Logo journal du hacker middle
  1. 1

    Quel type de pare-feu ?

    1. 2

      pfSense avec le module pfBlocker-NG pour bloquer les pub.

      1. 1

        Il me fallait un moyen de créer une DMZ pour sécuriser le réseau local. Les routeurs domestiques ne disposent pas de DMZ. J’espère que j’arriverais à m’en sortir avec le routeur « à diffusion ouverte » (open hardware) BPI R3. Pfsense fonctionne principalement sur l’architecture x86_64. C’est aussi une façon de s’y connaître sur les réseaux. J’espère pouvoir l’exploiter entièrement bien que l’on soit dépendant du routeur fourni par le FAI.

    1. 1

      Y a que moi qui tique sur l’API ? Je parle même du prix mais bien qu’il faut envoyer le mot de passe …

      Y’a un vrai service qui fait ca c’est HIBP Passwords : https://haveibeenpwned.com/Passwords

      Et ce vrai service le fait gratuitement et sans avoir à envoyer un mot de passe !

      Ou alors 1er avril ?

      1. 1

        Tu parles de quel article précisément ? Quoi l’URL de l’API ? J’ai l’impression que tu as posté ton commentaire sous le mauvais article.

        Tcho !

        1. 1

          Je penses qu’il s’agit de la base ultime des mots de passes Lien vers le JDH, liens vers les arsouyes avec sa super API RestFull JSON (une dinguerie d’optimisation, vous pouvez tester le response time de ouf’).

          La version de HIPB est effectivement intéressante pour la mise en œuvre de la k-anonymity et pour lequel je ne peux que conseiller d’utiliser l’API (versus le formulaire web).

          Pour répondre à toutes les questions sur notre article, je pense qu’il faut effectivement regarder la date (ou [avoir le courage de] soumettre un mot de passe dans le formulaire html).

          1. 1

            Yep, je pense aussi qu’il parlait de votre article.

            Tcho !

      1. 1

        Dommage que vous n’enregistrez pas les mots de passe, j’y avais laissé un très beau message

        1. 1

          Pareil ;)

          1. 1

            On a hésité à les stocker pour voir vos perles mais on a trouvé que ça gâcherait la blague. Du coup on a opté pour que le formulaire n’envoie même pas l’info (le champ input n’a pas d’attribut name).

        1. 1

          La vidéo n’étant disponible que 7 jours, la rediffusion (CC-BY) est disponible sur youtube : https://www.youtube.com/watch?v=sNAknU5g5QE

          1. 1

            La vidéo n’étant disponible que 7 jours, la rediffusion (CC-BY) est disponible sur youtube : https://www.youtube.com/watch?v=uerlqRSVYEs

            1. 1

              Juste parce qu’on a fait une boulette et que la précision, c’est bien, c’était pas un event root-me pro mais un event root-me.

              1. 1

                Juste parce qu’on a fait une boulette et que la précision, c’est bien, c’était pas un event root-me pro mais un event root-me.

                1. 5

                  Yo,

                  J’ai trouvé l’article intéressant mais à l’heure d’aujourd’hui il n’a pas sa place sur le Jdh.

                  En tant que modérateur je vois des infos remontées sur le Jdh avec une étiquette totalement WTF, c’est le cas ici : gadget ?? En général je modère/supprime l’info. Si aucune étiquette ne semble convenir, c’est probablement que l’info n’a pas sa place sur le Jdh.

                  En tant que modérateur j’essaie cependant d’être à l’écoute des demandes/changements, une nouvelle étiquette “hacking social” pourrait avoir du sens. Quelques références à ce sujet : https://www.hacking-social.com/ https://en.wikipedia.org/wiki/Social_hacking https://framablog.org/2021/07/09/quand-le-militantisme-deconne-injonctions-purete-militante-attaques-1-8/

                  Si vous êtes pour la création de l’étiquette “hacking social” je vous invite à plusser (ou commenter) et si vous êtes contre à donner votre point de vue.

                  Tcho !

                  1. 3

                    Salut,

                    Merci pour ton commentaire. Pour ajouter de l’eau au moulin, voici nos quelques réflexions.

                    Est-ce qu’un hacker est forcément informaticien ? On pense que non et que ce qui nous lie, c’est le fait de chercher a comprendre quelque chose pour ensuite l’exploiter. Pour nous, le hacking social entre dans le hacking.

                    Pour l’étiquette, on a hésité…

                    • logiciel libre ? Oui, kanboard en est, mais ce n’est pas le sujet…
                    • hébergement ? Oui, on l’héberge chez nous, mais on n’explicite pas comment l’installer et le configurer (i.e. LDAP).
                    • communauté ? Ça peut aider des communautés mais ça n’est pas le sujet…

                    Du coup, on a opté pour Gadget, dans l’idée qu’utiliser une telle infra ‘juste’ pour des corvées, c’est un peu gadget…

                    Effectivement, avec une étiquette hackso, on aurait été plus juste…

                    Plus généralement, pour nos news, on regargde si ça rentre et lorsqu’on a un doute, on soumet en se disant que si on est hors sujet, les modos corrigerons (et on apprendra de leur retour), ou personne ne votera. Et si ça vote, c’est que la communauté trouve l’info intéressante, c’est que ça valait la peine…

                    Et petit a petit, on affine notre compréhension de la ligne éditoriale.

                    Les arsouyes.

                    1. 1

                      Salute,

                      Dans le désordre :

                      • La modération sur le Jdh est avant tout là pour guider. Il n’y a aucun problème à nous solliciter, tout comme il n’y a aucun problème à se tromper
                      • Je suis tout à fait d’accord sur le fait qu’un hacker n’est pas forcément informaticien
                      • La façon de s’adapter à la ligne éditoriale est celle que je voudrais voir plus souvent ressortir. Un peu comme le code, on teste, on s’adapte, on corrige, ce n’est pas figé, on est dans la continuité et la compréhension de l’usage
                      • Malgré le fait d’être d’accord sur presque tout, je reste surpris d’une étiquette comme “gadget” qui est totalement déconnectée de l’article. Là où ça devrait davantage signifier pour un utilisateur : “bah on peut pas, il n’y a aucune étiquette qui correspond”, l’utilisateur tente une explication de la quadrature du cercle. Très intéressant pour moi en tant que modérateur car j’ai du mal à voir plus efficace que l’absence d’une étiquette “satisfaisante” pour signifier qu’un article n’a pas sa place sur le Jdh

                      Pour conclure je trouve très bien qu’on débatte de tout cela.

                      Tcho !

                      1. 1

                        Quelle étiquette tu proposerais ?

                        Tcho !

                        1. 2

                          Pour “gadget”, j’ai vraiment choisi parce qu’elle m’a parue pertinente (pour moi, un gadget, c’est un truc bourré de technologie qui résout un problème simple. Là, on utilise un serveur DELL R620 qui fait tourner un proxmox dans lequel on a mis une VM avec serveur apache et kanboard. Il est protégé en HTTPS par notre propre PKI, connecté en LDAP sur notre AD et son contenu sauvegardé toutes les nuits avec duplicati qui tourne sur un autre serveur. Lorsqu’on est pas à la maison, on peut compter sur un openvpn et deux box internet pour monter un tunnel et y accéder quand même. Tout ça pour gérer des corvées… alors qu’on aurait pu épingler des papiers sur du liège. Si c’est pas un gadget, je vois pas ;-)

                          Mais je te l’accorde, c’est sûrement pas l’étiquette la plus adaptée non plus (c’est juste celle qui m’a paru la plus proche dans la liste). J’aurais peut être du d’abord contacter des modos pour avoir leur avis avant mais je n’y ai pas pensé…

                          Pour revenir à la question, si j’avais le choix de crée une nouvelle étiquette, j’ai deux idées.

                          Il y a l’étiquette “pensée du libre” que je trouve intéressante pour son côté “pensée” mais trop précise (que sur le libre) et des fois, je me dit qu’une catégorie “édito” / “pensées” pourrait permettre à des hackers francophones de partager des pensées non-techniques sur des sujets pas forcément techniques ni libristes mais en lien avec l’idée générale du hacking (comprendre pour exploiter). C’est sûrement une boite de pandore car on pourrait y glisser tout et n’importe quoi mais j’imagine (avec optimisme et naïveté sûrement) que le système de vote permettrait une forme de tri…

                          Sinon, “hacking social”, telle que tu l’as proposée. Beaucoup plus restrictive que “pensées” mais avec le mérite d’être claire dans son contenu. Elle permettrait d’y regrouper tout ce qui concerne l’humain. On pourrait y mettre des choses positives (comme ce que Viciss et Gull font sur https://www.hacking-social.com/) ou moins (social engineering par exemple).

                          Ces deux idées seraient plus pertinentes que “gadget” :-)

                      2. 2

                        Bonjour,

                        La news semble pourtant correspondre à la charte, écrit par un hacker francophone, centré autour d’un logiciel libre. Le problème doit venir de la liste d’étiquettes. On parle ici d’optimisation du temps, éventuellement d’amélioration continue, le terme hacking social me semble pas super adapté.

                        En tout cas je suis carrément pour clarifier la charte en expliquant ce qui est dans le périmètre et ce qui ne l’est pas.

                        Exemple, une grande partie des articles taggés “vie privée” (exemple : https://www.capital.fr/entreprises-marches/amazon-veut-pister-les-mouvements-de-souris-et-de-clavier-de-ses-employes-1411994, même si l’article est très interessant) ne parle pas ni de logiciel libre, ni communauté francophone, ce qui semblerait aller à l’encontre de la charte, et pourtant il y en a beaucoup d’autres du genre.

                        1. 1

                          Salute,

                          Nous ne prévoyons pas de modifier le “À propos” en revanche il est prévu d’ajouter une FAQ.

                          Quelques remarques au sujet de la modération :

                          • La majorité du temps on constate que le “À propos” n’est pas lu ou “oublié”
                          • On a un “À propos”, un “Journal de modération”, une messagerie interne permettant de joindre un modérateur pour lui poser des questions ainsi que les commentaires sous chaque info. Il faut avoir à l’esprit qu’il n’y a probablement rien qui puisse être fait “en plus” du côté de l’équipe du Jdh pour éviter un hors sujet, une erreur (une modération). C’est à l’utilisateur de faire un effort, probablement en cherchant la réponse à sa question ou en contactant un modérateur
                          • De mon point de vue avant d’utiliser un service, on regarde ce qui s’y passe et comment ça se passe. À l’entrée d’un magasin il n’y a pas un panneau pour dire tout ce qui est permis et tout ce qui n’est pas permis, ça n’a juste aucun sens, c’est infaisable de tout lister et le pire c’est que ce ne sera pas lu (un peu comme les CGV), exemple : Tu ne peux pas rentrer avec ta voiture dans le magasin, tu peux poser une question au vendeur, tu ne peux pas l’insulter si il n’a pas le produit en stock, tu ne peux pas partir sans payer, tu peux parler en Hongrois mais le vendeur ne comprendra pas forcément, etc. etc.

                          Concernant ton commentaire, quelle étiquette tu proposes si “hacking social” ne convient pas ?

                          Tcho !

                          1. 1

                            Je comprends tout à fait ton point qu’on ne peut lister l’ensemble, seulement à la simple lecture du a propos, je comprends que dès lors qu’on est un hacker (au sens noble) francophone on peut publier, si on parle de startup ou d’entreprenariat. Sans lister l’exhaustivité des points in et out, reformuler cela pour que n’importe quel individu simple d’esprit (moi par exemple :) ) puisse comprendre sans ambiguïté de quoi il s’agit.

                            Rien que le fait que les news concernant la vie privée sont d’office acceptée dès lors qu’elles sont publiées en français, même si leur auteur n’est pas un membre de la communauté hacker francophone (style média mainstream) et que ça ne concerne pas le logiciel libre, devrait du coup figurer à la charte.

                            Concernant l’étiquette, j’opterais pour une étiquette en français du style “organisation”, “gestion de projet”, “optimisation” (voire deux des trois).

                            Je constate juste que les articles ayant le plus de vote (>5 disons) ne sont pas toujours des articles qui rentrent dans ce qui est décrit au sens strict dans le “A propos”, bien qu’ils soient très bons.

                            1. 2

                              J’ai pas mal cogité à tout cela (sur les derniers mois), il faut voir le “À propos” comme un “TL;DR” de ce qu’on fait sur le Jdh car la réalité du net c’est que les utilisateurs ne cherchent pas et/ou ne vont pas lire (notamment parce que trop long) les explications.

                              La FAQ si elle est bien faite est la version longue, elle rentre dans les détails (pour ceux qui cherchent), en tentant de rester concise et claire.

                              Tcho !

                        2. 2

                          Hello Cascador,

                          Je suis contre la création de l’étiquette “hacking social”. Selon moi, le JDH doit rester focaliser sur l’informatique, c’est ce qui fait sa grosse plus value, dans le cas contraire, cela il devient juste un site qui référencie des articles de blogs de tout type :(

                          Je te rejoins également concernant l’article, bien que très intéressant, il ne fait pas assez mention d’outil numérique et est un peu trop orienté méthode de gestion de projet et organisation.

                          1. 1

                            Salute,

                            Afin de clarifier ton point de vue, tu es donc pour la modération (suppression) de l’info sur le Jdh ?

                            Tcho !

                            1. 1

                              Oui

                              1. 1

                                Afin de préciser aussi ma position :

                                • En tant qu’utilisateur du Jdh, j’apprécie l’article et je suis pour qu’il reste sur le Jdh (avec une étiquette correcte)
                                • En tant que modérateur du Jdh, l’article ne correspond à aucune étiquette, il n’a pas sa place ici cependant je lance la discussion afin de voir ce que notre communauté en pense (puis l’équipe du Jdh agira en conséquence, création d’une étiquette supplémentaire ou suppression de l’info)

                                Tcho !

                          2. 2

                            Pour !

                            Car oui ca s apparente a de la gestion de projet … Ce qui fait tout de meme parti du développement …

                          1. 2

                            Super article :-)

                            J’ajoute une petite précision pour le RGPD car goaccess affiche un tableau avec les adresses IP (“VISITOR HOSTNAMES AND IPS”). Du coup, si vous voulez être valide (ou simplement respecter la vie privée de vos visiteurs), voici quatre solutions différentes :

                            1. Recueillez le consentement des visiteurs,
                            2. N’affichez ces données que pour des rapports sur les visites de la veille (c’est une tolérance en mode “ce sont des informations techniques pour déboguer un problème d’exploitation”).
                            3. Anonymisez les données (ne gardez que les deux premiers nombres des IPv4, et les trois premiers groupes des IPv6, on avait fait un article là dessus avec des règles sed),
                            4. N’affichez pas ces informations, avec l’option --ignore-panel=HOSTS qui va enlever le panneau correspondant.
                            1. 1

                              @arsouyes: merci pour ton retour.

                              Recueillir le consentement ? Comment ? d’autant que sur mon serveur @home, je ne place aucun cookie ; là, je ne fais qu’analyser le trafic qui vient sur le serveur !

                              Des rapports que sur la veille : ça n’a aucun sens. Mais pourquoi pas !

                              Anonymiser les IP : en effet, je le dis en rapport avec l’option “–anonymize-ip”

                              Quant aux panels à ignorer, j’ai informé concernant le panel REMOTE_USER. HOSTS est celui qui affiche les noms d’hôtes et IP, c’est bien ça ?

                              Concernant ton article “anonymiser les adresses IP”, je l’ai lu aussi - et je fais partie de vos lecteurs réguliers - faut avouer que ça devient lourd, surtout quand c’est juste pour son propre petit site web. Dans les faits, c’est dommage que ce genre d’anonymisation ne soit pas directement gérable dans un formatage du log au niveau serveur web. (mais je n’ai certainement pas du tout “étudier” cela à fond, correctement).

                              Quoiqu’il en soit, je retiens tes conseils avisés. Merci beaucoup.
                              (Va falloir s’y remettre… pfff)

                              1. 2

                                Salut @PengouinPdt,

                                Pour le consentement sur des logs d’apache/nginx… J’imagine un premier reverse proxy qui pose la question et qui, ensuite, permet l’accès aux autres vhosts… On peut imaginer placer ensuite un header ou autre et le filtrer dans les stats ensuite…). C’est super lourd, je suis complètement d’accord. Surtout que pour faire des stats, il suffit d’anonymiser pour en avoir le droit alors pourquoi s’embêter à garder les données réelles ?

                                J’avais du lire ton article trop vite car je n’avais pas vu tes mentions aux RGPD… (--anonymize-ip fera le job tout pareil que nos regexp), du coup, mon comentaire fait un peu hors sujet… Pour “HOSTS”, c’est bien le panneau avec les IP/nom d’hôtes. REMOTE_USER n’ajoute aucun panneau avec ma version donc je ne sais pas à quoi il sert !?

                                Je suis d’accord que le RGPD est lourd comparé aux enjeux de nos “petits” sites respectifs mais si ton serveur @home n’a qu’une utilisation personnelle (et pas professionnelle), tu peux t’en passer car le RGPD ne s’applique plus dans ton cas (article 2, paragraphe 2, alinéa c : “Le présent règlement ne s’applique pas [aux] personne physique dans le cadre d’une activité strictement personnelle ou domestique;”).

                                Au plaisir de se recroiser :-)

                                1. 1

                                  Merci pour les précisions, voire les retouches de ton premier commentaire.

                                  Je vais me copier ton script d’anonymisation, et me le garder au chaud dans un coin. Mais c’est vrai, que si je me conforme au processus que tu décris, il faut copier le log une première fois, passer à la moulinette du script d’anonymisation et passer à la moulinette de goaccess (ou tout autre système de supervision).

                                  Enfin, bon, bref, y’a plus qu’à espérer que comme c’est juste dans le contexte de homeserver, pour de la “promotion personnelle gratuite”, on ne soit pas plus inquiété que cela ! :p

                                  Au plaisir partagé :D

                            1. 2

                              Ce n’est pas forcément étonnant. La plupart choisissent des lib “open-source” car ça évite de payer du support. On ne peut pas s’étonner ensuite que des bénévoles prennent du temps pour corriger quelque chose (après tout, ils le font sur leur temps libre).

                              Ce serait bien plus efficace (et honnête) que ces entreprise qui valorisent économiquement ce travail initialement bénévole et (s’)investissent dans le développement de toutes ces ressources “libres” qu’elles exploitent. Mais je suis un éternel rêveur ;-)

                              1. 4

                                C’est même pas une histoire de contribution de la part des entreprises. Souvent les libs sont corrigées/patchées mais juste pas mise à jour dans les logiciels les exploitants.

                                1. 1

                                  Tu parles, les entreprises ne comprennent même pas la logique et c’est peine perdue de leur expliquer, c’est aux développeurs de pousser des corrections sur les lib open source faiblement maintenue.

                                1. 1

                                  Pour ceux que ça interesse, on vient de faire la même chose sous Windows

                                  1. [Comment removed by author]

                                    1. 1

                                      Merci :) Le hasard fait bien les choses.

                                    1. 1

                                      Merci pour ces informations sur la gestion du cache et le lancement de build conditionné au message de commit.

                                      Sinon, s/Utilsier/Utiliser/.

                                      1. 1

                                        <troll>Sinon, il y a la RFC 2100</troll>

                                        1. [Comment removed by author]

                                          1. 1

                                            Pénible et “dangereux” pour la maintenance (entre autre)… Dès qu’un petit malin décide qu’il ne gère plus telle option (ou en ajoute une autre) pas moyen pour le code appelant de le savoir…

                                          1. 2

                                            Et comme on ne peut pas migrer tous les anciens projet (et ceux en cours) vers PHP 8 à court termes, on a aussi un article pour le faire quand même en PHP 5 et 7. (je dis ça en commentaire pour éviter de polluer le flux avec deux articles des arsouyes le même jour).

                                            1. 2

                                              Merci pour l’article. Il est très bien écrit.

                                              Je ne suis personnellement jamais tombé sur du code qui abuse de commentaires. Il n’est pas simple, pour un junior/nouvel arrivant de savoir quand il est pertinent de commenter ou non. En cas de doute, j’aurais tendance à dire qu’il vaut mieux risquer d’écrire un commentaire inutile que d’en omettre un important.

                                              Concernant les abréviations. Je suis d’accord qu’il faut les éviter par défaut, mais il peut être intéressant de faire une liste blanche de termes quand ils sont très souvent utilisés. Cette liste doit être discutée. Le but n’est pas d’en mettre partout, mais sur les noms de variable les plus utilisés, suivant le domaine.

                                              J’ai une petite liste de termes qui reviennent.

                                              Une technique pour qu’une personne s’améliore est de combiner la maintenance de ses propres outils, avec le débogage d’outils bien codé. Ça permet à la personne de se rendre compte par elle-même de l’intérêt d’avoir des choses propres.

                                              1. 4

                                                Pour les commentaires, je suis tombé sur un code où CHAQUE ligne était précédée d’un commentaire. Avec ma ligne préférée :

                                                // Incrémente i
                                                i++;
                                                

                                                Après lui avoir demandé pourquoi il le faisait, le développeur m’a dit “les profs m’ont dit de tout commenter”. C’est donc ce qu’il faisait.

                                                Lorsque je code, j’applique le principe suivant :

                                                • Ce que le code est sensé faire : c’est le nom de la méthode/fonction
                                                • Ce que le code fait : ce sont les tests (mais normalement, le code est devrait faire ce qu’il est … sensé faire)
                                                • Comment le code le fait : c’est le code justement. Soit il est clair ou classique et il y a pas besoin de le commenter (au développeur qui lit de se former), soit il est “compliqué” et il y vaut mieux trouver moyen de faire autrement et sinon, voir suivant.
                                                • Pourquoi le code le fait comme ça : seule raison pourquoi je commente (pourquoi j’utilise telle constante, tel patron, telle répartition de responsabilité, …)
                                                1. 2

                                                  Merci ! C’est sûr qu’il n’est pas simple pour un junior de savoir quand le commentaire est pertinent. C’est pourquoi il faut toujours se demander, quand on écrit un commentaire, si le code ne pourrait pas être simplifié. Après je suis assez d’accord avec toi qu’il vaut mieux écrire un commentaire inutile que d’en omettre un important mais cela doit, selon moi, être vu lors revue de code pour justement nettoyer les commentaires inutiles.

                                                  Sympa ta liste ! Je ne suis pas forcément d’accord avec certaines abréviations (hrchy ou cnt par exemple) mais de définir une liste blanche de termes ce n’est pas bête même si dans l’idéal il faut les éviter.

                                                  Sinon pour s’améliorer, rien de tel que le pair programming et la revue de code avec la personne concernée.

                                                1. 2

                                                  Étonnant qu’il n’y ait pas de rainbow hat surtout qu’il s’agit de penetration :D Article très intéressant!

                                                  1. 1

                                                    Oui, ça aurait été amusant mais j’ai déjà galéré à trouver les RGB… Merci pour ton commentaire :-)

                                                  1. 1

                                                    Merci pour votre site et vos articles de qualités, ils sont vraiment très instructifs.

                                                    Concernant cet article en particulier, je vais être honnête mais je n’aime pas la forme. A lire, on pourrait penser d’un danger important en cette période de Covid alors qu’il ne s’agit qu’un questionnement sur un modèle économique. Cela me met vraiment mal à l’aise par rapport à ceux qui sont vraiment en danger.

                                                    Deuxième point, vous êtes deux professionnels de l’informatique, et vous préférez utiliser une des solutions mis-à-disposition par framasoft plutôt que de l’autohéberger alors que vous vous questionnez sur un financement de votre activité par la communauté.

                                                    1. 2

                                                      Bonjour,

                                                      Nous ne sommes pas, nous, en danger physique, c’est vrai (et comme on l’a dit, notre situation est bien plus confortable que beaucoup d’autres). Mais les arsouyes, en tant que site de partage de connaissance, l’est. Parce que pour le maintenir, il nous faut du temps. Chose que nous n’auront plus dans l’avenir si nous ne trouvons pas un moyen de le financer.

                                                      Je ne comprend pas le problème d’utiliser framaforms plutôt que d’héberger notre propre solution. Nous hébergeons une partie des services et dans le même temps, nous utilisons des services fourni par d’autres, ça n’est pas incompatible !? On a trouvé qu’utiliser framaforms était aussi une manière de montrer qu’une alternative aux google forms est possible (une partie de notre public a d’ailleurs découvert framasoft à cette occasion).

                                                      tbowan

                                                    1. 1

                                                      Ça marche que si le disque n’est pas chiffré ou ai-je loupé quelque chose ?

                                                      1. 1

                                                        Non, t’as rien loupé :-) c’est ce qu’on dit à la fin : pour s’en prémunir, chiffrez le disque.