PUBLIC MARKS with tag faille

Présenté à la Toorcon et développé par Eric Butler, Firesheep est une extension pour Firefox qui permet de sniffer sur le réseau local, les sessions HTTP non chiffrées qui transitent sur le réseau, permettant ainsi aux petits malins d’accèder directement à vos comptes Google, Twitter, Facebook, Flickr, Amazon, bit.ly, Yahoo, WordPress,…etc sans avoir à se logger. Méfiance donc dans vos écoles et entreprises… La faute de tous ces sites qui ne sécurisent pas en HTTPS l’intégralité de leurs échanges, se contentant juste de chiffrer la partie de login, oubliant bêtement l’accès non chiffré au cookie. Mais pas de panique !!! Il est possible de vous protéger en forçant un chiffrement de A à Z de votre connexion avec ces sites web : Installer l’extension ForceTLS disponible chez Mozilla et pour Firefox. Après un peu de config pour spécifier quels sont les sites dont vous voulez forcer le passage en HTTPS, vous serez protégé !

« Looking at the chart below, we can see that over the past few days there has been a huge increase in the number of Firefox downloads from IE users in Germany. » Et en France ?

Le plus intéressant se trouve dans les conseils pour éviter/combler ces failles... => ici pour la version complète et à jour : http://cwe.mitre.org/top25/

For everyone involved, this was a first-of-a-kind experience: managing a specification security hole (as opposed to a software bug) in an open specification, with an open community, and no clear governance model. Where do you even begin?

La fuite partait d'un url, d'une adresse Internet, concernant le suivi des commandes effectuées par les clients Orange à partir du site officiel. Un lien et une page baptisée Suivi de commance normalement sécurisés. Un https assure le fait qu'aucune personne, entre le client et Orange, ne peut intercepter les informations privées. Seulement, le https ne servait strictement à rien. Il suffisait de modifier les chiffres de fin de l'URL (56455 = Damien ; 56456 : autre personne ; ... Voir notre reportage vidéo ci-dessous, NDR) pour accèder aux dossiers en question.

Google vient d’annoncer qu’il proposait son outil Ratproxy, permettant de dénicher les failles de sécurité dans les sites web, sous licence Open Source Apache. Chaque webmaster digne de ce nom pourra ainsi utiliser le logiciel, disponible sous FreeBSD, Linux, Mac OS X ou Windows, pour savoir si son site présente des dangers d’intrusion ou de piratage. Google indique que pour l’instant, le système est en version bêta et qu’il n’est pas infaillible, l’utilisation de solutions plus complète et l’analyse humaine d’un professionnel restant encore aujourd’hui indispensable.

De toute façon, à quoi ça sert superwall à part faire suivre des chaines ?

Forger des paquets

This write-up discusses a problem inherent to the situation of a connection-oriented authentication - authorization protocol (e.g. NTLM authentication) used with a proxy server that shares TCP connections among several clients

http://mpf.danslesbois.org