Le blog de llaumgui - sécurité - Commentaires

Pimp my Dotclear ;-) - Méthylbro

Méthylbro — Thu, 01 May 2008 20:04:55 +0200

"Nous" ?
Tu veux dire "Le gentil, génial et jeune Méthylbro" ?

Pimp my Dotclear ;-) - TitaX

TitaX — Thu, 24 Apr 2008 10:33:22 +0200

Nous avions auss détecté la faille sur les miltiblogs, mais corrigée d'une autre manière :
http://methylbro.titaxium.org/post/...

Montage cifs, extensions Unix et paramètres uid/gid - sbruck

sbruck — Fri, 25 Jan 2008 17:14:08 +0100

Génial, merci, c'est exactement ce dont j'avais besoin
Milles merci.

Pourquoi n'ai je pas encore fais de billet sur Fedora 8 ? - albeche

albeche — Wed, 19 Dec 2007 16:54:42 +0100

Salut, aucun problème pour installer fedora8 sur virtualbox (XP host).

par contre des problèmes de réseaux, surement de la conf que j'ai pas fait, c'est la première fois que j'utilise fedora.

Pourquoi n'ai je pas encore fais de billet sur Fedora 8 ? - rcr

rcr — Thu, 06 Dec 2007 12:01:33 +0100

Hello, une piste qui peut t'aider (ça marche avec Ubuntu) ... est-ce qu'il y a la possibilité d'installer le Kernel Generic sous fedora ? ... ça à marcher pour Ubuntu server chez moi ...

Boutique en ligne, autopsie d'une faille de sécurité - S@M

S@M — Sun, 14 Oct 2007 18:08:36 +0200

Vi, 'register_global = On', et surtout calcul du prix en js.... la, c'est vraiment de l'abus ! Y en a qui on peur de rien ! lol

Donnez moi l'adresse du développeur que je lui mette des coups de fouets !

Pourquoi n'ai je pas encore fais de billet sur Fedora 8 ? - LLaumgui

LLaumgui — Thu, 20 Sep 2007 23:37:27 +0200

Effectivement 7.9x qui correspond à Fedora Text x+1...

@MrTom > Yes, surtout que Fedora a été élu meilleur distro niveau sécu out of the box. Avec tout les GUI made in Red Hat qui s'améliore encore et encore elle prend de plus en plus d'avance sur ce niveau. En fait Firestarter ne trouve son explication que pour Ubuntu ;-).

Pourquoi n'ai je pas encore fais de billet sur Fedora 8 ? - Pingoomax

Pingoomax — Thu, 20 Sep 2007 22:47:36 +0200

"Fedora 8.92"
Tu t'enflammes un peu là!!

Pourquoi n'ai je pas encore fais de billet sur Fedora 8 ? - MrTom

MrTom — Thu, 20 Sep 2007 19:03:13 +0200

Je n'avais pas vu la mise à jour du firewall ! Excellent !

Pourquoi n'ai je pas encore fais de billet sur Fedora 8 ? - VINDICATORs

VINDICATORs — Thu, 20 Sep 2007 16:16:18 +0200

C'est la semaine des "pourquoi j'ai pas..."?

Et ce n'est pas la 7.91 plutôt que la 8.91??? parce que bon... fedora 9 c'est quand même dans 7/8mois non?

Perso j'aime pas trop le sobre! j'ai quand même pas mal de bouteille dans le monde informatique pour en avoir un peut marre du sobre (pc couleur crème, etc...). Je trouve le nouveau thème pas mal, mais bien trop ultra top sobre pour avoir envie de le présenter! Surtout que celui de la F7 passe très bien chez les clients (et oui! j'en ai quelques un!).

J'ai quand même peur qu'ils la sortent trop vite! ce qui serait dommage d'avoir un produit raté alors que ça commence à prendre chez monsieur tout le monde!

Pourquoi n'ai je pas encore fais de billet sur Fedora 8 ? - giz404

giz404 — Thu, 20 Sep 2007 13:58:17 +0200

Le fond d'écran est superbe, minimaliste, vraiment réussi. En revanche, l'emploi d'une police noire sur fond noir (bordure de fenètre) ne me semble pas judicieux.

Les Dedibox seraient elles plus victimes d'attaques ? - DecIRC

DecIRC — Sun, 16 Sep 2007 13:06:50 +0200

En plus le nombre de dedibox qui servent à des clients torrent (j'ai bien dit clients, pas serveurs).

C'est effrayant...

cEd

Les Dedibox seraient elles plus victimes d'attaques ? - LLaumgui

LLaumgui — Thu, 13 Sep 2007 12:21:57 +0200

Yes effectivement, Ubuntu est aussi responsable à trop vouloir faire human beging ;-).

Les Dedibox seraient elles plus victimes d'attaques ? - TitaX

TitaX — Thu, 13 Sep 2007 10:55:23 +0200

Pour ma part, les attaques viennent la pluspart du temps du réseau dedibox et plus particulièrement de mes voisins de mon /24.

Les machines dédibox sont très souvent administrées par des non initiés qui administrent sous webmin ou autre plesk sans aucune connaissance, sans avoir mis de firewall ( vu que celui-ci n'est pas installer par default sur ubuntu ...</troll> ).

La solution reste l'utilisation de arptables afin d'isoler sa machine de ses voisines et de ne "voir" que sa passerelle ( il faut donc que l'ip de la passerelle ne change pas ).
Bien sûr si vous voulez communiquer avec une machine de votre /24 cela reste possible en editant correctement la regle arptables.
C'est pour moi la solution ultime, après bien sûr pour les attaques extérieures, les admin de dédibox ont font le moins possible et n'interviennent pour faire un tcpdump que lorsque qu'un client pompe trop de BP donc à vous de bien mettre à jour vos scripts.

Les Dedibox seraient elles plus victimes d'attaques ? - ED

ED — Thu, 13 Sep 2007 09:47:23 +0200

Je viens de lire un peu plus en détail le topic.

{{Calimero a écrit:
Pourquoi dedibox filtrerait alors que tu peux le faire (et le fais déjà) ?}}
{{DeLoVaN a écrit:
Oui, mais d'un point de vue plus rhétorique, ce n'est pas à eux de faire ça.}}

Ca c'est un argument vraiment stupide.
Chaque utilisateur doit sécuriser sa machine.
Et dedibox doit sécuriser son réseau et réagir quand un client est hacké.

Les Dedibox seraient elles plus victimes d'attaques ? - ED

ED — Thu, 13 Sep 2007 09:39:13 +0200

L'argument tient pas vraiment.

On pourrait reprocher la même chose à OVH dont le réseau est nettement plus gros que celui de Dedibox.

Or le nombre de scan est assez faible. Pourquoi ? Parce qu'ils ont mis en place des protections. (notamment des serveurs-sondes)

Les Dedibox seraient elles plus victimes d'attaques ? - LLaumgui

LLaumgui — Thu, 13 Sep 2007 08:12:20 +0200

Effectivement, j'ai du déblacklister ma Dedibox.

Les Dedibox seraient elles plus victimes d'attaques ? - Vanzetti

Vanzetti — Thu, 13 Sep 2007 01:08:23 +0200

Il paraitrait meme que les premières install dedibox stockaient le mot de passe root indiqué à l'installation en clair dans une base de données du service technique de Dedibox.
Le pire, c'est que cette base aurait été volée, d'où certains serveurs piratés.
cf les archives d'alternc.

De plus la réponse qu'on t'a donné est totallement véridique. combien de fois par jour on voit sur le channel irc de dedibox des "clampins" qui ne savent pas faire un "ls" ou ne savent même pas ce qu'est un DNS ?

Et je rajoute que du coup, lorsqu'on prend une dedibox, il y a des possibilité (très fortes) pour tomber sur une ip qui a été blacklité par la majorité des organismes de blacklist.

Je pense que j'ai tout dit...

Montage cifs, extensions Unix et paramètres uid/gid - Bearnaise

Bearnaise — Tue, 19 Jun 2007 17:12:54 +0200

J'ai moi-même galéré pour faire une configuration CIFS avec autofs. Merci pour la solution avec fstab.

Montage cifs, extensions Unix et paramètres uid/gid - LLaumgui

LLaumgui — Wed, 13 Jun 2007 23:43:46 +0200

Trop de problème avec fuse. Et puis au taf, j'ai des serveurs Linux et Microsoft, avec un fusesmb, tu monte tout d'un coup.

Montage cifs, extensions Unix et paramètres uid/gid - Eric

Eric — Wed, 13 Jun 2007 10:44:19 +0200

Je connaissais pas fusesmb faut que je regarde tout ça.
Tu dis avoir eu des problèmes avec cifs ?

Montage cifs, extensions Unix et paramètres uid/gid - LLaumgui

LLaumgui — Wed, 13 Jun 2007 10:28:02 +0200

Je t'avoue que je ne suis pas convaincu par le CIFS, je lui préfert fuseSMB qui monte tout dnas un même dossier.

Montage cifs, extensions Unix et paramètres uid/gid - Eric

Eric — Wed, 13 Jun 2007 10:10:09 +0200

J'ai du mal à comprendre. Si tu désactive les extensions tu ne pourras plus faire du cifs mais du smb seulement non ? Donc plus de lien symboliques et autre ???

unix extensions (G)

   This boolean parameter controls whether Samba implments the CIFS UNIX extensions, as defined by HP. These extensions enable Samba to better serve UNIX CIFS clients by supporting features such as symbolic links, hard links, etc... These extensions require a similarly enabled client, and are of no current use to Windows clients.

Nouvelle installation de Fedora Core 4 et SELinux - LLaumgui

LLaumgui — Thu, 04 May 2006 14:13:59 +0000

De rien. SELinux est bien mais en Enforcing, faut bien le régler.
Sinon, tu as le mode Permissive

root@serveur /home/llaumgui> /usr/sbin/setenforce --help.
usage: /usr/sbin/setenforce [ Enforcing | Permissive | 1 | 0 ].
root@serveur /home/llaumgui>

Nouvelle installation de Fedora Core 4 et SELinux - antoine

antoine — Thu, 04 May 2006 11:41:27 +0000

Bonjour !
Un IMMENSE merci pour tes renseignements qui m'ont permis d'avancer et de m'en sortir... Je n'arrivais pas à partager mes répertoires avec SAMBA. En désactivant SELinux tout est OK !!! Je regarde donc comment faire cohabiter SAMBA et SELinux... En plus je n'avais pas la configuration graphique et je travaillais en mode texte sur les fichiers smb.conf, smnusers ... Bref pas facile de faire le rapprochement entre mes problemes samba et SELinux. Merci.

Bien débuter le développement d'une application web niveau sécurité - LLaumgui

LLaumgui — Mon, 17 Apr 2006 20:17:18 +0000

Tu récupère tes variables directement à partir du tableau $_GET. Perso, j'utilise un tableau $kernel->_GET perso que je traite (quote, utf, etc...).

Bien débuter le développement d'une application web niveau sécurité - cedras

cedras — Mon, 17 Apr 2006 16:03:04 +0000

C'est vrai que si tu mets pas le else, et que t'es sous register_global = On, tu peux alors passer l'admin via l'url hxxp://www:toto.toto.com/index.php?admin=1 ce qui reviendrait en fait à faire le truc stupid :

$admin = $_GET['admin'];

donc si j'ai bien compris ce qui a été dit je vais conclure que c'est cette ligne qu'on utilise pour initialiser une variable à travers l'url. Sinon, comment faire pour initialiser une variable à partir de l'url

Nouvelle installation de Fedora Core 4 et SELinux - LLaumgui

LLaumgui — Thu, 05 Jan 2006 08:25:01 +0000

Tante de couper SELinux, de te connecter, de faire un yum update et de le remettre...

Nouvelle installation de Fedora Core 4 et SELinux - Twxs

Twxs — Thu, 05 Jan 2006 00:16:52 +0000

a l'heure d'aujourd'hui,j'ai le meme pb. fc4 + SELinux et une journée entiere sur le meme probleme :/ toujours pas resolu

---

petite correction, je vient d'avancer en tant que root : setsebool samba_enable_home_dirs=1 permet l'acces a omn homdir depuis un poste windows, reste a trouver le booleen pour les autres repertoires

Nouvelle installation de Fedora Core 4 et SELinux - LLaumgui

LLaumgui — Fri, 21 Oct 2005 22:40:03 +0000

Il est possible qu'un yum update répare ce problème car de nouvelles règles SElinux sont sortie depuis. Merci de me tenir au courant pour savoir si ça marche aussi chez toi.

Nouvelle installation de Fedora Core 4 et SELinux - kojack

kojack — Fri, 21 Oct 2005 21:33:00 +0000

Bonjour,

Tu ne fais très très plaisir, enfin quand je pense que l'on a passé 4 bonne journée a comprendre ce problème que personnellement je n'est pas résolut.

Je vais essayé de suivre ta proposition, Merci MEC

Bien débuter le développement d'une application web niveau sécurité - LLaumgui

LLaumgui — Thu, 05 May 2005 11:52:12 +0000

Oula... Là tu passe admin via hxxp://www:toto.toto.com/index.php?mid=1. Faut plutôt mettre le login et mots de passe (md5) dans le cookie qui génère ton mid dans la session et la tu fais:

if( $_SESSION['mid'] == 1 ){
$admin = 1;
}
else{
$admin = 0;
}

$admin = $_GET['admin'];

Bien débuter le développement d'une application web niveau sécurité - Fantome

Fantome — Thu, 05 May 2005 11:44:46 +0000

Je pense aussi que Register_Global est important mais je rajouterais qu'il faut pense a initialiser une variable si elle doit étre testé.

exemple de code faux (il me semble)
<php
....
if($_GET['mid']==1) $admin = 1;
...
if($admin){
....
}
?>

si je me trope pas et que Register_Global est On on peut ettribuer la valeur 1 a $admin simplement dans l'url. Donc il y a une faille de sécurité il faudrais mettre
<php
...
if($_GET['mid']==1){
$admin = 1;
}else{
$admin = 0;
}...
?>

Merci de me coriger si je me trompe.

Bien débuter le développement d'une application web niveau sécurité - LLaumgui

LLaumgui — Mon, 02 May 2005 08:59:16 +0000

Le problème c'est que même des applications comme phpNuke, ayant pignon sur rues, ne tourne pas en register_global = On... En tout cas c'était le cas la dernière fois que j'ai testé...

Bien débuter le développement d'une application web niveau sécurité - Darken

Darken — Mon, 02 May 2005 01:15:31 +0000

Intéressant, assez clair et efficace. De plus, pour ceux qu'ils veulent tester si leurs scripts tournent sous register_global à Off est de tester leurs scripts en local sous un serveur à register_global à Off.

Ceci ne sera pas pleinement persuasif si le script est bien sécuritaire mais va mettre l'heure juste s'il utilise le global à ON ou bien à OFF... (Disons que c'est une technique extremement primitif mais pour un utilisateur lambda, rapidement pratique pour ce dire : hmmm, fonctionne pas !? hmmm, j'installe pas ça en mode production.) et ça, c'est déjà un bon départ. Sinon, il suffit de vérifier le code.

D'ailleurs, vous pouvez vérifier si votre hébergeur est à ON ou à OFF recherchant ceci dans la configuration (via php_info) : «register_globals - On - On» ou bien «register_globals - Off - Off» et ainsi de suite...

Vers un encodage des produits IPS ? - Chab

Chab — Sun, 05 Dec 2004 00:39:15 +0000

"Ce passage ne se fera pas immédiatement, IPB à encore besoin de bêta testeur, mais dès que le système de modules (payant) sera au point, alors la loi de l'argent risque fort d'être la plus forte."

Tous les signes le montre en tous cas..
Un jour ou l'autre ca risque fort d'etre le cas, Matt peut crier le contraire tant qu'il veut...
(Cette homme n'a pas encore compris que desormais, meme si sont produit est tres bon, pour des milliers d'usager a travers le monde c'est d'abord et avant tous un menteur ....)

Si j'etais bookmecker je dirais "Qui veut faire le paris ?"
Nous avons des tickets a 69 $ et des tickets à 199 %, faite vos jeux rien ne va plus lol ..

Serieux, reveillez vous, gardez vos rond , et supporter les logiciels libre et les gens altruiste..