wOueb by Romain DECKER / Another IT Guy Blog

Depuis quelques jours on ne parle plus de ça : il est possible de (très) facilement faire tomber des serveurs via une faille du protocole SSL. Très rapidement, et sans rentrer dans les détails, une groupe de hacker allemand (THC) a publié un outil permettant d’exploiter rapidement une faille du protocole SSL connue depuis 2003 (et jamais corrigée). Cette faille tire son origine dans le fait qu’une négociation SSL demande 15 fois plus de puissance au serveur qu’au client.

L’outil publié permet de surcharger les serveurs de son choix en renégociations.

Exemple : ici, un serveur de test non protégé (acceptant la renégociation). Après quelques secondes, la charge du serveur commençait déjà à monter : j’ai volontairement arrêté le test. Que dire d’un hacker avec un nombre important de machines à sa disposition ?

Faille SSL DDos

Exemple : ici, un serveur de test protégé (avec la renégociation désactivée).

Serveur protégé, avec la renégotiation désactivée

Mais comment savoir rapidement (comprendre « sans vérifier la configuration ») si votre serveur est vulnérable ou protégé ?

SSL Labs (Qualys) fournit un outil de test, SSL Server Test : celui-ci décrypte et analyse votre configuration SSL. Il suffit d’indiquer l’adresse du serveur, et d’attendre quelques secondes.

Serveur ayant échoué au test et vulnérable à l'attaque DDos SSL

Serveur ayant échoué au test et vulnérable à l'attaque DDos SSL

Pour un serveur avec la renégociation désactivée, le résultat est assez différent :

Serveur non vulnérable

Le test se situe sur cette page : SSL Server Test.

Note : désactiver la renégociation ne corrige pas la faille, mais permet de restreindre fortement son utilisation.

Parmi la multitude d’applications et de services liés à Twitter, TweetSheet permet de réaliser facilement et très rapidement (seulement deux clics) une petite infographie de votre compte Twitter.

Développé par la société Vizify, TweetSheet analyse vos 3200 derniers tweets, et vous affiche graphiquement votre activité, ainsi que les interactions les plus fortes avec votre compte ou vos tweets.

Infographie de votre compte Twitter avec Vizify

Dans la seconde partie, on retrouve les posts qui ont été le plus retweetés, ainsi que les followers qui ont le plus d’interactions avec vous.

Infographie de votre compte Twitter avec Vizify

Note : en ce qui concerne la partie « Geographic Impact », ça ne concerne que vos followers qui ont spécifiés une localisation aux USA dans leurs profils.

Même si c’est plaisant à voir, c’est sans grand intérêt à long terme : il y a d’autres moyens/outils qui permettent un meilleur suivi de vos interactions dans Twitter.

Pour ceux que ça intéresse : Tweetsheet.

Au départ prévue pour stocker des liens que je jugeais intéressants, la revue de presse hebdomadaire me permet de partager mes découvertes avec vous. Pour cette 68ème édition : des pyjamas de super-héros, un site pour retrouvez toutes les crèches du coin, l’e-mail génèrerait 2 heures de stress par jour, les causes les plus bizarres pour les coupures de fibres optiques, et les villes ayant les connexions Internet les plus rapides dans le monde.

(suite…)

Ma semaine au VMworld se finissant, je ne voulais pas partir de Copenhague sans faire quelques photos. En planifiant mon itinéraire sur Google Maps hier soir, Firefox me demande si je souhaite partager ma localisation. Je valide machinalement (pas bien !), et là quelle surprise : Google Maps repère ma localisation à moins de 10 mètres près !

Certains se diront que c’est disponible depuis 2009 sur les mobiles : sauf que là, j’étais sur mon pc portable, connecté via câble, sans puce GPS, ni carte GSM.

WTF !?

Géolocalisation de mon PC portable sur Google Maps : sans GPS ni puce GSM

Il est possible de repérer approximativement la localisation via l’adresse IP de connexion, mais ça reste relativement sommaire (un rayon de plusieurs centaines de mètres, voire plusieurs kilomètres).

J’ai eu l’explication sur Twitter. Sur la page « Using Location Sharing » de Chrome, on retrouve ce paragraphe :

[...] the browser will send local network information to Google Location Services to get an estimate of your location. The browser can then share your location with the requesting site. The local network information used by Google Location Services to estimate your location includes information about visible Wi-Fi access points, including their signal strength; information about your local router; your computer’s IP address. [...]

Google Chrome saves your location information, so that it can be retrieved easily. This information is periodically updated; the frequency of updates depends on changes to your local network information. [...]

En gros, Google maintient une base de données de toutes les connexions (j’imagine mobiles et fixes). Plutôt intelligent, même si la réalisation technique et le rendu dans un SIG doit être assez complexe ! Certains diront aussi que c’est un « flicage » de plus, et que les données pourraient être utilisées à mauvais escient…

Enfin, ce sont les nouvelles fonctionnalités d’HTML5 qui permettent l’intégration dans nos navigateurs. Sur HTML5 Demo, on peut trouver un exemple de code permettant de faire cette localisation.

Partager sa localisation sur Google Chrome

Partager sa localisation sur Firefox

J’ai testé la localisation dans 2 endroits différents, c’était très précis ! D’un autre coté, je pense que dans une capitale européenne, la base de données doit être assez complète.

Merci à ceux qui ont bien voulu me répondre sur Twitter : @jBleuzen, @raphael, @gamaniak, et @r_cambien !

C’est jeudi dernier, le 13 octobre qu »Ubuntu 11.10, baptisée Oneiric Ocelot, est sortie en version stable. Beaucoup de chemin à été fait depuis son démarrage en 2004, avec plusieurs nouveautés majeures : choix de l’interface (Gnome Shell, Gnome classique, Unity, etc.), Gnome 3.2, Kernel 3, etc.

Ubuntu 11.10 : Oneiric Ocelot

Une liste presque exhaustive des nouveautés se trouve sur Le Libriste.

Personnellement, je ne suis pas un grand fan d’Unity, le nouveau gestionnaire de fenêtre mis en place depuis le début de l’année.

Pour les curieux, vous pouvez aller faire un tour sur cette démo (en javascript) qui présente l’ergonomie d’Ubuntu : Ubuntu Online Tour.

Démo d'Ubuntu 11.10 Oneiric Ocelot

Si vous voulez plus d’informations, je vous conseille le site de la communauté francophone d’Ubuntu : ubuntu-fr.org.

Enfin, pour le téléchargement, vous pouvez aller sur :

• sur le site de communauté francophone : ubuntu-fr.org,
• sur le site officiel : ubuntu.com.

Un truc tout bête, découvert avec Windows 7 (j’ai pas joué avec Vista, je ne sais donc pas si c’était déjà intégré) : lorsque vous glissez une fenêtre vers le bord de l’écran, celle-ci se redimensionne pour faire la moitié de l’écran en largeur et se maximise en hauteur.

(je ne sais pas si c’était clair, mais en tout cas : moi, je m’ai compris)

Pousser une fenêtre vers le bord de l'écran sur Windows 7 pour la voir s'agrandir

Sur la partie ci-dessus, j’ai ouvert un explorateur Windows et je le glisse sur la droite de l’écran : la partie transparente représente la future taille de la fenêtre. Moi je trouve ça chouette comme astuce !