Show newer

Certains éditeurs ont des processus internes très longs. Outre les vulnérabilités publiques, et les « premier jour » (pas encore connues de l'éditeur), il y a des nombreuses vulnérabilités connues mais pas encore réparées, en raison de la lenteur de ces processus (il cite Microsoft comme exemple de lenteur, qui a montré son bug tracker au chercheur pour le convaincre qu'ils étaient au courant).

Show thread

« Dans beaucoup de cas, la seule façon d'obtenir que le vendeur de logiciel réagisse à un signalement de vulnérabilité, c'est d'interpeller le CM sur Twitter. »

@Natouille

Show thread

Un chercheur raconte qu'il avait trouvé une faille inconnue dans un logiciel. Il cherche le site Web du vendeur pour trouver comment les prévenir. Le site dit « écrivez à security@company.example » (pas de PGP, évidemment). Le chercheur écrit et, dix minutes après, reçoit un avis de non-remise « Mailbox full ».

(Un cas extrêmement classique. Encore plus fréquent est celui où le message disparait dans un trou noir.)

Show thread

Petit déjeuner du FIC (Forum International de cybersécurité), ce matin sur la recherche de vulnérabilités. Comment faire pour que les gentils puissent tranquillement faire ses recherches sans risque, tout en empêchant les méchants de rechercher des vunérabilités pour les vendre à des salopards de trafiquants comme NSO fr.wikipedia.org/wiki/NSO_Grou ?

Lu sur Discord, à propos des croyances :
"Et d'autres croient en l'Union de la Gauche, à la médecine quantique, à l'homéopathie, au fait que le Mont Saint-Michel est en Normandie, les croyances irrationnelles c'est pas ce qui manque". #QOTD

Pose d’un nanopi à TH2

L'occasion de faire quelques photos de la baie de @gitoyen \o/

fdn.fr/pose-dun-nanopi-a-th2/

Je suis une conférence sur les sceaux dans les traités et je trouve que le télégraphe, c'est mieux que l'Internet, on avait de plus jolies signatures qu'avec RSA et ECDSA.

Nous attaquons le #PasseSanitaire en référé devant le Conseil d'État
car il force illégalement à posséder une carte d'identité, divulgue des données de santé et ouvre la voie aux contrôles d'identité automatisés.

laquadrature.net/2021/06/09/pa

C'est important de garder la main sur les musiques des mioches ; Gims annonce son soutien à Valérie Pécresse.

Le compte @tuyauterie est l'une des nouveautés récentes de la Fediverse qui me plaît beaucoup en ce moment.

Ça parle numérique, concept et explication avec peu humour et bien de justesse.

Allez y curieuses et curieux (Y'a une chaîne Peertube aussi)

Très inspirant pour concevoir et partager du contenu sur des sujets hors informatique et numérique.

Bravo, BRAVO La Tuyauterie 💜

Use of the Public Suffix List, and refreshing of its content, is a choice by the developer of an application, they do what they want, nothing is mandatory.

Some warnings for developers: do not rely on this list for real security.

Show thread

The speaker insists: DON'T USE REGEXPS TO VALIDATE IF SOMETHING IS A TLD, OR IF IT IS A REGISTRATION DOMAIN.

Show thread

The Public Suffix List is important: unlike what many people think, not every registration domain is a TLD.

Show thread

The Public Suffix List rejects additions for domains in "alternative roots". People often react violently to this rejection.

Show thread

Jothan Frakes on the Public Suffix List publicsuffix.org/ (finding the responsible domain, for instance foo.eu.org and bar.eu.org are not under the same administration). A volunteer project, not official. Widely used in browsers and many other things.

I even used it in one of my projects, the   crawler framagit.org/bortzmeyer/lupa/-

Show thread
Show older
Mastodon - Gougère Network

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!