Si vous utilisez votre propre autorité de certification (Active Directory par exemple) il peut-être utile de générer une demande de signature de certificat (CSR) autorisant plusieurs noms communs (common name) dans le but d'obtenir un certificat HTTPS (X.509).

Voyons comment faire avec openssl. » Lire la suite

Free vient de publier une nouvelle version de Freebox OS à destination des freebox v6 révolution : Freebox OS 3.3. Et c'est une excellente nouvelle !

Il est maintenant possible d'accéder à l'interface à distance via HTTPS, ainsi qu'en FTPES (ftp chiffré). » Lire la suite

Une nouvelle faille vient d'être découverte, elle concerne SSLv3 et aucun correctif n'est disponible.

SSL 3.0 date de 18 ans... encore un qui n'a pas su traverser le temps, comme son cousin bash. Il s'agit du CVE-2014-3566, son petit nom est l'attaque du POODLE  (Padding Oracle On Downgraded Legacy Encryption).

Billet mis à jour pour les méthodes de test : nmap et openssl s_client

Vous devez donc désactiver SSLv3 (et v2 si ce n'est pas déjà fait) dans vos serveurs, voyons comment faire. » Lire la suite

But : configurer les nouvelles clés de protections WordPress dues à la version 2.6

Si vous avez migré sur WordPress 2.6 vous devriez revoir votre fichier wp-config.php à la racine de votre blog.

En effet ce fichier a été complètement revu dans le but d'un support HTTPS (si votre serveur apache le supporte) pour la consultation et/ou l'administration. La SECRET_KEY n'existe plus, et ce au profit de 3 nouveaux champs :

define(’AUTH_KEY’, ‘mettez votre expression unique ici’);
define(’SECURE_AUTH_KEY’, ‘mettez votre expression unique ici’);
define(’LOGGED_IN_KEY’, ‘mettez votre expression unique ici’);

Le meilleur moyen de remplir ses champs n'est pas de faire appel à votre imagination, mais plutôt à un générateur aléatoire, qui plus est fourni par l'équipe de WordPress 🙂

Accéder au générateur WordPress
Plus d'infos sur ces clés via WP-France

Un serveur proxy (ou serveur mandataire) est un ordinateur qui va chercher à votre place le contenu web que vous demandez à travers votre navigateur internet. C'est donc une sorte d'intermédiaire ou bien de passerelle entre votre réseau local et le réseau internet. Très utilisé dans les entreprises il permet de mettre en cache les pages les plus souvent consultées qui sont donc accessibles très rapidement car stockées sur un serveur local.

Grosso modo 2 types de serveurs proxy existent :

• Les serveurs génériques transmettent l'adresse IP du client en même temps que la leur (champ HTTP X-Forwarded-For généralement).
• Les serveurs "anonymes" (ou encore proxies anonymiseurs). Les serveurs en question contactés ne peuvent connaître facilement l'adresse IP de la machine cliente, ils ne « voient » que l'adresse du serveur anonymiseur, par contre ce dernier la connait et peut l'enregistrer - rendant par là la notion d'anonymat toute relative. Diverses utilisations bénéfiques peuvent donc en être tirées...

Mais rappelons le, même sur un serveur proxy anonyme les données entre votre PC et ce serveur circulent en clair (à travers le biais de votre FAI). C'est donc un gros point noir si vous souhaitez que tout soit vraiment anonyme jusqu'a l'arrivée sur le serveur proxy.

Je vous présente donc un serveur proxy anonyme entièrement sécurisé en SSL (vous savez le cadenas sur les sites de vente en ligne 😉 )

» Lire la suite