Mon blog

Erreurs Https

Depuis que je suis passé sous firefox 3 j'avais régulièrement des problèmes avec certains sites https. J'obtenais régulièrement l'erreur suivante :

Échec de la connexion sécurisée

Une erreur est survenue pendant une connexion à ...

SSL a reçu un enregistrement « Change Cipher Spec » inattendu.

(Code d'erreur : ssl_error_rx_unexpected_change_cipher)

ssl_error_rx_unexpected_change_cipher

Après investigation, il semblerait que ce bug soit lié à la gestion des sessions dans OpenSSL.

En attendant que les serveurs web auxquels vous accédez utilisent tous une nouvelle version de la librairie, un palliatif est de changer le paramètre de configuration de firefox security.enable_tls_session_tickets à false

Riposte graduée ...

La liberté est décidément bien fragile ; voici quelques liens sur un projet de loi de notre gouvernement :

• Installation d'un logiciel espion sur votre propre ordinateur ?
• Qu'est ce que la riposte graduée ?
• Une analyse du projet.
• Qu'en est-il au au niveau européen

Pour résumer, notre gouvernement voudrait pouvoir éviter de passer par des juges pour "punir" les internautes non respectueux de certains points juridiques (propriété intellectuelle, artistique, ...). Le but avoué est de protéger les industriels, même si pour cela la liberté individuelle des internautes devra être bafouée. Pour cela, des groupes de e-mercenaires du secteur privé seront chargés de cette surveillance.

Pour faire un parallèle avec le "monde réel" certaines propositions de ces personnes, peu respectueuses de notre vie privée, reviendraient à nous demander d'installer un système de vidéo surveillance notre domicile afin que l'État puisse contrôler que nous n'y fassions rien de prohibé ...

Le greylisting

Suite à mon précédent article concernant bogofilter ; j'ai pu lutter facilement contre le spam : mes messages sont taggés *** SPAM *** et sont automatiquement triés dans un dossier spécifique. Malgré tout j'ai constaté que le nombre de spam reçus par mon serveur augmente de façon exponentielle. C'est pourquoi j'ai décidé d'utiliser en plus le greylisting.

Les concepts

Le greylisting consiste à refuser temporairement(Service temporarily unavailable) tout nouveau mel d'un expéditeur inconnu. Tout expéditeur est considéré comme inconnu si il n'a pas déjà envoyé un mel X minutes auparavant.

Ainsi, en utilisant cette technique, la plupart des spams seront filtrés car les spammeurs ne traitent pas l'erreur (Service temporarily unavailable) alors que celle-ci est décrite dans les RFC.

Mise en oeuvre

Celle-ci fera l'objet d'un autre article.

Bibliogaphie

• Greylisting postfix
• Postgrey

Comment vérifier si votre système est impacté

Si vous utilisez debian ou une distribution dérivée vous avez sans doute entendu parler de celà : un problème de sécurité concernant openssl (et donc ssh).

Le but de cet article est de fournir en condensé la marche à suivre pour corriger le problème sur votre serveur (si celui-ci est impacté) :

• apt-get install openssh-server : cela devrait suffire à mettre à jour openssh-server ainsi que openssh-client et à installer un nouveau package openssh-blacklist.
• suite à l'installation si votre serveur est impacté par le problème ses clés seront re-générées -> la prochaine fois que vous vous connecterez sur votre serveur à partir d'une autre machine vous aurez une alerte vous signalant que la clé de celui-ci a changé (ne paniquez pas c'est normal).
• vous devez ensuite vérifier les clés ssh de vos utilisateurs : pour cela la commande ssh-vulnkey devrait vous suffire : celle-ci vous liste tous les hosts connus par l'utilisateur courant et signale ceux potentiellement impactés (fichier ~/.ssh/known_hosts). Elle vous indiquera aussi si vos clés ssh le sont également (fichier id_rsa.pub par exemple)

Un portage presque parfait

Avec un peu de retard je répond à mon billet précédent (ici) pour signaler que la dernière version de vmware workstation (version 6.0.3) m'a permi de faire fonctionner mon ipod touch.

Par contre, attention n'essayez pas de faire de mise à jour du firmware de votre ipod ; cette fonctionnalité n'as pas encore été bien 'virtualisée' (votre ipod se retrouverait bloqué - et il vous faudrait une machine non virtuelle pour le faire redémarrer). Gageons que mr. apple a encore utilisé le bus usb de façon détournée ; reste à mr. vmware de trouver de quelle façon.

PS : la version du noyau de mon host physique est un 2.6.25 ; et je fonctionne toujours sous une debian unstable.

Ingrédients

• 4 gros citrons
• 80 grammes de maïzena
• 4 gros œufs
• 175 g de sucre
• 1 pâte brisée

Préparation

• Etaler la pâte dans le moule et piquer le fond avec une fourchette, avant de la cuire pendant 15 minutes au four thermostat 7/220°C.
• Presser les citrons et râper un peu de zeste.
• Mélanger la maïzena avec la moitié du jus.
• Dans la deuxième moitié du jus ajouter 3 verres d'eau froide, mettre dans une casserole et faire bouillir.
• Verser le mélange jus + maïzena dans la casserole, bien remuer puis faire cuire doucement jusqu'à épaississement, laisser refroidir.
• Séparer les blancs des jaunes d'œufs.
• Battre les blancs en neige très ferme et y ajouter, délicatement, à la cuillère 50g de sucre.
• Ajouter les jaunes d'œufs et 100g de sucre au mélange refroidi maïzena/citron et le verser dans le moule.
• Remettre au four pendant 15 minutes.
• Verser l'appareil à meringue (les blancs d'œufs battus et sucrés) sur toute la surface de la tarte ; pour la présentation y tracer des sillons avec la tranche d'une cuillère à soupe puis y saupoudrer le sucre restant.
• Remettre au four 10 minutes.

Ingrédients

• 1 litre de lait
• une gousse de vanille
• 6 œufs
• 14 cuillères à soupe de sucre
• 14 sucres en morceau

Préparation

1. Mélanger le lait et la vanille ; puis porter à ébullition
2. Mélanger les œufs et le sucre en poudre (les battre au fouet)
3. Faire chauffer à feu vif les sucres en morceau (avec un peu d'eau) pour constituer le caramel
4. Mélanger le lait avec les œufs
5. Verser le caramel au fond de vtre plat
6. Verser le mélange dans le plat

Cuisson

Faire cuire à 180°C pendant 45 minutes ; puis laisser reposer une bonne heure.

Bon appétit,
Nadège !

Nouvelles de Hong Kong

Voilà une semaine que je suis en mission à Hong Kong pour aider au déploiement de la nouvelle plate-forme multimédia de l'AFP. J'ai quand même eu le temps (malgrès nos gros horaires) d'aller prendre quelques photos qui viendront compléter celle que vous pouvez trouver ici. Comme la mission est un réel succès, je ne devrais pas tarder à rentrer chez moi :) J'aurai donc réussit le challenge de passer à côté d'une crise d'allergie aïgue suite à l'ingestion de crevette chinoises mutantes.

En attendant plus, voici une photo prise par un collègue jounaliste (merci Denis) :