Oui sauf que jusqu'à tout récemment, ma banque te bloque au bout de 3 accès et redonne l'accès à l'IP au bout de 30 minutes. Oui, l'IP. Je te laisse calculer le temps pour le forcer.
De la part des mêmes “‘spécialistes” qui m'ont forcé à prendre une carte à paiement NFC, on peut quand même les traiter de BRANQUIGNOLS.
Il y a quand même une très grande méconnaissance des mécanismes de sécurité que mettent en place les banques et de la sécurité d'une solution d'authentification.
Il fait mention du code pin à 4 chiffres, où il dit qu'il faut 15 millisecondes pour les avoir et recommande quelque chose de très long à la place. C'est vrai, seulement, encore faut-il pouvoir les tester toutes.
Premièrement, chaque banque met en place ses propres mécanismes de sécurité, il apparaît dés lors difficile de faire des généralités.
Deuxièmement, il faut posséder le login, qui lui peut-être extrêmement grand et reservé à cet usage ainsi que le mot de passe associé.
Troisièmement, même si l'on imagine qu'un pirate fasse une attaque par force brute sur un login random. Celui-ci sera bloqué au bout d'un nombre de tentative très court et d'un blocage du compte en ligne si dépassement d'un certain nombre de saisies de code erronées sur une période plus longue. Il apparaît tout de suite très difficile de tester un grand nombre de possibilités.
Dernièrement chose, certaines banques mettent en place des authentification forte avec possession d'un token RSA (ou assimilé) et utilisation d'un mot de passe banque propre à l'utilisateur et non modifiable. Il devient extrêmement difficile de trouver un login + mot de passe banque + mot de passe du token rsa générée ; sans compter les mécanismes de blocage en cas d'erreurs mis-en-place.
C'est pour cela que nos cartes bancaires ne nécessitent pas de mot de passe très long. Car au bout d'un très faible nombres d'erreurs, l'automate l'avale ou le compte est bloquée. Le mot de passe n'est pas le seul critère de sécurité à prendre en compte pour sécuriser un accès. ;)
A part ce petit bémol, c'est toujours intéressant d'avoir le pdv d'un pair sur la technologie.
J'ai écrit une série d'articles sur Graylog. Après un peu plus d'un an d'usage, c'est quand même un peu contraignant à maintenir, les maj cassent souvent la configuration et ES se retrouve souvent illisible par Graylog.
Bref. Autant Sensu, influxDB et Grafana, je suis convaincu. Autant Graylog, c'est pas mal de boulot…
Je vais continuer mon apprentissage sur Kubernetes. J'hésites encore à utiliser CoreOS ou une Debian 9 comme socle technique pour déployer mon cluster.
Ensuite, j'ai un serveur CouchDB 2.1 à déployer en standalone sur du baremetal pour faire office de base de backup à mon cluster de prod CouchDB
Pour finir, j'aimerais terminer mon étude sur Graylog. Ma grande question est de savoir si j'installe moi même un ES + Graylog sur un serveur dédié, ou bien si j'utilise les services de Logs Data de OVH.
Voilà en gros les axes de cette semaine, sans compter les aléas de la production ;)
Bonne semaine les ami.e.s o/
Une partie du boulot provient direct de Debian. Globalement ils ne dev pas énormément de trucs en internes. C'est plus du packaging ce qui est plus simple globalement.
J'ai investigué les offres disponibles en terme de base de donnée j'ai decouvert que Google Spanner (RDBMS distribué) était arrivé et dispo sur Google Cloud et il a même des clones libres : cockroachdb et TiDB. Malgré tout je pense que je vais utilisé pgsql pour le moment.
parcours très très intéressant pour les entrepreneurs intéressés par le Libre
il est bien dommage que les politiques n'en n'aient pas plus conscience…
Et je m'en sers quasiment tous les jours !
avec du Journal du hacker dedans !
ouh mais je m'en vais vérifier ces 13 étapes sur mon blog moi :)
Oui sauf que jusqu'à tout récemment, ma banque te bloque au bout de 3 accès et redonne l'accès à l'IP au bout de 30 minutes. Oui, l'IP. Je te laisse calculer le temps pour le forcer. De la part des mêmes “‘spécialistes” qui m'ont forcé à prendre une carte à paiement NFC, on peut quand même les traiter de BRANQUIGNOLS.
Il y a quand même une très grande méconnaissance des mécanismes de sécurité que mettent en place les banques et de la sécurité d'une solution d'authentification.
Il fait mention du code pin à 4 chiffres, où il dit qu'il faut 15 millisecondes pour les avoir et recommande quelque chose de très long à la place. C'est vrai, seulement, encore faut-il pouvoir les tester toutes.
Premièrement, chaque banque met en place ses propres mécanismes de sécurité, il apparaît dés lors difficile de faire des généralités.
Deuxièmement, il faut posséder le login, qui lui peut-être extrêmement grand et reservé à cet usage ainsi que le mot de passe associé.
Troisièmement, même si l'on imagine qu'un pirate fasse une attaque par force brute sur un login random. Celui-ci sera bloqué au bout d'un nombre de tentative très court et d'un blocage du compte en ligne si dépassement d'un certain nombre de saisies de code erronées sur une période plus longue. Il apparaît tout de suite très difficile de tester un grand nombre de possibilités.
Dernièrement chose, certaines banques mettent en place des authentification forte avec possession d'un token RSA (ou assimilé) et utilisation d'un mot de passe banque propre à l'utilisateur et non modifiable. Il devient extrêmement difficile de trouver un login + mot de passe banque + mot de passe du token rsa générée ; sans compter les mécanismes de blocage en cas d'erreurs mis-en-place.
C'est pour cela que nos cartes bancaires ne nécessitent pas de mot de passe très long. Car au bout d'un très faible nombres d'erreurs, l'automate l'avale ou le compte est bloquée. Le mot de passe n'est pas le seul critère de sécurité à prendre en compte pour sécuriser un accès. ;)
A part ce petit bémol, c'est toujours intéressant d'avoir le pdv d'un pair sur la technologie.
Mirabellette
Il manque :
Les sites qui s'amusent à redéfinir comment faire dérouler une page web.
Les sites qui ont des raccourcis claviers mais que tu dois deviner (en lisant le js)
Les sites qui te font miner
Les sites qui utilisent JS pour n'importe quoi
belle découverte ! merci
Bon article vraiment complet.
haha copaing d'apprentissage de Kubernetes ;)
un exemple d'erreur ?
attention, beaucoup d'erreurs dans cet article, c'est pas très représentatif de ce qu'on peut faire avec typescript
Heu si un peu quand même (c'est quoi Domino ????), en plus l'article devrait s'appeler pourquoi ils n'ont pas adopté Linux et non pas abandonné.
J'ai écrit une série d'articles sur Graylog. Après un peu plus d'un an d'usage, c'est quand même un peu contraignant à maintenir, les maj cassent souvent la configuration et ES se retrouve souvent illisible par Graylog. Bref. Autant Sensu, influxDB et Grafana, je suis convaincu. Autant Graylog, c'est pas mal de boulot…
Je vais continuer mon apprentissage sur Kubernetes. J'hésites encore à utiliser CoreOS ou une Debian 9 comme socle technique pour déployer mon cluster. Ensuite, j'ai un serveur CouchDB 2.1 à déployer en standalone sur du baremetal pour faire office de base de backup à mon cluster de prod CouchDB Pour finir, j'aimerais terminer mon étude sur Graylog. Ma grande question est de savoir si j'installe moi même un ES + Graylog sur un serveur dédié, ou bien si j'utilise les services de Logs Data de OVH. Voilà en gros les axes de cette semaine, sans compter les aléas de la production ;) Bonne semaine les ami.e.s o/
C'est quand même mieux quand y'a les bons liens dans l'article. Au besoin, celui de TechCrunch contient tout cela https://techcrunch.com/2017/10/25/microsofts-sonar-lets-you-check-your-website-for-performance-and-security-issues/
Une partie du boulot provient direct de Debian. Globalement ils ne dev pas énormément de trucs en internes. C'est plus du packaging ce qui est plus simple globalement.
Je me demande comment Ubuntu fait pour sortir tous les 6 mois une version stable alors que au taf on n'y arrive pas. Une idée?
J'ai investigué les offres disponibles en terme de base de donnée j'ai decouvert que Google Spanner (RDBMS distribué) était arrivé et dispo sur Google Cloud et il a même des clones libres : cockroachdb et TiDB. Malgré tout je pense que je vais utilisé pgsql pour le moment.