CERCLL

CercLL d'Entraide et Réseau Coopératif Autour des Logiciels Libres

  • Visioconférence

  • Languages Disponibles

  • Richard Stallman

  • Le Logiciel Libre

  • Priorité au Logiciel Libre!

  • L’ Agenda du Libre région PACA

  • Mobilizon Chapril

  • Chapril Mumble

  • Articles récents

  • Le Manchot

  • Écoutez

  • Lsdm liste des Gulls

  • Toolinux

  • Mastodon CercLL

  • Méta

  • créer un sondage

  • Un éditeur de texte collaboratif en ligne libre

  • Communication collaborative

  • Framatalk Visioconférence

  • Herbergement d’images

  • Ordinateur recyclé sous Debian

  • Nombres de visites sur ce site

    • 84 937 Visites
  • Entrez votre adresse mail pour suivre ce blog et être notifié par email des nouvelles publications.

    Rejoignez 223 autres abonnés

  • RSS CERCLL

  • Archives

Archive for 3 février 2016

Un possible repreneur pour Thunderbird

Posted by CercLL sur 3 février 2016

La Fondation Pretty Easy Privacy avait rapidement répondu à Mozilla lorsque celle-ci avait annoncée qu’elle se séparait de Thunderbird, son client de messagerie. Elle proposerait d’en reprendre le développement.

pep-51495

Récente et encore peu connue, cette fondation souhaiterait reprendre la gestion et le développement de Thunderbird, un logiciel phare du monde du libre qui risque de disparaître. Et elle a un atout de taille pour cela : PEP. Ce système de chiffrement open source utilise la technologie du peer-to-peer, il est donc décentralisé, et ce n’est pas une application, mais un greffon que l’on pourrait intégrer aux logiciels existants, contrairement à ce qui se fait actuellement. Autre avantage non négligeable, il se veut le plus simple possible.

Alex Antener précise qu’avec PEP, « des gens équipés de systèmes différents pourront communiquer et déchiffrer leurs messages respectif »s. Il pourrait donc être intégré directement dans Thunderbird.

Liens :

La proposition de reprise par PEP
La fondation PEP
La société PEP

Source toolinux.com

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur Un possible repreneur pour Thunderbird

Les sites cachés Tor exposés grâce au serveur Apache

Posted by CercLL sur 3 février 2016

Tor

Un paramétrage par défaut dans les serveurs web Apache divulgue la configuration des sites cachés sur Tor. Une transparence problématique.

Les sites web, qui s’appuient sur le réseau d’anonymisation Tor pour masquer leur adresse serveur, doivent se méfier d’un paramétrage par défaut dans les serveurs Apache. Ces derniers largement utilisés sur le web ont fait l’objet d’une attention particulière de la part d’un hacker qui a donné sur un site les détails de la faille.

Sur cette page, il rend d’abord hommage à d’autres hackers pour leurs travaux sur les serveurs Apache. Il explique ensuite que « si vous utilisez un serveur Apache pour faire tourner un site caché Tor, assurez-vous de désactiver mod_status  avec l’instruction: $ a2dismod status ». Il poursuit son explication en précisant : « Dans plusieurs distributions, Apache est livré avec une fonctionnalité pratique appelée mod_status qui est activée. C’est une fonctionnalité située à /server-status qui donne quelques statistiques comme la disponibilité, l’utilisation des ressources, le trafic total, les hôtes virtuels activés et les requêtes actives HTTP. Pour des raisons de sécurité, elle est accessible uniquement depuis localhost par défaut. »

Un espionnage en toute transparence

Dès lors, si le daemon Tor fonctionne sur le localhost, le site caché sur Tor a donc sa page /server-status et expose plusieurs statistiques pouvant intéresser des gens malintentionnés. Un pirate peut ainsi déduire à partir du fuseau horaire la longitude approximative du service ou déterminer l’adresse IP du site. Adieu donc anonymat.

Comme le rappelle le hacker anonyme, cette vulnérabilité n’est pas nouvelle. Mais elle est remise au goût du jour, car elle est persistante. Le projet Tor conscient du problème a tenté d’y remédier. Las, le hacker constate qu’il « a découvert plusieurs expositions à ce problème depuis 6 mois ». A chaque fois, il assure avoir contacté les personnes pour modifier ce paramètre. Pire il a trouvé un moteur de recherche de site .onion qui n’avait pas désactivé le module status et « le résultat n’est pas beau à voir ». Il recommande aux utilisateurs de vérifier leur site sur l’adresse http://your.onion/server-status : « Si vous avez une réponse autre que 404 et 403, ouvrez un shell sur votre serveur et exécutez $ sudo a2dismod status. »

La sécurité de Tor est souvent prise pour cible comme le montre les accointances entre le FBI et Carnegie Mellon pour casser le réseau d’anonymisation. Les promoteurs du projet ont lancé en décembre dernier un programme de chasse aux bugs pour renforcer cette sécurité. La faille dans les serveurs Apache souligne que la fragilité de Tor est à chercher en dehors du projet.

Source silicon.fr

Posted in Uncategorized | Tagué: , | Commentaires fermés sur Les sites cachés Tor exposés grâce au serveur Apache

 
%d blogueurs aiment cette page :