📷🐧Dave Null🐧📸 is a user on mamot.fr. You can follow them or interact with them if you have an account anywhere in the fediverse. If you don't, you can sign up here.
📷🐧Dave Null🐧📸 @devnull

Mes serveurs de test au boulot ont une config TLS plus blindée que le site de ma banque… C'est HONTEUX!

- TLSv1.0 (Vulnérable)
- Suites crypto CBC (Vulnérable à l'oracle padding)
- SHA1 (Faible)
- RC4 (Cassé/déprécié)
- 3DES (Vulnérable à sweet32.)
- dh 1024 (Cassé. Faut désactiver DHE et passer à ECDHE)
- Clé 2048 bits (Ça fait des années qu'on est passé au 4096 bits…)

mamot.fr/media/J3ouHQrzFPXBl3C mamot.fr/media/K5s8zc8fvji-TU2 mamot.fr/media/WURf4jz8DpqC2en

· Web · 4 · 1

@devnull Est-ce étonnant? Non, j'ai pas l'impression :D

@Sp3r4z Étonnant? Non… Et c'est ça qui m'inquiète, faite de la merde devient la norme… Inadmissible par contre!

@devnull AH bah ça j'sus bien d'accord. Mais j'aimerais bien savoir/comprendre pourquoi on a des cipher suite pétées, ce genre de truc: quelle en est l'intérêt?
C'est pour être compliant avec IE8? :o

@Sp3r4z Je vois 2 cas.
- La peur de perdre des clients pas foutus d'utiliser un un navigateur décent.
- Ne pas mettre à jour ses serveurs, soit par incompétence ou « parce que ça coûte » (payer des adminsys compétents, vielle version d'OS cher, logiciel développé par un presta merdique, pas mis à jour = pas compatible avec un OS récent…)

Le cas 1, tu supporte des ciphers pourris, et des ciphers bons. Mais sécu globale = celle du maillon le plus faible

Ici, c'est plutôt le 2nd cas (TLS1.0-only)

@devnull @Sp3r4z tu oubliais la fégnantise de nombreux gens : " je veux appuyer et que ça marche "

@sb_51_ @devnull @Sp3r4z Ou autre « si je met de la maintenance dans mon devis, je suis trop cher et je ne remporte jamais de marché »

@aeris @sb_51_ @Sp3r4z Décidement, je suis pas fait pour ce monde… Je devrais peut-être penser à une reconversion professionnelle pour pas étrangler pleins de gens aucours de ma future carrière… 🤔

@devnull @sb_51_ @Sp3r4z Au contraire, il faut qu’on soit plus nombreux à vouloir faire bouger les choses. À taper sur ceux qui font de la daube. À éduquer les clients. À oser dire « non » à une demande débile.

@aeris C'est sans doute vrai et je veux te croire car ça me ferait vraiment plaisir, mais, c'est pas ce qui est asséné à longueur de propagande TV/ radio.

Un exemple anecdotique : les excuses d'Intermarché pour la promo à 70% de nutella à propos des émeuttes... des promos il y en a eu partout, des émeuttes à ma connaissance à 2 endroits. Ce serait vraiment de l'information de comprendre pourquoi là bas au lieu de simplement faire le "buzz" sur les rabais importants....

@devnull @Sp3r4z

@sb_51_ @devnull @Sp3r4z Je pense qu’il y a des émeutes comme ça un peu partout sans que ça ne fasse la une des journaux…

@Sp3r4z @devnull @sb_51_ Il n’y a qu’à regarder les razia chez Apple à la sortie d’un nouveau téléphone, le black friday en GB, les soldes dans les boutiques de luxe…

@sb_51_ @devnull @Sp3r4z Je pense juste que les média n’ont juste plus rien à moudre, et donc mettent n’importe quoi en une. Si en plus ça peut faire un peu de putaclic au passage…

@aeris on est tout à fait d'accord sur le côté putaclic.

Mais la masse elle, ne vit qu'à travers ça et l'émotion, non la réflexion et la raison.

@devnull @Sp3r4z

@sb_51_ @devnull @Sp3r4z La masse est abrutie depuis 20 ans à être 100% passive et à ne pas réfléchir. Ça n’aide clairement pas notre société. On est actuellement dans un monde rempli à 90% de mougeons (le croisement entre un pigeon et un mouton)…

@aeris @Sp3r4z @devnull @sb_51_ C'est même sans doute fait exprès. Au Moyen Âge, c'était une distraction des riches : jeter des pièces de monnaie aux pauvres pour ensuite rigoler en les voyant se battre.

@bortzmeyer sans aller aussi loin dans le passé, c'est ce qui est raconté sur les "GI" lors des opérations extérieures dans le 1/3 monde.

@aeris @Sp3r4z @devnull

@sb_51_ @bortzmeyer @aeris @Sp3r4z @devnull ailleurs aussi, c'est toujours le cas lorsque le gradient de richesse est important.

Par exemple au Vietnam dans les montagnes au nord un touriste se retrouve vite entouré d'une nuée de gosses qui ont des bracelets ou autres à vendre… "buy me something buy me something"…

J'ai pensé d'abord le commentaire de @bortzmeyer
cynique. Mais, finalement l'idée est assez proche et sauf que là Intermarché a cherché le buzz.

@sb_51_ @devnull @Sp3r4z @aeris

@MarcFramboisier "vous voyez que c'est pas bien de faire de grosses promo, ça provoque des émeuttes ! moralité il faut faire des promos moins grandes ... genre 34% maxi "....

@sb_51_ Quel serait l'intérêt des commerçants de vouloir limiter les promos ?
C'est un excellent moyen de faire venir les clients chez eux, ce serait tuer la poule aux oeufs d'or.

@aeris à vérifier, mais, la logique serait de comprendre pourquoi les gens en sont venus à ça et ça serait à eux de s'excuser pour ce que ça a provoqué.

Chaque fait de la sorte nourrit mon chien nihiliste.

@devnull @Sp3r4z

@sb_51_ @devnull @Sp3r4z Comment les gens en sont venus à ça ? Simple : la pauvreté, la casse sociale…

@aeris @sb_51_ @devnull @Sp3r4z Et le marketing qui leur fait croire qu'avoir « de la marque » est mieux.

@bortzmeyer n'oublions pas la pollution (perturbateurs endocriniens plus précisément) et leur effet néfaste sur le QI donc les capacités de réflexion.

@aeris @devnull @Sp3r4z

@sb_51_ je pense plûtot dans ce cas comme @bortzmeyer et @aeris la pauvreté fait que tu ne comprennes pas pourquoi , toi , le mec lambda tu ne peux pas t' offrir cette marque, la sacro sainte télévision te ressasse que c' est vachement bien de l' avoir ... Et puis certains cons qui disent tout fort que tu n' es rien ...Remarque avant , on te le disait aussi,mais ça ne venait pas de si haut!Alors oui,ils réagissent stupidement
on leur a dit qu'ils étaient cons ...donc !...
@devnull @Sp3r4z

@lareinedeselfes oui dans la majorité des cas je partage ton analyse/ressenti, là en l'occurence il paraît qu'une partie des pots de nutella s'est retrouvé sur ebay.... donc plus pauvreté ou trafic/magouilles je dirais.

@bortzmeyer @aeris @devnull @Sp3r4z

c' est une société ou la magouille est reine ! c'est puant ! une époque de merde ou pour revenir à ce que disait devnull au tout début ,se faire du fric sur le dos des gens sur de la sécurité parce que de toute façon ils n' en sauront rien (j'espère avoir bien compris le début du thread 🤔 )@sb_51_ @bortzmeyer @aeris @devnull @Sp3r4z

@aeris en effet, on en revient donc à la grille de lecture des classes, on attend quoi pour descendre tous dans la rue et se diriger à paris (la défense), à strasbourg, bruxelles, etc...

@devnull @Sp3r4z

@sb_51_ @devnull @Sp3r4z La différence avec avant, c’est qu’aujourd’hui, la classe dirigeante a réellement réussi à prendre le contrôle des autres classes… On serait 3 pelés à se ramener à Paris…

@aeris c'est le problème avec les mougeons.

Et si on créait une communauté style hippies et qu'on vivait en marge ? (j'écris ça très sérieusement)

@devnull @Sp3r4z

@sb_51_ Je pense qu'il existe des "îlots" de ce genre... Après, il faut tjs interagir avec la société à un moment donné, mais c'est sûr que la cohésion doit donner de la force.

Auj, je trouve qu'il y a pas mal d'initiatives pour vivre mieux, dans ttes sortes de domaines. Il manque une cohésion inter-domaines, ça vient :)

A force, j'ai parfois un peu le sentiment de vivre comme tu dis, en interagissant avec diversses communautés x)

Ça tire un peu sur le temps à force.

@aeris @devnull @Sp3r4z

@Sp3r4z @devnull @sb_51_ Sont tous sous assistanat des GAFAM & cie. Ils n’ont littérallement plus de vie en dehors de leur petit monde numérique.
En 1789, tu la voyais la pauvreté des autres, tu vivais juste à côté de tes pairs. Aujourd’hui, t’es tout seul sur ton petit nécran 18h par jour…

@sb_51_ @devnull @Sp3r4z Compte le nombre de personnes qui seraient littéralement incompétentes socialement si tu leur virait leur petit nécran…

@Sp3r4z @devnull @sb_51_ « J’ai plus facebook, j’ai plus d’ami »… Combien de fois je l’ai entendu celle-là… Et le pire c’est que c’est vrai en plus…

@aeris en parlant des médias, ça me fait penser à ce que Dupont Gnangnan a dit ce matin sur Europe1.

@Sp3r4z @devnull

@aeris ou instagram/snapchat pour les ados, C'est incroyable ce que c'est addictif ça, jai vécu autour de moi cette folie de tout balancer à la face du monde et du bouc.

@Sp3r4z @devnull

@sb_51_ @Sp3r4z @devnull Quand tu sais qu’aujourd’hui, certains se suicident pour avoir perdu leurs flammes insta à cause d’un bug… 😱

@aeris C'est du résal social, c'est logique. Ça change pas grand chose que ça soit Facebook, Twitter, Mastodon, ou une asso dans une MJC…
Je comprends ce que tu veux dire, mais c'est, à mon sens, pas très juste: "les gens serait pas sociabilisés sans réseaux social" bah oui, c'est un peu l'idée d'un réseaux social. Même si l'outil est nul, le résultat in fine est intéressant.
@devnull @sb_51_

@aeris Les moyens de communications ont évolués (et tu le sais bien mieux que moi), et c'est partie dans une direction "d'individualisme" (parce qu'on sait très bien qu'à plusieurs on réfléchis), il y a des enjeux à diviser les gens, à les individualiser (tout en traitant la masse comme une seule entité). Et c'est là que c'est piégeux, parce que si tu conscientise pas ça, tu le vois jamais.

@sb_51_ @devnull

@aeris c'est clair. Beaucoup ne vivent qu'à travers ça, que pour ça, et qu'avec ça.

@devnull @Sp3r4z

@devnull @aeris @Sp3r4z à titre personnel je finis par me détacher progressivement de ce monde, il devient sans saveurs, ou trop aseptisé, il n'y a plus de réelles motivations, dialogues, débats, tout n'est que techniques de manipulation, de dévoiement, de communication pour servir des intérêts particuliers.

@Sp3r4z Et quand je sis vieux OS, c'est pas jsute « pas le dernière version » hein, c'est plutôt un OS qui n'est pas plus maintenu ou dont le support n'inclut pas des mises à jours de sécurité suffisantes. Un OS dont les bibliothèques crypto en causent qu'avec des ciphers pétés

Faut juste désactiver TLS 1.0 (idéalement TLS1.2 et + only) en fait. Or c'est le seul que les serveurs web de l'espace clients de LCL supporte apparement. Vu d'ici, l'OS doit être obsolète…

@devnull Sans oublier que ça coûte de la thune généralement d'avoir le dernier OS. C'est le modèle entier des OS proprio qui est à chier en fait…
J'ai passé un "vieux" macbookPro sous Debian pour cette raison: il était impossible de télécharger xGo de datas pour le nouvel OS, d'ailleurs ça marchait bancalement :/

@Sp3r4z RHEL c'est cher mais propose du support LONG² terme. Ça doit laisser le temps d'anticiper les migrations.

Si après je sais plus combien d'années, le support expire, et que t'es toujours pas passé à un OS maintenu sur ta prod, dégage ou vire tes adminsys et/ou devs et/ou tes presta, ou les personnes qui les ont empêcher de faire du taffe correctement et à temps.

Oui, c'est pas facile de migrer. Mais du TLSv1.0-only en 2018 (la RFC 5246 date de >9 ans), c'est que quelqu'un a grave foiré

@devnull Je voyais ça du côté client (pour l'avoir entendu: "on garde tel truc pas secure pck les devices et OS untel le supporte pas").

Quand je vois Linux (même de la stable release): tu passe d'une version à une autre "sans trop de soucis" (avec des backups bien entendu, on est jamais trop prudent). MacOS c'était une galère et WIndows c'est pas mon domaine mais ça avait l'air pété aussi :/ Partant de là :/

@devnull Après, sur serveur ,en effet: ça doit être lourd parce que toute la chaîne doit pouvoir supporter les nouveaux ciphers (bon courage). Et ça tourne toujours en rond: secure ça coûte plus cher (parce que ça demande des tests, de la rigueur… ).

En fait, la sécurité ça coûte toujours trop chère, jusqu'au jour où ça sert. (même principe qu'une assurance en somme). Tu paye pour que ça n'arrive pas!

@Sp3r4z c'ets que je disais, c'est pas évident, et ça se prépare à l'avance. pas à ladernière minute dans al panique en faisant de la merde…

Mais ça coutera toujours moins cher que les coûts d'un exploit qui fout bien la merde (genre wanacry…)

@devnull Parce que t'as une vision à long terme (la secu c'est toujours, toujours du long terme: dans les choix, dans es technologique, dans la veille…).

Mais le buziness (coucou les start-up) c'est courtermistes au possible. C'est ça le soucis aussi!

@Sp3r4z Bag=h les ciphers pétés à ce point, c'est pas très loin du plaintext. Et dnas le bancaire, tu te doute que ça pique

@Sp3r4z On m'a dit que IE >10, c'est moins de 1% des users actifs… Flinguer la sécu pour tous, pour 3 glandus, seems legit!

windows, j'y touche pas mais j'ai de loin des vagues de paniques pour les patches de l'OS pour meltdown. (RHEL, c'était plus le microcode intel qui a foutu la merde et que Redh Hat a retiré des dépôts en attendnat qu'intel fournisse un code stable)

Rajoute à sa tous les particuliers qui sont passés à windows10 et qui gueulent sur les mises à jours infinies/cassantes

@devnull c'est bizarre pour rhel, car l'installation du paquet intel-ucode (arc/parabola) ou intel-microcode (debian) n'a pas causé de problème sur mes machines.

@Sp3r4z

@sb_51_ J'ai pas les détails, mais des CPU serveurs (j'ai pas les modèles exactes)

Les merdes dans windows ausis dépendaient des machines. J'ai vu passer deux cas. Un problème spécifique au CPU amd et un autre dû à conflit avec certains anti-virus

@Sp3r4z