Sécurité info - Page 29

./839 > Ça existe pour les mots de passe, il n'y a pas de raison

https://www.lesnumeriques.com/telephone-portable/pour-patron-fbi-chiffrement-donnees-est-gros-probleme-n67651.html#link_time=1508881967

100 balles et un mars

Zeph: bien sur!
Public key:

-----BEGIN RSA PUBLIC KEY-----
AAAAB3NzaC1yc2EAAAADAQABAAAAgQCllQZAaziNpQfP1d5gvFF7WA/kZZOxpQdw6fWD3li2cxyqw5406cSI4YBAtDwrTEXJVGGXGMsV1+nI0sejW+oBmZ2kS2dhOBu3pVewgCAe3UHrIHhaeMZhm+oh1VIYSIDoB3Px/ZSUe+2K8DF0IkOI3s6FHyUhDMk7XrKVcaY/Fw==
-----END RSA PUBLIC KEY-----

En bonus un joli dessin:

+---[RSA 1024]----+
|    .o. .        |
|  . o... . .     |
|   =  . . o .    |
| .o o  o   . .   |
|.+.o o. S +   o  |
|Eoo.. .. ..+ . . |
|=.. o     o+..  .|
| +.+...  .=o= . +|
|o. .+. ..  =.o +=|
+----[SHA256]-----+

ah merde alors, on voit pas la clé privée, kelbelmachine!

XD

http://www.tomshardware.com/news/arm-psa-iot-security-framework,35759.html
C'est une bonne initiative en soi, mais tant que la vision de la sécurité ne changera pas, ça ne servira pas à grand-chose : à quoi bon avoir un framework sécurisé si on continue à faire du code écrit avec les pieds et pas maintenu ?

Oui mais avec les pieds securisé !

bel exemple:

https://fail0verflow.com/blog/2014/hubcap-chromecast-root-pt1/

Tiens faudrait ajouter a yN un tag [private for=xxx] qui n'est visible que par le destinataire

squalyl (./848) :
Tiens faudrait ajouter a yN un tag [private for=xxx] qui n'est visible que par le destinataire

ça s'appelle les mini messages

pfff, rabat-joie

Non ce qu'il faut c'est la balise inverse, [notsafefor=xxx], qui affiche le contenu à tout le monde sauf la personne en question

Oh c'est une super idee ca !

squalyl (./848) :
Tiens faudrait ajouter a yN un tag [private for=xxx] qui n'est visible que par le destinataire

En lisant le message ./843 j'étais prêt à faire exactement la même blague, puis je me suis ravisé en me disant "non mais quelqu'un va forcément faire une vraie demande de feature" pour ça. Je suis pas déçu

Sinon c'est trop limité votre proposition. On pourrait avoir [unsafe-for subscription >= 2017-01-01] pour rendre invisible aux gens qui se sont inscrits après 2017, ou [unsafe-for login startswith "a"] pour cibler les gens dont le login commence par un a.

Ah oui, tiens, j'avais pensé à la première suggestion aussi, mais pas aux suivantes

Zeph > histoire que tu n'aies pas 36000 versions à développer, je propose une balise unique, où on entre la condition SQL qui détermine si le contenu doit être visible. Qu'en penses-tu ?

[unsafefor="SELECT * FROM *; DELETE ALL;"]Coucou![/unsafefor]

./855

Hmmmm ca ne devriat pas plutot etre:


?

Si

Bon blague a part.

Je viens d'avoir une idée pour limiter le nombre de spam, pas complètement, ca ne virera pas les spams commerciaux mais au moins une grande partie des spams de type fishing/vol d'identité.

Et ce sans changer le fonctionnement des protocoles d'envois/reception, juste l'ajout d'un mécanisme au niveau du serveur d'envoie et soit du serveur de reception, soit du client.

L'idée est simple, une grande majorité des spams dangereux sont envoyé depuis des serveurs tiers, et prétendant qu'ils viennent d'un autre serveur (utilisant le mécanisme de relais)

Donc les etapes sont relativement simple:

1 - le serveur d'envois rajoute un tag unique (hashage de l'email + sel aleatoire + specifique au serveur) et conserve une trace du dit tag
2 - le serveur de reception ou le client email quand il recois le dit message, ca chercher le MX du domaine du champ "From:" et fait une requetet sur le tag pour savoir si il est valide;
- si il n'est pas valide, c'est du pur spam et/ou du vol d'identité
- si il est valide, ca peux rester du spam, mais au moins le domaine indique que le mail a vraiment été envoyé par lui.
- si le serveur ne support pas cette methode, le message peux etre avec les techniques classique marqué comme "peut etre spam"

En ecrivant ca, ca pose au moins un (potentiel) soucis, ca permet a l'envoyeur de savoir, si c'est au niveau du client mail, que l'email a été recu en détournant la procedure d'ACK pour marquer l'email comme recu (mais pas forcement comme lu)

Je n'ai pas la tete a ca tout de suite, mais je pense qu'il pourrais, en changeant, un peu moyen de ne pas indiquer directement quel est l'email en question, donc pouvoir faire la demande de maniere anonyme, peut etre via des systemes de challenge/reponse, a reflechir.

Qu'en pensez vous?

Heu tu viens de décrire DKIM là, non ?

Comme quoi

Bah comme quoi ça marche pas ^^

Le problème est le même que pour les gens qui se font pirater leur boite mail ou infecter leurs ordinateurs : il y a tellement de serveurs mails non protégés partout que l'information "oui c'est bien moi qui certifie avoir envoyé ce message" n'a de valeur que si le @domaine est réputé fiable. En pratique si tu mets en place ton propre serveur e-mail, tu as de fortes chances d'être à défaut considéré comme spammeur par défaut.

Ça marche quand même pas si mal : il me semble que 90 ou 95% des courriels sont détruits lors du transport (autrement dit, ils ne sont même pas marqués comme indésirables, ils disparaissent totalement du réseau).

D'accord, ça n'est peut-être pas inutile. Mais compte tenu de la quantité de spam qui arrive encore dans nos boites et la difficulté de mettre en place son propre serveur, le problème n'est clairement pas résolu.

Ça, c'est sûr
(enfin, personnellement, je reçois très peu de spam si j'omets l'adresse de contact de mon site web : quelques uns par mois, tout au plus)

Ce à quoi je crois pas mal, en revanche, ça serait un système de messagerie dans lequel il faudrait payer une toute petite somme (idéalement avec une crypto-monnaie) pour envoyer un mail. Techniquement, ça voudrait dire réaliser une transaction en bitcoin ou autre et signer son mail avec. Ça pourrait être dérisoire, une fraction de centime, assez peu pour être négligeable pour un utilisateur normal. En revanche un spammeur qui essaierait d'envoyer 100000 e-mails et qui en aurait pour 1000€ de frais, je pense que ça serait un moyen de dissuasion assez efficace.

Ca c'est rigolo

(mais bonjour la neutralité!)

Zeph (./868) :
Ce à quoi je crois pas mal, en revanche, ça serait un système de messagerie dans lequel il faudrait payer une toute petite somme (idéalement avec une crypto-monnaie) pour envoyer un mail. Techniquement, ça voudrait dire réaliser une transaction en bitcoin ou autre et signer son mail avec. Ça pourrait être dérisoire, une fraction de centime, assez peu pour être négligeable pour un utilisateur normal. En revanche un spammeur qui essaierait d'envoyer 100000 e-mails et qui en aurait pour 1000€ de frais, je pense que ça serait un moyen de dissuasion assez efficace.

je pense aussi que la seule façon d'éradiquer les spams est de rendre les courriels payants (mais ça pourrait être gratuit pour les 1 000 premiers par an, par exemple).