauvaises) faire ce genre de boulettes, et pourtant ça arrive régulièrement.
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT TurboLe problème, c'est probablement qu'ils se croient tellement forts qu'ils croient pouvoir tout faire. Faire du MITM pour scanner le trafic en HTTPS est franchement une idée très extravagante, je ne crois pas qu'il y ait beaucoup d'antivirus qui essaient de faire ça.
Nil Le 04/01/2017 à 10:21 Détrompe-toi...
Avast!, BitDefender, Kaspersky... ils le font quasi tous. Et ça fout une merde pas possible, surtout que la plupart utilisait (au moins jusqu'à il y a peu) des certificats SHA1. Les utilisateurs nous disaient "nos navigateurs nous indiquent que vos sites ne sont pas sécurisés" (voire qu'ils étaient bloqués), alors que le souci venait de leur anti-virus à la con.
