Aller au contenu principal

2023-10-21

Interception du trafic chiffré sur Hetzner et Linode ciblant le service Jabber

  • Jabber.ru, un service de messagerie XMPP, a été victime d'une attaque de type "man-in-the-middle" au cours de laquelle l'attaquant a intercepté le trafic crypté pendant une période pouvant aller jusqu'à six mois chez les hébergeurs Hetzner et Linode en Allemagne.
  • Malgré la durée de l'attaque, aucune preuve de violation de serveur ou d'attaque par usurpation d'identité n'a été trouvée. Cependant, des certificats TLS frauduleux ont été exploités à l'aide de Let's Encrypt pour détourner des connexions.
  • L'attaque a principalement touché les connexions au port STARTTLS 5222 du service XMPP. L'interception est soupçonnée d'avoir été effectuée soit légalement, soit à la suite d'une intrusion dans les réseaux des fournisseurs d'hébergement.

Réactions

  • Le fil de discussion de Hacker News traite de l'interception du trafic crypté sur les services d'hébergement ciblant le service de messagerie Jabber et aborde diverses stratégies d'atténuation telles que l'authentification supplémentaire, la surveillance des certificats SSL/TLS, les mesures RIPE Atlas et les systèmes basés sur la DLT.
  • La discussion porte sur l'utilisation de DANE pour l'authentification des certificats et sur les limites des autorités de certification (CA). D'autres sujets incluent les vulnérabilités potentielles de l'infrastructure SSL, la compromission possible de l'émission de certificats SSL, et l'importance des DNSSEC, des enregistrements CAA, et des méthodes de cryptage comme PGP et OMEMO/OpenPGP.
  • Le débat porte sur la nécessité de disposer de plusieurs certificats pour un même domaine, sur la fiabilité des certificats SSL, sur les possibilités d'interception légale et sur les défis que pose la sécurisation des services d'hébergement.

Le dixième anniversaire du sauvetage de Healthcare.gov

  • Il y a dix ans, une équipe expérimentée, appelée "tech surge" et dirigée par Todd Park, a été formée pour résoudre les problèmes liés au non-fonctionnement du site web HealthCare.gov.
  • L'équipe, composée de personnes issues du gouvernement et de l'extérieur, a analysé les défis du site, y compris, mais sans s'y limiter, le code, les tests, les versions et le suivi.
  • Après des discussions et des réunions intensives, ils ont réussi à installer un système de contrôle révélant des problèmes de performance critiques, marquant ainsi le début de leurs efforts continus pour améliorer le site et permettre à des millions de personnes de s'inscrire à une couverture de soins de santé.

Réactions

  • Les discussions sont centrées sur la réforme des soins de santé aux États-Unis, y compris les problèmes survenus lors du développement de Healthcare.gov, les influences politiques sur l'Affordable Care Act (ACA), et la compétence de Medicaid.
  • L'attention est attirée sur des questions telles que la corruption, le copinage, la distribution des fonds fédéraux, le sous-paiement des employés fédéraux et l'engagement des entreprises dans des projets informatiques liés aux soins de santé.
  • Dans l'ensemble, le discours souligne les défis complexes de la réforme des soins de santé, en insistant sur la nécessité d'améliorer les systèmes et l'intervention politique.

Les policiers poursuivent un adolescent pour atteinte à la vie privée après que la vidéo d'une fausse arrestation soit devenue virale

Réactions

  • Le texte comprend des discussions sur divers sujets liés au droit, notamment le comportement de la police, la vie privée, la diffamation et les procédures juridiques.
  • Parmi les questions clés examinées figurent l'efficacité des ordonnances de protection, le rôle des forces de l'ordre, l'influence des médias sociaux sur la responsabilité, le comportement des agents de police dans les petites communautés, les plaintes en diffamation et l'autorité des agents frontaliers.
  • Ce large éventail de sujets suggère une exploration approfondie de l'application de la loi et des sujets juridiques pertinents pour la société contemporaine.

À la recherche de l'article le moins consulté sur Wikipédia (2022)

  • Le billet de blog examine la recherche des articles les moins consultés sur Wikipédia, dont beaucoup concernent des insectes et des lieux géographiques obscurs.
  • Il se penche sur les politiques et pratiques communautaires concernant le concept de notabilité, qui a conduit à l'absence d'articles sur les entreprises ou les groupes dans les 500 pages les plus consultées.
  • Ces articles moins connus sont importants car ils offrent une base que les futurs rédacteurs pourront améliorer et développer.

Réactions

  • La discussion met en lumière les défis rencontrés par les éditeurs de Wikipédia, tels que la détermination de la notabilité d'un sujet, la gestion des limitations de la plate-forme et la gestion des suppressions.
  • Elle met en lumière l'existence de préjugés sexistes et de misogynie sur la plateforme, la partialité des critères de notabilité et d'autres défis en matière de contribution.
  • Elle soulève des inquiétudes quant à l'impact de Wikipédia sur les résultats de recherche, ainsi que des questions relatives à l'exactitude et à la fiabilité des informations diffusées sur la plateforme.

Espace Nakatomi

  • L'article étudie les méthodes spatiales uniques employées par les personnages de Die Hard pour naviguer dans l'architecture, en établissant des parallèles avec les stratégies utilisées par les forces de défense israéliennes lors de l'invasion de Naplouse.
  • Il introduit le concept d'"espace Nakatomi", une représentation de la navigation architecturale altérée dans des films comme Die Hard, et envisage une mise en œuvre urbaine plus large.
  • En outre, il explore divers concepts architecturaux tels que le passage à travers les murs, la fluidité de l'espace et la violation de l'espace privé, et contemple la dynamique du pouvoir et les implications de ces concepts dans le cinéma et la littérature.

Réactions

  • La conversation sur bldgblog.com couvre un éventail de sujets tels que l'impact de la planification urbaine sur les taux de criminalité et le déficit perçu dans le gameplay ouvert des jeux vidéo modernes.
  • La discussion s'étend également au déclin apparent de la franchise James Bond et analyse la représentation de la romance dans les films.
  • Les participants à la discussion apportent des points de vue différents, recommandent des jeux et des films alternatifs et approfondissent les aspects multiples des sujets abordés.

Le commissaire européen, agent double de l'ingérence étrangère

  • Une enquête récente révèle que des organisations affiliées à l'industrie technologique et aux services de sécurité financent une campagne soutenant la proposition de règlement de l'UE sur le contrôle des conversations, qui vise à lutter contre les abus sexuels commis sur les enfants.
  • Ce règlement prévoit l'obligation pour les fournisseurs de services d'analyser et de divulguer les messages privés et les photos suspects. Patrick Breyer, membre du Parlement européen, critique l'implication de la commissaire européenne aux affaires intérieures, Ylva Johansson.
  • Les défenseurs des droits de l'homme considèrent cette campagne comme une incitation au filtrage aveugle des messages et des photos privés, qu'ils considèrent comme une menace pour la vie privée numérique et le cryptage. À l'heure actuelle, une telle loi n'existe pas aux États-Unis.

Réactions

  • Le passage met en lumière divers sujets liés à l'UE, tels que les accusations de corruption et d'intervention étrangère, les débats sur la souveraineté et les critiques des règlements de l'UE.
  • Elle souligne les inquiétudes concernant l'intégrité de l'UE et sa capacité à protéger les droits à la vie privée, suggérant un certain niveau de scepticisme à l'égard de ses réglementations et de sa gouvernance.
  • Le texte mentionne également les débats sur les avantages et les inconvénients de l'intervention de l'État et des réglementations dans le contexte du capitalisme et du communisme.

Ils peuvent ruiner et ruineront tout ce que vous aimez

  • Le site musical Bandcamp, réputé pour son soutien aux artistes indépendants, a été racheté par la société de services et de licences de contenu Songtradr.
  • Cette acquisition a suscité l'inquiétude des artistes et des fans, car des licenciements ont déjà été annoncés au sein de l'équipe éditoriale et de l'équipe vinyle de Bandcamp.
  • La vente a suscité des incertitudes quant à l'avenir de Bandcamp et à la poursuite de son engagement à soutenir les artistes indépendants, faisant craindre que la réputation du site en tant que plateforme de musique indépendante ne soit compromise par le nouveau propriétaire.

Réactions

  • Le débat porte sur les pertes d'emploi des employés de Bandcamp, sur l'importance de Bandcamp en tant que plateforme musicale et sur les inquiétudes concernant son acquisition par Epic Games.
  • Des discussions approfondies ont lieu sur les inconvénients des magasins de jeux numériques à but lucratif, sur la nécessité pour les entités à but non lucratif de cultiver les communautés et sur la relation employeur-employé.
  • Parmi les autres sujets abordés figurent l'équilibre entre la valeur du travail et celle du capital, les questions de durabilité pour les propriétés web, la préservation du contenu culturel par des organisations telles que l'Internet Archive, le droit à la vie privée et le déclin des plateformes de médias sociaux telles que MySpace et Twitter.

Des pirates ont volé des jetons d'accès à l'unité de support d'Okta

  • Okta, fournisseur d'outils d'identité pour les entreprises, a connu une faille de sécurité dans son service d'assistance à la clientèle, qui a permis à des pirates d'y accéder pendant environ deux semaines, jusqu'à ce qu'elle soit contenue.
  • La faille a permis aux attaquants de visualiser les fichiers téléchargés par certains clients, révélant potentiellement des données sensibles telles que des cookies et des jetons de session.
  • Bien que l'incident n'ait touché qu'un petit nombre de clients, Okta conseille à tous ses clients de nettoyer les informations d'identification et les jetons contenus dans les fichiers avant de les partager et suppose qu'un acteur familier de la menace les a probablement ciblés.

Réactions

  • Okta, un fournisseur d'identité centralisé, a été victime d'une faille de sécurité au cours de laquelle des pirates ont volé des jetons d'accès à son unité d'assistance, après qu'un employé a téléchargé des données sensibles sur l'outil d'assistance d'Okta.
  • Cet incident a suscité des discussions sur l'intégrité et la fiabilité d'Okta dans la gestion de systèmes informatiques importants, sur l'efficacité de ses protocoles de sécurité et sur le débat permanent entre les systèmes sur site et les services en nuage pour l'authentification.
  • La nécessité de mettre en œuvre des mesures de sécurité robustes, de maintenir une vigilance proactive en matière de cybersécurité et d'envisager d'autres fournisseurs d'authentification a été soulignée.

Progrès sur No-GIL CPython

  • Le comité directeur de Python envisage de rendre optionnel le verrouillage global de l'interpréteur (GIL), un mécanisme qui empêche plusieurs threads natifs d'exécuter des bytecodes Python en même temps, dans les prochaines versions de Python.
  • Des discussions sont en cours concernant la compatibilité avec les extensions, la proposition de modifications de l'API et les noms potentiels pour la version non-GIL, avec "free-threading" et "nogil" comme suggestions. Ils envisagent également d'introduire une nouvelle interface binaire d'application (ABI) appelée "abi4".
  • L'approbation finale de la proposition d'amélioration de Python (PEP) liée à ces changements est en attente. Le conseil de pilotage est en train de définir ses critères d'acceptation tout en discutant de l'impact potentiel sur la migration et la perception.

Réactions

  • La discussion porte sur divers aspects de la programmation parallèle en Python. Il s'agit notamment de la nécessité d'un parallélisme plus explicite dans les programmes universitaires et de la suppression potentielle du Global Interpreter Lock (GIL), un mécanisme qui empêche l'exécution simultanée de bytecodes Python par plusieurs threads.
  • Les participants ont des opinions divergentes, certains prônant un code fonctionnel sans effets secondaires, tandis que d'autres proposent des approches alternatives telles que les machines virtuelles (VM) en bac à sable et le transfert de tâches vers des bibliothèques.
  • Les performances de Python en mode monotâche et la transition de Python 2 à 3 suscitent des inquiétudes, mais les répercussions potentielles et les avantages de la suppression de la GIL et de l'amélioration du parallélisme sont également reconnus.

Atténuation de l'incident d'interception MitM Hetzner/Linode XMPP.ru

  • Le propriétaire de jabber.ru et xmpp.ru a signalé une attaque de type "man-in-the-middle", probablement en provenance d'Allemagne, impliquant l'interception automatique du trafic et l'émission d'un certificat non autorisé.
  • Le rapport met en évidence les failles de l'infrastructure de sécurité de la couche transport (TLS) et propose des mesures de sécurité renforcées telles que l'utilisation de l'environnement de gestion automatique des certificats (ACME), l'autorisation de l'autorité de certification (CAA) et les extensions de sécurité du système de noms de domaine (DNSSEC).
  • L'article déconseille de s'appuyer sur des solutions tierces, défend le cryptage de bout en bout et remet en question l'efficacité des technologies d'"informatique confidentielle" pour assurer une sécurité solide.

Réactions

  • Une récente faille de sécurité a été identifiée, impliquant l'interception du trafic XMPP sur le réseau Hetzner/Linode, ciblant spécifiquement le port XMPP STARTTLS.
  • L'attaque a été atténuée, mais elle a révélé des vulnérabilités et mis en évidence les risques de sécurité associés aux centres de données et aux compromissions potentielles de la chaîne d'approvisionnement.
  • Les discussions ont porté sur les préoccupations des utilisateurs concernant l'utilisation de Cloudflare, avec une exploration de ses avantages et de ses inconvénients. XMPP signifie Extensible Messaging and Presence Protocol, un protocole de communication, et STARTTLS est un moyen de transformer une connexion non chiffrée en une connexion chiffrée (TLS ou SSL).

["31M" ? Sécurité des terminaux ANSI en 2023 et découverte de 10 CVE

  • Ce document traite des vulnérabilités et des chaînes d'exploitation potentielles présentes dans les émulateurs de terminaux, en mettant l'accent sur les séquences d'échappement.
  • Elle identifie les risques liés aux émulateurs de terminaux les plus répandus et souligne l'importance de mettre en œuvre des mesures appropriées de gestion et d'atténuation de ces vulnérabilités.
  • L'étude souligne également le développement d'un outil de test pour les terminaux et reconnaît les contributions des chercheurs précédents dans ce domaine.

Réactions

  • L'article souligne l'importance d'assainir les caractères de contrôle dans les outils textuels afin de réduire les risques de sécurité, en mettant l'accent sur les problèmes rencontrés dans certains systèmes de terminaux.
  • Il attire l'attention sur les difficultés et les défis associés à l'émulation de terminal, notamment en raison d'un manque de normalisation, et propose la nécessité d'un nouveau protocole de terminal textuel.
  • Le contenu couvre également les questions liées aux émulateurs de terminal et aux séquences de contrôle, en abordant le contexte historique de la touche d'échappement, l'utilisation de PostScript dans les programmes Lisp et les projets associés.

F-Droid : Magasin d'applications libres pour Android

  • F-Droid est un référentiel d'applications libres et gratuites (FOSS) pour Android, offrant un client pour faciliter la navigation, l'installation et la mise à jour sur les appareils.
  • La dernière mise à jour a permis d'introduire de nouvelles applications et des fonctionnalités améliorées, ce qui a permis d'accroître la convivialité et la fonctionnalité de F-Droid.
  • F-Droid est une organisation à but non lucratif qui dépend des dons du public pour maintenir ses services et continuer à proposer ses offres à la communauté Android.

Réactions

  • L'article explore F-Droid, un magasin d'applications Android gratuites et libres. D'autres clients, dont Aurora Droid et Neo Store, sont recommandés par les utilisateurs pour améliorer les fonctionnalités et l'installation des applications.
  • Le manque de statistiques d'utilisation de F-Droid, les obstacles possibles à la mise en œuvre et la lenteur de l'ajout de nouveaux logiciels sont discutés dans l'article. Les utilisateurs recommandent d'ajouter des dépôts supplémentaires pour améliorer l'accès et mentionnent F-Droid Basic, une version de F-Droid.
  • Les utilisateurs soulignent à la fois les points positifs et négatifs de F-Droid, soulignant que si certains l'adorent, d'autres critiquent la plateforme pour contenir plusieurs applications qui n'ont pas été mises à jour depuis des années.

Grilles hexagonales (2013)

  • Ce guide explique en détail comment créer et travailler avec des grilles hexagonales, en couvrant les différents systèmes de coordonnées, les algorithmes et les formules avec des exemples de code de programmation.
  • Il traite du calcul des distances, du tracé des lignes et de la détermination des distances de déplacement pour les grilles hexagonales, ainsi que des algorithmes pour la gestion des obstacles, le stockage des cartes, les cartes enveloppantes et la recherche de chemin.
  • L'auteur recommande des ressources pertinentes telles que la bibliothèque GameLogic Grids dans Unity, la bibliothèque Hex-Grid Utilities, des exemples de code, un article PDF et un code de génération procédurale pour l'utilisation sur le site web.

Réactions

  • L'article met en lumière Red Blob Games, une page web proposant des ressources et des guides pour manipuler les grilles hexagonales.
  • Il explique les différences entre les hexagones à sommet pointu et les hexagones à sommet plat, ce qui permet de comprendre leur utilisation dans le codage.
  • La discussion porte sur les systèmes de coordonnées et sur les avantages et inconvénients de l'utilisation de grilles hexagonales dans la conception de jeux.

Selon un rapport, les hôpitaux à but non lucratif négligent les actions caritatives alors que leurs PDG engrangent des millions

  • Les hôpitaux américains à but non lucratif font l'objet d'un examen minutieux pour avoir privilégié la rémunération de leurs dirigeants au détriment de la fourniture de soins de charité aux patients à faible revenu.
  • Selon un rapport de la commission sénatoriale de la santé, de l'éducation, du travail et des pensions, de nombreux hôpitaux à but non lucratif consacrent moins de 2 % de leurs revenus aux soins de bienfaisance, alors que les PDG des hôpitaux perçoivent des salaires de plusieurs millions de dollars.
  • Le rapport accuse les hôpitaux de pratiquer des prix abusifs et de violer leur mandat d'organisme à but non lucratif. L'American Hospital Association, quant à elle, proteste contre le fait que le rapport ne tient pas compte des avantages que les hôpitaux offrent à la communauté.

Réactions

  • Le rapport révèle que les hôpitaux à but non lucratif font l'objet d'un examen minutieux en raison du niveau relativement bas des soins de bienfaisance qu'ils dispensent, malgré les salaires élevés de leurs PDG, ce qui soulève des questions d'équité à l'égard des organismes financés par l'État.
  • Le débat porte sur les difficultés rencontrées par l'hôpital pour servir les patients bénéficiant de Medicaid et de Medicare, sur l'impact des paiements publics sur les coûts des soins de santé et sur la rémunération des cadres, ce qui montre qu'il est nécessaire d'aborder cette question.
  • Le rapport traite également de la transparence concernant la nature et les opérations financières des organisations à but non lucratif, des allégations de collusion, de la nécessité de modifier les lois sur le financement des campagnes électorales et de l'importance de l'affectation des fonds hospitaliers aux soins de bienfaisance.

Flappy Bird en TypeScript

  • L'auteur a développé un jeu Flappy Bird en 2D en utilisant uniquement des annotations de type TypeScript, démontrant ainsi la possibilité d'exploiter ces annotations en dehors du compilateur TypeScript.
  • L'état du jeu est mis à jour sur la base des principes de la programmation fonctionnelle et du rendu par le biais d'un tampon de commande rempli de commandes de dessin, ce qui met en évidence la compétence technique du projet.
  • Le moteur d'exécution, créé en Rust et Zig, utilise le bytecode et l'API web canvas pour l'exécution du jeu. Il est prévu d'utiliser ce moteur d'exécution TypeScript au niveau du type comme vérificateur de type à haute performance et de développer un langage spécifique au domaine (DSL) compétent pour créer des schémas.

Réactions

  • L'article explore l'utilité du système de types TypeScript à travers son application dans la mise en œuvre du jeu Flappy Bird, et fait référence à l'utilisation d'Ocaml dans la résolution de sudoku à titre de comparaison.
  • Il aborde la force et la complexité du système de types de TypeScript, sa capacité à générer des interfaces complexes et les avantages d'un système de types avancé.
  • L'article souligne la flexibilité et les restrictions du système de types TypeScript, et aborde les implications de la complétude de Turing - un terme décrivant un système capable de résoudre n'importe quel problème de calcul avec suffisamment de temps et de ressources.