|
|
Si vous voulez bloquer ce service sur vos fils RSS
Si vous voulez nous contacter ou nous proposer un fil RSS
Menu > Articles de la revue de presse : - l'ensemble [ tous | francophone] - par mots clé [ tous] - par site [ tous] - le tagwall [ voir] - Top bi-hebdo de la revue de presse [ Voir]
Présentation : 1 Utilisation malveillante des suivis de connexions - Eric Leblond Pour pallier à la défection de Werner Koch qui devait effectuer une présentation de Steed, le futur ou le remplaçant de PGP, Eric Leblond redonne la conférence donnée au SSTIC 2012. Ayant déjà été couvert par des live blogging du SSTIC, je repose la clavier pour celle-ci. La conférence est très intéressante, mais le projet STEED m'intéresse énormément. Dommage que Werner Koch n'ait pu se libérer. 2 Browser ID - Jean-Yves Perrier Cette conférence va traiter de Persona ou BrowserId et est présentée par un développeur mozilla. Mozilla n'est pas que Firefox, et est une fondation qui oeuvre à un web ouvert. Il est de plus en plus obligatoire de posséder un login pass pour pouvoir se connecter sur des sites webs. Ceci pose des problèmes de sécurité et quelques problématiques pratiques, browserId se propose de répondre à ces deux points. Les pirates savent que les utilisateurs réemploient toujours le même mot de passe car il est difficile de mémoriser au delà de 4-5 mots de passes. Les campagnes de sensibilisation existent, mais ces méthodes continuent de prospérer. Des modes centralisés existent, mais restent cantonnées à un navigateur alors qu'on surfe aujourd'hui depuis des navigateurs et devices différents android, puis tablet, puis PC fixe, etc.. . Persona essaye aussi de répondre à ce problème. Facebook propose un système centralisé. De plus en plus de sites acceptent le login facebook par exemple. Toutefois cela permet à des sociétés de profiler très simplement les internautes. Persona essaye donc de proposer un login unique sans possibilité de traçabilité. OpenID répond à cette problématique de traçabilité, toutefois l'usage ne se répand pas en raison de son absence d'ergonomie, l'id ressemble pour l'utilisateur à un nom de domaine et pas vraiment à une identité. Persona va encore répondre à ce point. Persona va donc essayer d'être bien évidemment sécurisé, simple, SSO, et lié à une identité. Mais la gestion des identités est également un procédé compliqué à mettre en oeuvre pour les sites webs. Dans toutes les bonnes pratiques il est indiqué que les mdp doivent être salés puis hachés, mais tous les sites ne le font pas. Et les sites doivent également protéger les utilisateurs contre eux mêmes mdp trivial ce qui est difficile à gérer techniquement. Le site souhaite donc lui aussi un système simple sûr, respectant la vie privée, et compatible partout. La solution s'appelle Persona et se base sur le protocole BrowserID. BrowserID authentifie un utilisateur de manière sure et ne fait fuiter aucune information à des tiers. L'identité primaire se fait sur l'adresse e-mail en raison de la personnification de celle-ci, les utilisateurs savent généralement que l'adresse les représente. Les e-mails ont aussi l'avantage du pseudonymat Trois acteurs sont au centre du système. Tout d'abord, l'utilisateur, puis le relying party le site web sur lequel on se connecte par exemple , puis le provider qui va authentifier identifier l'adresse mail. Tout d'abord, l'adresse mail doit avoir été enregistrée avec le provider d'identité cette étape n'est à faire qu'une fois . Ensuite, une mécanique crypto se met en place pour identifier temporairement l'utilisateur sur le site. Pour les développeurs, une effort de simplicité est fait puisqu'il faut ajouter une ligne d'include dans le code et un bouton juste une image et d'une fonction qui réagisse au clic sur le bouton. Côté code client, cela représente moins d'une quinzaine de ligne en jquery par exemple. Côté serveur il suffit d'une dizaine de lignes. L'avantage c'est surtout qu'en compromission, aucun mot de passe ne peut être divulgué. Pour la roadmap une beta va bientôt sortir. Tous les produits mozilla vont se mettre progressivement à l'utiliser mozilla developper, bugzilla, etc.. .La prochaine étape consiste à décentraliser le provider qui est browserid.org, afin d'autoriser n'importe quel serveur de mail à devenir provider. Toutefois un provider d'email ne pourra identifier que les mails de son domaine, seul browserid peut identifier n'importe quel domaine. 3 Elections HELIOS - Stéphane Glondu Je ne suivrai pas cette conférence, mettant les dernières modifications sur mes slides. 4 L'accès à internet est un sport de combat - Kevin DENIS
Les derniers articles du site "Exploitability" :
- Street fighter -- Assassin's Fist
- SSTIC 2014
- L'antivirus est mort air connu
- 400 Gigabits par seconde, c'est beaucoup pour un DDOS
- Bluetouff et gogleuh
- Haka est sorti TCP IP security is not boring anymore
- NSA Catalog petit papa Snowden
- Grehack 2013 writeup - 1337
- Gre at Hack 2013
- RIP.
Menu > Articles de la revue de presse : - l'ensemble [ tous | francophone] - par mots clé [ tous] - par site [ tous] - le tagwall [ voir] - Top bi-hebdo de la revue de presse [ Voir]
Si vous voulez bloquer ce service sur vos fils RSS :
- avec iptables "iptables -A INPUT -s 88.190.17.190 --dport 80 -j DROP"
- avec ipfw et wipfw "ipfw add deny from 88.190.17.190 to any 80"
- Nous contacter par mail
| Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre |
| Mini-Tagwall de l'annuaire video : | | | | curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio |
| Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
| Mini-Tagwall des Tweets de la revue Twitter : | | | | security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
|
|
|
|
|
