Blog Informatique

Quand Numericable ABUSE vraiment

Internet   3 réactions »
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

numericable-is-waching-you

[Mise à jour] Moins de 24 après mon billet, Numericable rectifie le tir et l'information n'apparaît plus dans le whois. PcInpact parle de mon billet et de cette modification.

C'est en géo-localisant une adresse IP dans le range des IPs allouées au fournisseur d'accès Hadopicable Numéricable que je suis tombé de ma chaise, si si. Je dois dire que là, cela dépasse tout ce que je pouvais imaginer.

Effectivement, à y regarder de plus près je me suis rendu compte que le WHOIS de l'ip en question comportait un champ plutôt insolite. Je qualifierai même ce champ hadopi ready :

numericable-whois

» Lire la suite

Recevoir une notification par email à chaque connexion SSH

Système   19 réactions »
A ce point ?PassableIntéressantYeahExcellent! (1 vote(s), moy. : 3,00 sur 5)
Loading...

alerte-email-connexion-sshUne connexion SSH permet d'administrer un serveur, Linux dans la plupart des cas. Cette connexion s'effectue grâce à un login et un mot de passe associé, généralement root (bien que le login root frontal soit déconseillé).

Si vous hébergez votre site/blog sur un serveur de type mutualisé ou dédié vous avez la possibilité de gérer ce serveur à distance via SSH. Autant dire que si une personne non autorisée se connecte sur votre serveur, il est libre de littéralement détruire toutes vos données ainsi que le système.

Il se peut parfois que l'on vous ait volé vos identifiants et que rien ne soit passé sur votre serveur, que l'attaquant attende un moment opportun pour attaquer ou collecter certaines de vos données. Et dans ce cas vous n'en saurez rien !

Je vous propose de mettre une place une notification par email (alerte) à chaque connexion effectuée sur votre serveur. Vous serez ainsi averti en temps réel de cette intrusion indésirable, à condition de consulter votre email régulièrement. » Lire la suite

HFS : un serveur web de partage de données

Système   12 réactions »
A ce point ?PassableIntéressantYeahExcellent! (2 vote(s), moy. : 3,50 sur 5)
Loading...

hfs-logoSi je devais designer le logiciel de l'année 2009, ce serait HFS.

HFS (HTTP File Server, aucun rapport avec Apple) est un utilitaire Windows open-source (GPL) de 600 ko qui vous permet de partager vos fichiers de façon instantanée au travers d'un serveur web. Par simple glisser-déposer vous partager une ressource, sans jamais utiliser de serveur FTP (ni le protocole, tout est en HTTP).

HFS se nécessite aucune installation.

Fonctionnalités

HFS vous permet de partager un fichier ou un dossier complet et d'en protéger l'accès par un mot de passe. Dans le cas d'un sous-dossier HFS ne partage par l'arborescence du dossier parent mais simplement ce sous-dossier, sans possibilité de remonter vers la racine.

hfs-interface

> » Lire la suite

Migrer la base de données de WordPress de serveur

Système   6 réactions »
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

migrer-wordpressLa semaine dernière, Blogmotion déménageait de serveur. Voici un petit guide de migration tranquille, pour limiter un maximum l'impact de ce changement qui peut se faire sans qu'une coupure ne soit ressentie par les visiteurs.

Ce guide concerne uniquement le changement d'adresse du serveur MySQL, consultez aussi mon billet décrivant la sauvegarde complète d'un site web.

Ce guide concerne la plateforme WordPress, avec une base de données MySQL, le tout migrant depuis un serveur Linux Debian (dédié) vers un autre serveur du même type. Fonctionne également en environnement mutualisé ayant un accès SSH. » Lire la suite

Connexion SSH et transfert RSYNC, SCP, SFTP sans mot de passe

Système   46 réactions »
A ce point ?PassableIntéressantYeahExcellent! (3 vote(s), moy. : 5,00 sur 5)
Loading...

authentification-ssh-sans-mot-de-passeBut : se connecter en secure shell (SSH) sans entrer de mot de passe entre deux machines Linux.

Principe

Il peut-être utile d'automatiser des transferts de fichiers de façon sécurisée entre deux machines fonctionnant sous une distribution Linux.

Vous pouvez par exemple créer des CRONS qui se chargeront d'effectuer un transfert via rsync, généralement utilisé pour créer des sauvegardes entre deux serveurs distincts.

Le principe reste le même : on établit une connexion SSH dans laquelle vont circuler les données (via rsync, scp ou sftp). » Lire la suite

Intercepter les requêtes et entêtes depuis un navigateur

Internet   12 réactions »
A ce point ?PassableIntéressantYeahExcellent! (1 vote(s), moy. : 5,00 sur 5)
Loading...

Tamper Data est une extension Firefox capable d'intercepter les entêtes HTTP et HTTPS (sécurisé) et d'agir au niveau des requêtes GET et POST.

Exemple concret, nous allons sur le site de Free et entrons un numéro de téléphone (01 23 45 67 89) pour vérifier notre éligibilité :

temper-data-free-1

Activons ensuite l'extension via le menu Outils de Firefox > Altérer les données. Précisons l'adresse "free.fr" dans le filtre, puis cliquons sur "démarrer altération" :

temper-data-filtre » Lire la suite

Forcer la synchronisation de l’heure et date dans un domaine Active Directory

Système   2 réactions »
A ce point ?PassableIntéressantYeahExcellent! (5 vote(s), moy. : 4,00 sur 5)
Loading...

Les décalages horaires (date et heure) entre une station cliente et son contrôleur de domaine peuvent être source de nombreux problèmes. Les connexions à des ressources partagées via des lecteurs réseaux sont de loin les plus problématiques.

Pour pallier à cette différence vous avez deux solutions, dans notre cas c'est un serveur Windows 2003 qui sera utilisé. » Lire la suite

Pensez à mettre à jour votre WordPress 2.6.3

Sécurité   4 réactions »
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

Une faille dans la version WordPress 2.6.3 vient d'être découverte. Elle ne concerne uniquement les serveurs Apache 2.x virtuels basés sur IP.

Je fais ce billet également pour vous dire que l'on passe de la version 2.6.3 à la 2.6.5 et qu'il n'existera jamais de 2.6.4 tout simplement à cause du fait que des rumeurs avaient circulées sur cette version... Pour éviter toute confusion l'équipe de développement de WP a préférer sauter cette version 2.6.4.

La version française n'étant encore pas disponible sur WordPress-fr (elle le sera peut-être à l'heure ou vous lisez ce billet), vous pouvez soit télécharger uniquement les fichiers modifiés (pas de perte de la langue française), soit re-télécharger la version anglaise complète en version 2.6.5.

Personnellement j'ai seulement mis à jour les fichiers patchés (ce que je fais à chaque fois d'ailleurs pour éviter de perdre certaines personnalisations dans le code source).

Voici la note officielle :

WordPress 2.6.5 is immediately available and fixes one security problem and three bugs. We recommend everyone upgrade to this release.

The security issue is an XSS exploit discovered by Jeremias Reith that fortunately only affects IP-based virtual servers running on Apache 2.x. If you are interested only in the security fix, copy wp-includes/feed.php and wp-includes/version.php from the 2.6.5 release package.

2.6.5 contains three other small fixes in addition to the XSS fix. The first prevents accidentally saving post meta information to a revision. The second prevents XML-RPC from fetching incorrect post types. The third adds some user ID sanitization during bulk delete requests. For a list of changed files, consult the full changeset between 2.6.3 and 2.6.5.

Note that we are skipping version 2.6.4 and jumping from 2.6.3 to 2.6.5 to avoid confusion with a fake 2.6.4 release that made the rounds. There is not and never will be a version 2.6.4.

WordPress-fr
WordPress (officiel)

Sécurité à revoir sur le site du Crédit Agricole

Sécurité   15 réactions »
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

Si vous êtes client du Crédit Agricole sachez cette information vous concerne.

Vous avez peut-être souscris à l'option permettant d'accéder à la gestion de vos comptes en ligne (payante, disponible dans certains packs), généralement ça fonctionne plutôt bien... sauf que aujourd'hui j'ai voulu me connecter et voici ce sur quoi je suis tombé :

Normal allez vous me dire ? Sauf que c'était ma première connexion et que je suis certains d'avoir entré le bon mot de passe ! Quelqu'un a donc essayé de s'identifier à ma place... ayant une machine propre (scannée régulièrement, à jour, etc) j'ai tout de suite mis hors de cause mon pc.

Quel est le problème ?

Le problème vient en fait de l'identifiant de chaque personne qui est "facilement" devinable puisqu'il est composé des 8 premiers chiffres du numéro de compte suivi de "960". » Lire la suite

Le réservoir de citronnade est vide

Internet   2 réactions »
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

J'ai toujours pensé que héberger plusieurs sites web sur un même serveur web ne devait se faire qu'à une seule condition : la stabilité et la sécurité doivent être au rendez-vous.

Pour faire suite au billet écrit par Thierry il y a de ça quelques jours, voilà que Fuzz s'emballe depuis plus de deux jours... Surcharge du serveur qui est à bout ? panne matérielle ? piratage ? nous n'en savons rien mais depuis aujourd'hui le citron est un peu trop acide :

Et Fuzz tente de communiquer via des alert Apache :

» Lire la suite