Mon blog

En avant première, les toutes dernières photos ! A quelques jours du Grand jour !

Cliquez ici

Liens utilises

• Site de mise à jour
• webtools (xsl,xml,...)

Plus que quelques semaines (au pire) et je vais rentrer de plein pied dans le monde des adultes (comment çà il était temps ?) ! Vous l'avez deviné, je vais bientôt être papa.

J'ai beau me dire que je ne suis pas le premier ; il faut bien l'avouer c'est quelque chose !

Ma femme remplie check-list sur check-list ; elle m'assigne des tâches toutes plus bizarres les unes que les autres :

• monter des meubles
• apprendre à monter une poussette en moins de 30 sec (pire qu'un méchano de formule 1)
• ...

Le jour J, il va falloir assurer : me prendre des claques à chaque contraction ; tout en gardant le sourire ! Non, je plaisante, ma seule crainte : ne pas m'évanouir !

A suivre !

Erreurs Https

Depuis que je suis passé sous firefox 3 j'avais régulièrement des problèmes avec certains sites https. J'obtenais régulièrement l'erreur suivante :

Échec de la connexion sécurisée

Une erreur est survenue pendant une connexion à ...

SSL a reçu un enregistrement « Change Cipher Spec » inattendu.

(Code d'erreur : ssl_error_rx_unexpected_change_cipher)

ssl_error_rx_unexpected_change_cipher

Après investigation, il semblerait que ce bug soit lié à la gestion des sessions dans OpenSSL.

En attendant que les serveurs web auxquels vous accédez utilisent tous une nouvelle version de la librairie, un palliatif est de changer le paramètre de configuration de firefox security.enable_tls_session_tickets à false

Riposte graduée ...

La liberté est décidément bien fragile ; voici quelques liens sur un projet de loi de notre gouvernement :

• Installation d'un logiciel espion sur votre propre ordinateur ?
• Qu'est ce que la riposte graduée ?
• Une analyse du projet.
• Qu'en est-il au au niveau européen

Pour résumer, notre gouvernement voudrait pouvoir éviter de passer par des juges pour "punir" les internautes non respectueux de certains points juridiques (propriété intellectuelle, artistique, ...). Le but avoué est de protéger les industriels, même si pour cela la liberté individuelle des internautes devra être bafouée. Pour cela, des groupes de e-mercenaires du secteur privé seront chargés de cette surveillance.

Pour faire un parallèle avec le "monde réel" certaines propositions de ces personnes, peu respectueuses de notre vie privée, reviendraient à nous demander d'installer un système de vidéo surveillance notre domicile afin que l'État puisse contrôler que nous n'y fassions rien de prohibé ...

Le greylisting

Suite à mon précédent article concernant bogofilter ; j'ai pu lutter facilement contre le spam : mes messages sont taggés *** SPAM *** et sont automatiquement triés dans un dossier spécifique. Malgré tout j'ai constaté que le nombre de spam reçus par mon serveur augmente de façon exponentielle. C'est pourquoi j'ai décidé d'utiliser en plus le greylisting.

Les concepts

Le greylisting consiste à refuser temporairement(Service temporarily unavailable) tout nouveau mel d'un expéditeur inconnu. Tout expéditeur est considéré comme inconnu si il n'a pas déjà envoyé un mel X minutes auparavant.

Ainsi, en utilisant cette technique, la plupart des spams seront filtrés car les spammeurs ne traitent pas l'erreur (Service temporarily unavailable) alors que celle-ci est décrite dans les RFC.

Mise en oeuvre

Celle-ci fera l'objet d'un autre article.

Bibliogaphie

• Greylisting postfix
• Postgrey

Comment vérifier si votre système est impacté

Si vous utilisez debian ou une distribution dérivée vous avez sans doute entendu parler de celà : un problème de sécurité concernant openssl (et donc ssh).

Le but de cet article est de fournir en condensé la marche à suivre pour corriger le problème sur votre serveur (si celui-ci est impacté) :

• apt-get install openssh-server : cela devrait suffire à mettre à jour openssh-server ainsi que openssh-client et à installer un nouveau package openssh-blacklist.
• suite à l'installation si votre serveur est impacté par le problème ses clés seront re-générées -> la prochaine fois que vous vous connecterez sur votre serveur à partir d'une autre machine vous aurez une alerte vous signalant que la clé de celui-ci a changé (ne paniquez pas c'est normal).
• vous devez ensuite vérifier les clés ssh de vos utilisateurs : pour cela la commande ssh-vulnkey devrait vous suffire : celle-ci vous liste tous les hosts connus par l'utilisateur courant et signale ceux potentiellement impactés (fichier ~/.ssh/known_hosts). Elle vous indiquera aussi si vos clés ssh le sont également (fichier id_rsa.pub par exemple)

Un portage presque parfait

Avec un peu de retard je répond à mon billet précédent (ici) pour signaler que la dernière version de vmware workstation (version 6.0.3) m'a permi de faire fonctionner mon ipod touch.

Par contre, attention n'essayez pas de faire de mise à jour du firmware de votre ipod ; cette fonctionnalité n'as pas encore été bien 'virtualisée' (votre ipod se retrouverait bloqué - et il vous faudrait une machine non virtuelle pour le faire redémarrer). Gageons que mr. apple a encore utilisé le bus usb de façon détournée ; reste à mr. vmware de trouver de quelle façon.

PS : la version du noyau de mon host physique est un 2.6.25 ; et je fonctionne toujours sous une debian unstable.