Sécurité info - Page 57

Zeph (./1678) :
Comme c'est souvent le cas ces jours-ci, j'ai l'impression qu'il y a une volonté de s'acharner qui dépasse la simple information sur les faits, c'est dommage.

Un The_CUrE te dira que ça fait partie du Spectacle.

Je ne trouve pas cet article vraiment "a charge", plutôt factuel en fait.

Il n'est nullement écrit "bad coder" ou autre équivalent, juste que c'est du travail d'amateur, et c'est avec raison, et il n'est même pas fait penser de code, juste de comment le tout à été conçu.

Tu ne peux pas vraiment comparer yAronet, et une app conçu quasiment 20 ans après, sachant en plus que yaronet est un site web fait par des amateurs, la ou l'app en question est fait de manière professionnelle.

yAronet est un forum publique (ou quasiment, il y a des topics privé, mais c'est pas la norme) donc en extraire les données est possible sans chercher a rentrer dans la BDD.

"Parler" est pour le coup une app qui s'avance comme un moyen de discuté de manière privé, donc sans moyen de tierce partie devenir et lire ce que tu écrit

Et ce n'est pas comme les points tel que simple identifiant incrémentiel, ou ne pas effacer proprement les message supprimé sont des points qui on été soulevé beaucoup de fois sur pas mal d'autre projet que ça soit au niveau sécurité ou respect de la vie privé, et ça à fait quand même du bruit, suffisamment pour qu'une compagnie qui se targe de vouloir faire une application ou les gens peuvent discuter de manière sécurisé devrait être au courant.

Mais personnellement ce qui me surprends le plus, et je n'ai lu aucune mention a ce sujet: pas de chiffrement? Les groupes de discussion ne peuvent pas être autant sécurisé que du chifrement point à point (E2EE : End to end encryption) tel que le font whatsapp, signal ou telegram entre deux utilisateurs, mais les échanges reste chiffré avec une clé commune a tous les participants dans le cadre d'un groupe de discussion.


Quand au 80 To de messages rendu publique, c'est en effet très discutable et clairement illégal. Enfin si les infos était si facile à obtenir, on peux potentiellement se demander si elle n'était pas déjà publique a la base, même si les gens qui ont posté les dites info pensant le faire de manière privé et sécurisé.

L'article d'Ars Technica indique "Its public API used no authentication.", donc les infos n'étaient pas loin d'être publiques, tout à fait
Dommage pour les utilisateurs de ce site, qui pensaient que leurs conneries étaient privées...
"When users deleted their posts, the site failed to remove the content and instead only added a delete flag to it." peut simplement être un choix découlant de contraintes légales, pour faciliter le travail de la police / justice en cas de mise en demeure.

Je ne serais pas mécontent que l'obtention de ces données permette à la justice d'identifier leurs auteurs, et au moins pour ceux qui ont participé à l'attaque du Capitole et n'avaient pas encore été identifiés, de leur faire assumer les conséquences de leurs actes illégaux. Même si la prison étant ce qu'elle est, surtout aux USA, il n'est pas garanti que les enfermer soit la bonne méthode pour enlever une partie de la m* qui est dans la tête de ces gens-là.

Bah oui, pourquoi s'embêter à voter des lois si chacun peut faire justice soi-même et exposer les autres à du lynchage public ?

Sachant qu'à la base, ils attaquent des gens qui ont eux aussi voulu faire justice eux-mêmes, ça serait en effet pas idiot de se poser la question de si on est pas en train de faire ce que l'on reproche aux autres.

Uther (./1686) :
ils attaquent des gens qui ont eux aussi voulu faire justice eux-mêmes

Bin non, en fait. Il y a très certainement plein de gens qui n'ont strictement rien fait dans cette base de données exposée publiquement (et qui ne sera jamais supprimée, vu qu'archive.org ne voit aucun problème à héberger des contenus illégaux).

Archive.org supprime des tas de contenus (hors spam) de ses serveurs chaque jour (DMCA valides, contenus litigieux, etc...). Ils ont cependant une tolérance certaine pour les logiciels piratés (jeux, OS, etc...) pour une raison détaillée dans ma signature.

À mon avis je doute que ce leak de Parler ne reste longtemps en l'état sur archive.org, mais je peux me tromper

Parce que ca a été copié sur archive.org?

Non seulement ils partagent des choses tres tres douteuses et plus que limite, mais en plus ils laisse y coller des archives de ce genre? :/

PS archiveteam ce n'est pas Archive.org.

Des choses douteuses ??

Et oui ça a été uploadé sur Archive mais ça n'y est plus pour le moment :

I see rumors about why @internetarchive deleted its Parler dataset. Some accuse them of withholding data or speculate they got visit from law enforcement. IA is not an org that withholds data. My understanding is they're just taking time to figure out how to do this in safe mannr

— Kim Zetter (@KimZetter) January 13, 2021

Oui des choses douteuses. Mettre, ou permettre de mettre en ligne du materiel encore sous copyright est illegal au mieux.

La préservation est une chose, transgresser la loi en est une autre. Tu peux preserver sans donner a tous les vents le materiel en question.

On est d'accord. On peut difficilement comparer le droit US et Français. Ils ont une clause de faire-use et quelques exeptions au DMCA (mais pas carte blanche non plus, cf les procès qu'ils se trainent au c*l depuis avril dernier sur l'emprunt illimité de certains ebooks)

Ce n'est pas du fair use. mais alors pas du tout.

Uther (./1686) :
Sachant qu'à la base, ils attaquent des gens qui ont eux aussi voulu faire justice eux-mêmes, ça serait en effet pas idiot de se poser la question de si on est pas en train de faire ce que l'on reproche aux autres.

Ni l'un ni l'autre ne sont acceptables. Ils doivent être jugés proprement, pas par lynchage public.
La loi ne dit pas que si quelqu'un la viole, alors tu as le droit de la violer aussi pour le punir.
J'ai jamais aimé l'idée d'utiliser les dires de certains contre eux, l'écriture est tellement inégale… certains savent intimider plus sans utiliser aucun vocabulaire douteux (ex : mon ex-cheffe) que quelqu'un de furax. Juger une personne là-dessus, hors contexte, moi ça me rébute.

Godzil (./1693) :
Ce n'est pas du fair use. mais alors pas du tout.

Vu que je ne sais pas de quel contenu tu parles je t'ai indiqué les deux clauses que leur département légal pouvait invoquer, à voir dans laquelle ça peut *éventuellement* tomber. Après je n'ai jamais dit que c'était légal ce qu'ils faisaient (je ne parle pas de Parler là hein) mais je ne vais pas lancer le débat sans fin moralité vs légalité (n'oublions pas Scihub qui est hautement illégal et pourtant un exemple de moralité).

Il me semble pourtant avoir été assez clair:

Godzil (./1691) :
Mettre, ou permettre de mettre en ligne du materiel encore sous copyright est illegal au mieux.

Dumper toutes les roms de jeux arcade n'est PAS du fair use.
Mettre tout les jeux des machines des années 80 n'est PAS du fair use.

En effet ça ne tombe pas sur le fair-use mais sur une des exceptions au DMCA qu'ils ont obtenu assez tôt: https://archive.org/about/dmca.php

Encore une fois je ne suis pas juriste et suis d'accord avec toi qu'une bonne partie des uploads des utilisateurs tiers sont illégaux et ne tombent pas sous les exemptions dont bénéficie Archive.org, néanmoins il n'en reste que d'un point de vue de la conservation leur entreprise est tout à fait morale (cf. ma signature)

La conservation est tout a fait morale, si c'est fait dans les respects de la loi.

Archive.org peux avoir une copie de tout ce que l'humanité a produit, je n'ai pas de soucis avec ca. Mon seul soucis c'est qu'en proposer certaines partie publiquement les fait tomber dans l'illégalité et peux compromettre le truc dans sa globalité.

Et l'exemption de DMCA en question n'est que a propos de contourner les protections, pas mettre a disposition.

On est d'accord, c'est d'ailleurs ce pourquoi je n'avais pas vu d'un bon oeil la levée des restrictions du nombre des copies en circulation de leurs ebooks (le fameux système d'emprunt virtuel) en avril dernier et les procès n'ont d'ailleurs pas traîné derrière...

joli

https://www.nextinpact.com/lebrief/45777/baron-samedit-faille-vieille-dix-ans-dans-sudo-met-distributions-linux-en-danger

elle permet à un pirate de gagner des droits root s’il réussit à accéder à un compte aux privilèges faibles, même s’il n’est pas listé dans /etc/sudoers

Du coup c'est quoi un compte aux privilèges faibles ?

N'importe quel compte qui a accès à la machine.

Et c'est très loin d'être la première LPE, ou autre ACE, dans le vilain sudo... je n'aime pas ce truc précisément pour cette raison-là.

Lionel Debroux (./1703) :
Et c'est très loin d'être la première LPE, ou autre ACE, dans le vilain sudo... je n'aime pas ce truc précisément pour cette raison-là.

Tiens question bête, ya moyen de faire sans ? Avec "su" tout court ?

su ne permet pas d'executer de commande, contrairement a sudo.

En theorie sudo est plus safe que su, parceque tu ne devien pas root et il y a moyen de choisir finement ce que tu peux (ou pas) lancer, alors que su c'est changer d'utilisateur et donc avoir tous les droits du dit utilisateur.

Sudo permet par eemple de sonner acces a certaines commandes tel que reboot, par exemple, sans te donner les droits de devenir root

c'est -c avec su pour lancer des commandes

Mais SU ne permet PAS de limiter l'acces contrairement a sudo.

Si tu as accès a SU tu fait ce que tu veux sur la machine. Ce n'est pas acceptable sur un serveur partagé.

Peut-on utiliser su sans mot de passe, comme sudo ?

La théorie est en effet que sudo peut permettre d'être plus safe que su. La pratique... est moins claire, parce que su a une base de code énormément moins complexe (presque deux ordres de grandeur en nombre de lignes de code brute !), et une moins longue histoire de failles horribles.
Et puis tu trouves tellement de machines avec des sudo mal configurés (NOPASSWD, etc.) par défaut...

Flan: pas que je sache?