Journal Hardfork du Bitcoin : bienvenue au Bitcoin Cash

Posté par  (site Web personnel) . Licence CC By‑SA.
26
1
août
2017

Le Bitcoin vient de subir un hardfork, donnant naissance au Bitcoin Cash. Je ne prétends pas tout comprendre au Bitcoin (c'est clairement compliqué), mais je vais essayer d'expliquer ce que j'ai compris.

Depuis quelques années déjà se posait le problème de la scalabilité du Bitcoin. La taille d'un bloc étant limitée à 1Mo, et un bloc étant calculé toutes les 10 minutes (par augmentation de la difficulté en réaction à l'augmentation de la puissance de calcul), cela limite le nombre (…)

Vulnérabilité dans Git et Mercurial sur certains systèmes de fichiers (FAT, NTFS, HFS+, etc.)

Posté par  (site Web personnel) . Édité par Benoît Sibaud et Bruno Michel. Modéré par rootix. Licence CC By‑SA.
42
19
déc.
2014
Sécurité

Une vulnérabilité (CVE-2014-9390) a été annoncée hier soir concernant le logiciel de gestion de versions le plus en vogue en ce moment, j'ai nommé Git, ainsi que sur Mercurial, autre logiciel de la même catégorie. Elle a déjà été corrigée, je vous invite donc à mettre à jour vos installations.

Github, le service d'hébergement de dépôt Git lui aussi très en vogue, a de son côté annoncé avoir vérifié tous les dépôts présents sur ses serveurs à la recherche d'exploitations de cette vulnérabilité. Mesure de sécurité supplémentaire, il refuse désormais les push exploitant cette faille.

NdM : Merci à RoM1 et Sébastien Douche pour les précisions apportées dans la dépêche. La faille a été trouvée par le créateur de Mercurial, Matt Mackall, et Augie Fackler. La vulnérabilité se décline en trois parties :

  • la sensibilité à la casse dans Git, déjà corrigé dans Mercurial en 2008 ;
  • l’expansion des noms courts sous Windows (PROGRA~1 → Program Files), déjà corrigé dans Mercurial ;
  • la découverte récente de la façon non documentée dont Darwin (Apple) s’amuse avec HFS+ à ignorer certains caractères spéciaux et qui peut créer de nouvelles collisions de nom (cf la correction chez Mercurial, qui a permis la correction côté Git).

Journal Popcorn Time, la vidéo à la demande (presque) parfaite

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes :
27
13
mar.
2014

Popcorn Time, c'est le petit buzz du moment. Il s'agit d'une solution de vidéo à la demande (VoD) totalement gratuite. Comment est-ce possible ? En étant dans l'illégalité (vous vous attendiez à quoi ?).

Concrètement, il s'agit d'un bête client torrent. Sa particularité est qu'il est pensé pour le grand public, ce qui signifie notamment que toute la partie technique est cachée.

Et le résultat est beau. On croirait voire une de ces solutions de VoD qu'on tente de nous vendre (…)

Journal SyncNet, navigateur peer-to-peer

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes : aucune
20
5
fév.
2014

J'aime bien les projets décentralisés. Même si en pratique la quasi totalité des services Internet que j'utilise au quotidien sont centralisés (à part le mail, si on oublie le G qui est bien souvent avant), l'idée de ne pas dépendre d'une entité centrale est plutôt plaisante. C'est pour ça que j'aime bien les initiatives comme Freenet, les réseaux mesh, ou tous ces beaux projets de réseau social décentralisé.

Jack Minardi a l'air de lui aussi bien aimer ça. Il (…)

Journal Communiquer via les ultrasons

Posté par  (site Web personnel) . Licence CC By‑SA.
21
12
jan.
2014

Vous vous souvenez de BadBIOS ? Ce virus ultra dangereux est censé pouvoir communiquer entre deux pc simplement avec les enceintes et un micro, en utilisant des fréquences assez élevées pour qu'un être humain moyen (avec une ouïe moyenne) ne puisse l'entendre.

Est-ce que BadBIOS existe vraiment ou pas, on s'en fiche un peu. Par contre communiquer via des ultrasons est définitivement une réalité. Benbben nous avait cité le cas des jouets Furbies, et Krunch nous avait fait la (…)

Google veut réduire la latence sur Internet avec QUIC

Posté par  (site Web personnel) . Édité par Nils Ratusznik, Xavier Claude, jeberger et Benoît. Modéré par Nils Ratusznik. Licence CC By‑SA.
Étiquettes :
25
4
juil.
2013
Internet

Vous vous souvenez peut être de SPDY, le protocole de Google (déjà évoqué dans ce journal) visant à remplacer HTTP. Google souhaite désormais s'attaquer à la couche en dessous, à savoir TCP, et a dans ce sens dévoilé QUIC (Quick UDP Internet Connections) qui se base sur les acquis obtenus lors du développement de SDPY.

NdM : merci à erdnaxeli pour son journal.

Journal Google veut réduire la latence sur Internet avec QUIC

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes :
47
1
juil.
2013
Ce journal a été promu en dépêche : Google veut réduire la latence sur Internet avec QUIC.

Vous vous souvenez peut être de SPDY, le protocole de Google (déjà évoqué dans ce journal) visant à remplacer HTTP. Google souhaite désormais s'attaquer à la couche en dessous, à savoir TCP, et a pour dans ce sens dévoilé QUIC (Quick UDP Internet Connections) qui se base sur les acquis obtenus lors du développement de SDPY.

Le principal problème auquel veut répondre Google est la latence. S'il est certain que la bande passante va s'améliorer au (…)

ZeroBin, un pastebin sécurisé

Posté par  (site Web personnel) . Édité par B16F4RV4RD1N et Benoît Sibaud. Modéré par Pierre Jarillon. Licence CC By‑SA.
45
13
avr.
2012
Sécurité

Pastebin.com est un service qui permet à n'importe qui de partager des informations sous forme de texte. Jusqu'à peu, on pouvait partager tout et n'importe quoi, mais cela va changer ! Le propriétaire, Jeroen Vader, a en effet annoncé qu'il allait embaucher des employés pour modérer le contenu du site, sous la pression des nombreuses plaintes qu'il recevait (en moyenne 1200 par jour).

Partant de là, Seb Sauvage a commencé à développer un outil qui permettrait d'empêcher ce type d'auto-censure, dans un service similaire à pastebin. Le résultat est ZeroBin.

Vulnérabilité dans sudo

Posté par  (site Web personnel) . Édité par Benoît Sibaud, Florent Zara et Lucas Bonnet. Modéré par patrick_g.
Étiquettes :
36
31
jan.
2012
Sécurité

Une vulnérabilité vient d'être trouvée dans l'utilitaire sudo. Pour rappel, la commande sudo permet à l'administrateur système d'accorder à certains utilisateurs (ou groupes d'utilisateurs) la possibilité de lancer une commande en tant qu'administrateur ou un autre utilisateur. Cette vulnérabilité est présente dans la fonction sudo_debug où un appel à getprogname() est effectué. Or le nom de l’exécutable étant contrôlé par l'utilisateur, il est possible d'induire un comportement non voulu.

Les versions concernées sont les versions 1.8.0 à 1.8.3p1. La version 1.8.3p2 corrige la faille. Apprécions la rapidité de la correction : soumise le 24 janvier dernier au mainteneur de sudo (Todd C. Miller, programmeur OpenBSD), celui-ci propose un patch le 27 janvier et une nouvelle version corrigée le 30 janvier. Soit moins d'une semaine entre la découverte et la version corrigée. Il ne reste plus aux distributions qu'à mettre à jour leurs dépôts pour propager cette correction.

NdM : merci à erdnaxeli pour son journal.

Journal Vulnérabilité dans sudo

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes :
21
31
jan.
2012

Une vulnérabilité vient d'être trouvé dans l'utilitaire sudo. Elle est présente dans la fonction sudo_debug où un appelle à getprogname() est effectué. Or le nom de l’exécutable étant contrôlé par l'utilisateur, on peut induire un comportement non voulu.

Les versions concernées sont les versions 1.8.0 à 1.8.3p1. La version 1.8.3p2 corrige la faille.

Plus de détails ici : http://seclists.org/fulldisclosure/2012/Jan/att-590/advisory_sudo.txt

Journal Line meurt

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes :
17
2
sept.
2011

ou la victoire de la tête

Il se peut que vous ne la connaissiez pas, et pourtant cette commande était présente sur tous les systèmes Linux, je veux parler de line.

Voici sa page man, dernier vestige d'une disparue :

NAME
line - read one line

SYNOPSIS
line

DESCRIPTION
The utility line copies one line (up to a newline) from standard input to standard output. It always prints at least a newline and returns an exit status of 1 (…)

Journal Commotion, un nouveau réseau mesh

Posté par  (site Web personnel) . Licence CC By‑SA.
20
30
août
2011

ou les révolutions informatiques selon Le Monde

Voici le nouveau buzz du moment : Commotion, un réseau mesh. Outre un nom tout pourri (mais moins que Netsukuku), Commotion a surtout profité d'un article sur Le Monde.

Alors, qu'est-ce qu'il a de particulier ce truc ? Rien. C'est un réseau mesh, en wifi, avec les mêmes avantages et inconvénients que les autres. Ce qui est rigolo, c'est la façon dont le présente Le Monde. À les lire, on a (…)

Journal Google rachète motorola

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes :
0
15
août
2011

Si Google est partout, c'est grâce à son moteur de recherche performant mais aussi grâce aux rachats d'autres boîtes, Google documents et Youtube en sont deux bons exemples.

Jusqu'à maintenant, Google se confinait au software, mais c'est fini. Google vient en effet de racheter Motorola, spécialisé dans l'électronique et les télécommunications et possédant quelques 17.000 brevets, contre la modique somme de 12,5 G$.

Qu'est-ce que ça va changer concrètement ? Je n'en ai pas la moindre idée. Par contre voir (…)

Journal Mozilla veut lancer son OS

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes :
27
26
juil.
2011

Mozilla vient d'annoncer un nouveau projet : Boot to Gecko (B2G).

Mozilla aime le web (ce qui est compréhensible). Mozilla croit notamment dans les applications web (on en voit en effet de plus en plus). Mais pour que tout fonctionne bien, il est utile de fournir l'enveloppe qui recevra nos belles applications web.

C'est au niveau de cette enveloppe que se situe B2G. Il s'agirait d'un OS pour smartphone permettant de faire fonctionner des applications web aussi puissantes que (…)