Liste des liens
Pour s'en prémunir, l'ANSSI estime qu'il faudra "dégager suffisamment de ressources, dans des budgets globalement insuffisants, pour atteindre un juste niveau de sécurité."
L'ironie de cette phrase fait froid dans le dos. Globalement, ça veut dire : "vous n'avez aucun moyen pour fonctionner normalement mais il va falloir que vous trouviez de quoi vous défendre quand même".
C'est un peu comme le sketch des inconnus :
" - On a faim !
- Bein, mangez !
- Oui mais on n'y arrive pas !
- Bein, il faut vous forcer !"
HTTP Strict Transport Security (HSTS) est un mécanisme de politique de sécurité proposé pour HTTP, permettant à un serveur web de déclarer à un agent utilisateur (comme un navigateur web), compatible, qu'il doit interagir avec lui en utilisant une connexion sécurisée (comme HTTPS). La politique est donc communiquée à l'agent utilisateur par le serveur via la réponse HTTP, dans le champ d'en-tête nommé « Strict-Transport-Security ». La politique spécifie une période de temps durant laquelle l'agent utilisateur doit accéder au serveur uniquement de façon sécurisée.
A typical Rapid Risk Analysis/Assessment (RRA) takes about 30 minutes. It is not a security review, a full threat-model, a vulnerability assessment, or an audit. These types of activities may however follow an RRA if deemed appropriate or necessary.
The main objective of the RRA is to understand the value and impact of a service to the reputation, finances, productivity of the project or business. It is based on the data processed, stored or simply accessible by services.
Note that the RRA does not focus on enumerating and analyzing security controls. The RRA process is intended for analyzing and assessing services, not processes or individual controls.
Un dépôt qu'il est bien d'aller faire un tour dedans...
Ah, passwords. Love ‘em or hate ‘em, they’re a necessary evil of the digital age. The reality is we all end up with an alphabet soup of passwords spread over dozens of various sites and services across the internet. Whilst we might not always practice it, we all know the theory of creating a good password; uniqueness, randomness and length. The more of each, the better.
A curated list of Web Security materials and resources.
Un gestionnaire de mots de passe puissant en bash, à base de clé GPG, disponible pour toutes les plateformes les plus communes.
Instructif (non, ce n'est pas le nom d'un salon de coiffure...)
En France, cela ne représente "que" 7 serveurs. C'est peu je trouve comparé au nombres de serveurs en activité.
Mais vu le nombre d'examens par cabinet, c'est sûr que ne serait-ce qu'un seul serveur suffit à exposer quantité de données.
Bonjour,
Votre conseiller (...), après examen de votre fiche de contact, vous propose de rédiger votre (...).
Connectez-vous sur le site du CNAM, pour renseigner ce (...) .
(...)
Pour toute question ou demande d'information, vous pouvez contacter votre conseiller.
Rappel de vos identifiants de connexion au site :
- identifiant : (...)
- mot de passe : (...)
Le service Compétences, expérience et validation
Direction nationale des formations
Le Cnam
Ces lignes utilisent le protocole SIP. Or il n’est jamais indiqué que ces lignes ne sont pas sécurisées… ce qui est problématique quand les communications passent par le Wifi et Internet.
En effet le protocole SIP ne chiffre ni l’authentification au service, ni les communications.
PS : j'ai oublié de préciser que c'est les communications par SIP chez OVH...
Une classe de mon cru pour gérer les mots de passe.
API utilisable sans transmettre le mot de passe en clair.
On envoie seulement les 5 premiers caractères du hash du mot de passe en SHA1, et l'API renvoie la liste de tous les hash SHA1 qui débutent par ces 5 caractères (tronqués de ces 5 caractères). Cela permet de ne pas alourdir la requête.
Il faut ensuite comparer le reste des caractères du hash du mot de passe aux éléments de cette liste. Si on les y retrouve, c'est que le mot de passe a été piraté.
Voir également : https://blog.cloudflare.com/validating-leaked-passwords-with-k-anonymity/
Attention avec cette application : voir https://bookmarks.ecyseo.net/?1Sd-1g
Attention de ne pas l'utiliser tel quel.
Il logue par défaut l'utilisation de l'application
- https://github.com/prasathmani/tinyfilemanager/issues/164
- https://github.com/nahidacm/tinyfilemanager/blob/master/authentication.php ligne 74
et sa gestion des mots de passe n'est pas claire. Il faut générer un hash du mot de passe en php (ok) mais il propose de le faire via une seconde application dédiée hébergée ailleurs : pourquoi ne pas l'avoir directement utilisée dans ce projet là ? Que deviennent les mots de passe qui ont été saisis via cette deuxième appli ?
Et je ne parle pas de l'utilisation des variables globales...
Clairement, ça pue.
Il va falloir désactiver le css aussi alors ???
Non seulement ce ne sera pas efficace, mais en plus on sera encore plus fliqué que l'on ne l'est. Cela permettra d'augmenter l'efficacité des moyens de reconnaissance faciale dans les lieux publics ou de détection d'empreintes. Bref, on sera surveillé en permanence même dans des endroits où l'on pensera ne pas l'être...
Bref, arrêtez d'utiliser windows...