Blog Tech

Pensez à mettre à jour votre WordPress 2.6.3

Sécurité 4
A ce point ?PassableIntéressantYeahExcellent! (1 vote(s), 4,00/ 5)
Loading...

Une faille dans la version WordPress 2.6.3 vient d'être découverte. Elle ne concerne uniquement les serveurs Apache 2.x virtuels basés sur IP.

Je fais ce billet également pour vous dire que l'on passe de la version 2.6.3 à la 2.6.5 et qu'il n'existera jamais de 2.6.4 tout simplement à cause du fait que des rumeurs avaient circulées sur cette version... Pour éviter toute confusion l'équipe de développement de WP a préférer sauter cette version 2.6.4.

La version française n'étant encore pas disponible sur WordPress-fr (elle le sera peut-être à l'heure ou vous lisez ce billet), vous pouvez soit télécharger uniquement les fichiers modifiés (pas de perte de la langue française), soit re-télécharger la version anglaise complète en version 2.6.5.

Personnellement j'ai seulement mis à jour les fichiers patchés (ce que je fais à chaque fois d'ailleurs pour éviter de perdre certaines personnalisations dans le code source).

Voici la note officielle :

WordPress 2.6.5 is immediately available and fixes one security problem and three bugs. We recommend everyone upgrade to this release.

The security issue is an XSS exploit discovered by Jeremias Reith that fortunately only affects IP-based virtual servers running on Apache 2.x. If you are interested only in the security fix, copy wp-includes/feed.php and wp-includes/version.php from the 2.6.5 release package.

2.6.5 contains three other small fixes in addition to the XSS fix. The first prevents accidentally saving post meta information to a revision. The second prevents XML-RPC from fetching incorrect post types. The third adds some user ID sanitization during bulk delete requests. For a list of changed files, consult the full changeset between 2.6.3 and 2.6.5.

Note that we are skipping version 2.6.4 and jumping from 2.6.3 to 2.6.5 to avoid confusion with a fake 2.6.4 release that made the rounds. There is not and never will be a version 2.6.4.

WordPress-fr
WordPress (officiel)

Sécurité à revoir sur le site du Crédit Agricole

Sécurité 15
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

Si vous êtes client du Crédit Agricole sachez cette information vous concerne.

Vous avez peut-être souscris à l'option permettant d'accéder à la gestion de vos comptes en ligne (payante, disponible dans certains packs), généralement ça fonctionne plutôt bien... sauf que aujourd'hui j'ai voulu me connecter et voici ce sur quoi je suis tombé :

Normal allez vous me dire ? Sauf que c'était ma première connexion et que je suis certains d'avoir entré le bon mot de passe ! Quelqu'un a donc essayé de s'identifier à ma place... ayant une machine propre (scannée régulièrement, à jour, etc) j'ai tout de suite mis hors de cause mon pc.

Quel est le problème ?

Le problème vient en fait de l'identifiant de chaque personne qui est "facilement" devinable puisqu'il est composé des 8 premiers chiffres du numéro de compte suivi de "960". » Lire la suite

Disque dur externe sécurisé par code

Sécurité commenter
A ce point ?PassableIntéressantYeahExcellent! (1 vote(s), 4,00/ 5)
Loading...

Lenovo lance un disque dur USB protégé contre le vol de données. Le contenu du disque est crypté en 128 bit et nécessite un code d'accès numérique pour accéder aux données :

Il supporte jusqu'à 10 utilisateurs différents en plus du compte administrateur. » Lire la suite

Un très dangereux keylogger acoustique

Sécurité 7
A ce point ?PassableIntéressantYeahExcellent! (1 vote(s), 4,00/ 5)
Loading...

Le keylogger est connu sous deux formes : logiciel (application installée de façon invisible), ou matériel (boitier interceptant les touches placé entre le clavier et le pc). Ces deux techniques sont relativement détectables, soit via un antivirus soit visuellement...

Mais si je vous dis que l'on peut intercepter tout ce que vous tapez, sans rien installé et jusqu'à une vingtaine de mètre, même avec un mur en obstacle ? Vous n'êtes pas dans un film, mais bien dans du concret ! C'est en tous cas ce que viennent de démontrer deux chercheurs en sécurité informatique au Lasec de Lausanne :

[dailymotion k2SHNiesViTKfkOdtu nolink] » Lire la suite

Contrôlez la disponibilité de votre site

Sécurité commenter
A ce point ?PassableIntéressantYeahExcellent! (1 vote(s), 4,00/ 5)
Loading...

But : vérifier de manière autonome si votre site, blog, serveur fonctionne correctement.

Vous disposez d'un blog, site, ou d'un serveur professionnel loué ? Il peut être utile de contrôler son fonctionnement afin de voir si celui-ci fonctionne correctement... en effet il peut y avoir des maintenances la nuit qui peuvent par exemple vous échapper, ou bien des coupures réseau sur un datacenter dans lequel est votre serveur, etc.

Mon.itor.us vous permet de garder un oeil sur les performances, la disponibilité ainsi que le traffic généré par le serveur. Tous les services sont gratuits, une offre payante existe également proposant par exemple des alertes SMS ainsi que des rapports de classement dans les moteurs de recherche.

Voici les types de services que vous pouvez contrôler :

Vous pouvez tout à fait modifier les ports et controler de cette façon d'autres services 🙂

Vous obtiendrez ensuite des graphiques des différents test réalisés qui permettent de visualiser de façon rapide et détaillée.

Les tests sont réalisés depuis plusieurs serveurs dans différents pays, c'est interessant pour la latence (ping) et peut permettre de trouver des goulots d'étranglements si votre serveurs n'est pas relié sur le transit européen tel que chez OVH en datacenter.

D'autres sites permettent de contrôler l'uptime, le plus populaire étant Host-Tracker (gratuit) qui permet d'afficher un logo en temps réel avec votre disponibilité. Il reste très pratique mais assez basique sur le niveau de controle (HTTP uniquement).

Sachez que le leader français en hébergement s'engage (SLA) sur la qualité de la connexion (99.9% / mois, soit 43 min et 12 sec), en cas de disponibilité inférieure OVH s'engage à payer des pénalités suivant la durée de la panne.

Accéder à Mon.itor.us

Hotmail sur Outlook Express (WebDav)

Sécurité 5
A ce point ?PassableIntéressantYeahExcellent! (3 vote(s), 4,33/ 5)
Loading...

Actualité : Microsoft souhaite faire passer définitivement Outlook à la trappe

A condition d'avoir surfer sur les premières vagues du web vous avez sans aucun doute utilisé le logiciel de messagerie de Microsoft gratuit et livré avec toutes les versions de Windows, à savoir Outlook Express.

Malgré les différentes mises à jour de Microsoft, Outlook Express comporte de nombreuses » Lire la suite

Un point sur le chiffrement WEP

Sécurité 2
A ce point ?PassableIntéressantYeahExcellent! (2 vote(s), 4,00/ 5)
Loading...

But : éclaircir les différents chiffrement WEP utilisés sur les équipement 802.11 (a/b/g)

Les différentes cartes WiFi n'ont pas toujours les mêmes représentations lors de la configuration des systèmes de chiffrement. Afin d'éclaircir tout ça, voici une explication.

Configuration du cryptage WEP (WiFi) » Lire la suite

Un proxy sécurisé SSL (Secure Socket Layer)

Sécurité 4
A ce point ?PassableIntéressantYeahExcellent! (7 vote(s), 3,86/ 5)
Loading...

Un serveur proxy (ou serveur mandataire) est un ordinateur qui va chercher à votre place le contenu web que vous demandez à travers votre navigateur internet. C'est donc une sorte d'intermédiaire ou bien de passerelle entre votre réseau local et le réseau internet. Très utilisé dans les entreprises il permet de mettre en cache les pages les plus souvent consultées qui sont donc accessibles très rapidement car stockées sur un serveur local.

Grosso modo 2 types de serveurs proxy existent :

  • Les serveurs génériques transmettent l'adresse IP du client en même temps que la leur (champ HTTP X-Forwarded-For généralement).
  • Les serveurs "anonymes" (ou encore proxies anonymiseurs). Les serveurs en question contactés ne peuvent connaître facilement l'adresse IP de la machine cliente, ils ne « voient » que l'adresse du serveur anonymiseur, par contre ce dernier la connait et peut l'enregistrer - rendant par là la notion d'anonymat toute relative. Diverses utilisations bénéfiques peuvent donc en être tirées...

Mais rappelons le, même sur un serveur proxy anonyme les données entre votre PC et ce serveur circulent en clair (à travers le biais de votre FAI). C'est donc un gros point noir si vous souhaitez que tout soit vraiment anonyme jusqu'a l'arrivée sur le serveur proxy.

Je vous présente donc un serveur proxy anonyme entièrement sécurisé en SSL (vous savez le cadenas sur les sites de vente en ligne 😉 )

SureProxy » Lire la suite