Alex 🇮🇪 🇫🇷 is a user on mamot.fr. You can follow them or interact with them if you have an account anywhere in the fediverse. If you don't, you can sign up here.

j' ai bien l' impression que je n'ai rien que des informaticiens dans ma TL aujourd'hui .... je ne vais pas intervenir beaucoup dans les pouets ! 😀

@Eusebe oui mais quand vous bossez vous arrivez à dire plus de conneries que le WE .Vivement lundi ! 😂

@lareinedeselfes Il faut bien recharger les batteries pour tenir la semaine 😃

@Eusebe je hais Metdown et Spectre ! non seulement , je n' y comprends rien (mais ça je suis habituée et vous aussi 😀 ) mais parce que je vous sens inquiets et que du coup ils deviennent le centre des discutions

@lareinedeselfes Je n'y ai pas compris grand chose aussi, si ce n'est qu'il s'agit de failles de sécurité...

@Eusebe ça j' ai compris aussi ! 😀 ouf , à force de lire des trucs il y a des bidules que je finis par piger

@lareinedeselfes
Après, installer les mises à jour de sécurité...et économiser pour acheter un nouveau PC 😂

@Eusebe oui mais moi , je n' achète pas de PC , je récupère les vieux des autres Du coup je suis dans la mouise 😂 et j' attend que quelqu'un cause de "qu'en est il des mots de passes conservés dans le navigateur ou dans des docus dans l' ordi ...🤔

@lareinedeselfes @Eusebe je crois que Firefox a fait le nécessaire par exemple.
Par contre si certains dev optimisaient mieux, il y aurait moins de soucis avec ces baisses de performances...

merci @xakan et j' ai fais mis maj hier ! mais je vérifierai aujourd'hui au cas ou @Eusebe

@lareinedeselfes @xakan @Eusebe Moi, j'aime pas le terme "informaticien"....
Moi, j'aime pas ne pas être "informaticien"
Moi, j'aime pas qu'on ne sacha pas à partir de quand le nouveau hardware sera safe /spectre & meltdown
Moi, j'aime pas être assoié aux "informaticiens"
Moi, j'aime pas que personne n'ai jamais pensé que les MdP stockés dans le navigateur c'était le mal...

@SchtroumfGrognon @lareinedeselfes @Eusebe pour les mdp stockés en règle générale. Je n’en ai strictement aucun de mémorise nulle part :)

@xakan j'ai pas vu passer beaucoup d'info à propos des logiciel tel que keepassxc en relation avec ces failles, les mots de passes étant chiffrés dans la mémoire quid d'un éventuel risque ?
@Eusebe @lareinedeselfes @SchtroumfGrognon

@xakan @Eusebe @lareinedeselfes @SchtroumfGrognon @valere
S'ils sont ouverts en RAM, ne sont-ils pas accessibles à d'autres processus ? la question est en efet intéressante.

@R1Rail @xakan @Eusebe C'est en partie détaillé ici : keepass.info/help/base/securit

"While KeePass is running, sensitive data (like the hash of the master key and entry passwords) is stored encryptedly in process memory. This means that even if you would dump the KeePass process memory to disk, you could not find any sensitive data."

Maintenant, faut tester contre ces attaques en particulier a priori

@lareinedeselfes @SchtroumfGrognon @valere

Alex 🇮🇪 🇫🇷 @roddhjav

@Shaft @valere @SchtroumfGrognon @lareinedeselfes @Eusebe @xakan @R1Rail

Chiffrer des données en RAM ne sert á rien... parce que la clé est aussi en RAM (ou accessible) ...

Un "petit" lien de source qui explique comment récupérer les mots de passe de KeePassX en RAM: opus4.kobv.de/opus4-fau/frontd

C'est pas aussi complexe que ça en a l'air. Tous les logiciels requis sont open source ().

Avant il fallait être root pour faire ça, avec et il n'y a même plus besoins.

· Web · 1 · 2

@R1Rail @xakan @Eusebe @lareinedeselfes @SchtroumfGrognon @valere @Shaft

C'est théoriquement possible de vraiment protéger ses données en RAM, mais ça nécessite une technique appelé Oblivious RAM () mais c'est pas la même limonade...

@roddhjav À ce stade là, étant donné que le Kernel "gère tout": il y a aucun moyen de cacher des choses à son kernel, si?

@shaft @valere @SchtroumfGrognon @lareinedeselfes @Eusebe @xakan @R1Rail

@Sp3r4z @Shaft @valere @SchtroumfGrognon @lareinedeselfes @Eusebe @xakan @R1Rail

Justement, c'est ce que je disais, c'est théoriquement possible de vraiment protéger ses données en RAM, mais ça nécessite une technique appelé Oblivious RAM () mais c'est pas la même limonade...

en.wikipedia.org/wiki/Obliviou

@roddhjav Yes, j'ai vu ton deuxième toot. Mais (j'ai pas le niveau, si c'est trop complexe j'vais pas arriver à suivre) je me disais "naïvement peut-être" que comme le kernel gère les choses, tout passait par lui à un moment ou un autre (ou qu'il pouvait y avoir accès) que donc on était trapped.

Vu le wiki, en effet, ça à l'air d'être une autre paire de manche :s

@Sp3r4z En fait, c'est encore une histoire de confiance. Jusqu'a maintenant tu fesais confiance á la RAM. Maintenant c'est plus le cas mais tu fais toujours confiance au CPU. (oui ça demande un CPU qui le supporte). Et c'est le CPU qui va se chiffrer tout ce qu'il écrit en RAM de manière a ne faire fuiter aucune info (même pas de méta-données)

@roddhjav D'accord, je vois. Et dans le cas de Meltdown/spectre là, on voit/comprends que le CPU c'est pas super fiable non plus (ou en tout cas que ça peut être pété). Ça ruine pas l'ORAM? Puisque ça passe par le CPU.

@Sp3r4z Oui et non:

1- Mon: Un système ORAM n'est théoriquement pas sensible á des attaques de type spectre. Parce que ça ne fonctionne plus de la même manière

2- Oui, les failles CPU ça existe et ORAM ne fonctionne que si on fait confiance au CPU.

@roddhjav D'accord, je prenais spectre/meltdown pck c'était une faille "actuelle" (et pour illustrer le propos) mais en effet tout n'est pas faillible à ça :)

Et merci pour tes réponses, ça confirme ce que je pensais. Comme tu dis "c'est une question de confiance" :)

@Sp3r4z Après je connais beaucoup plus le penchant cloud de l'ORAM:

Client de confiance, serveur pas de confiance. Et un système ORAM est utilisé pour empêcher la fuite de métadonnées quand les utilisateurs communiques entre eux via le serveur.

Cf: pujol.io/research/

@roddhjav J'vois bien, c'est une isolation en plus ça nécessite de faire confiance au CPU, normal. :)

@roddhjav bon , je vous laisse lire et après on se retrouve pour que vous m' expliquiez en français compréhensible par une noob reine 😂 y a du boulot pour 6 mois au moins là ,pour que je comprenne ! 😂 @Sp3r4z @Shaft @valere @SchtroumfGrognon @Eusebe @xakan @R1Rail