Professionnel en sécurité, développeur et entrepreneur
actualité
Nouveau projet : WikiHelp
01 year ago
by Francois.Harvey
in actualité
Depuis quelques semaines je travail sur WikiAide (WikiHelp) qui est un logiciel collaboratif de procédures et de documentation basée sur le logiciel WikiWebHelp. Pour les curieux vous pouvez consulter la présentation ci-dessous.
Wiki aide presentation de la solution
View more presentations from Harvey Francois.
Pour plus de détails consulter le site de développement : medsecure.ca/trac/wikihelp
MS Virus Scanning Recommendations or Trend Micro FUD ?
02 years ago
by Francois.Harvey
in actualité
Lot of talk today about this post on trend micro blog : http://blog.trendmicro.com/microsoft-virus-scanning-recommendations-bring-risks/…
Following the recommendations does not pose a significant threat as of now but it has a very big potential of being one. Cybercriminals may strategically drop or download a malicious file into one of the folders that are recommended to be excluded from scanning or use a file name extension that is also in the excluded list.
But… Haven’t trend micro created a document about this, two years ago (march 2008), if you haven’t read it, go take a look at http://trendedge.trendmicro.com/pr/tm/te/document/OSCE_8_0_MS_File_Exclusions.pdf.
Maybe Trend researcher should look at their own whitepaper before citing some 4 years old kb article.
Hash de gravatar… rien d’alarmant
02 years ago
by Francois.Harvey
in actualité
Un article est paru et a été repris par différent médias concernant le service gravatar, qui est notamment un service que j’utilise sur ce blog pour afficher les contributeurs. Le fonctionnement de gravatar est l’utilisation d’un hash (md5) du courriel utilisateur. L’article (http://www.developer.it/post/gravatars-why-publishing-your-email-s-hash-is-not-a-good-idea).
Personnellement je considère qu’un courriel est un identifiant et non un authentifiant… L’objectif de gravatar c’est de mettre une identité visuelle cohérente pour identifier la même personne peut importe le blog. Je trouve néanmoins que la solution de mitigation énoncé, est pas vraiment plus géniale…. (pour la storer ca prend un identifiant unique de toute facon)
“”A possible line of defense against this type of attacks is storing the images locally (which was suggested on a thread on stackoverflow). As a website owner wanting to use gravatars, you download them once when the user subscribes and serve them with an URL not giving up additional information (e.g. /avatar/username.png) “”
Si vous désirez vraiment préserver la confidentialité de votre gravatar et de votre adresse courriel, il existe un moyen simple… Dans une adresse courriel il est possible d’utiliser le caractère + pour ajouter un suffixe qui n’est pas utilisé pour la distribution, mais qui est est calculé dans le hash. Par exemple plutot que “nom_utilisateur@example.org” il est possible d’utiliser “nom_utilisateur+truc_compliqué_a_trouver@example.org” qui va générer un hash pouvant survivre à une attaque de dictionnaire.
Cela dit, mon nom de domaine et mon username correspond passablement à mon nom et mon gravatar est ma photo, alors un hash de md5 sur mon adresse courriel, ca fait parti des risque acceptables 
