IPB

Bienvenue invité ( Connexion | Inscription )

2 Pages V  < 1 2  
Reply to this topicStart new topic
> Méfiez-vous des sources de téléchargement de vos logiciels libres, Réactions à la publication du 14/05/2019
Options
zero
posté 17 May 2019, 08:46
Message #31


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 11 488
Inscrit : 25 Nov 2001
Membre no 1 397



Citation (SartMatt @ 17 May 2019, 16:37) *
Citation (zero @ 17 May 2019, 02:55) *
Citation (iAPX @ 14 May 2019, 07:30) *
Quand aux hash sur un site web ils sont totalement inutiles, je ne sais pas quel idiot a lancé la mode, mais si quelqu'un peut modifier un fichier en téléchargement il peut évidemment modifier le hash affiché dans la plupart des cas.

Faux !

Le Checksum permet de vérifier que le fichier n'a pas été modifié. Donc du moment que l'on télécharge la version "officielle", le Checksum nous permet de vérifier que le fichier a bien été téléchargé, qu'il a été sauvegardé sur le disque correctement ou qu'un malware n'a pas endommager le fichier entre temps.

(C'est dingue qu'il y ait autant de gens qui ne savent pas à quoi sert le Checksum. C'est ce que je constate un peu partout.)
Et pourtant, il a raison... Celui qui a un accès au serveur officiel pour modifier le fichier qui est dessus, il peut aussi modifier le checksum affiché sur la page pour le faire correspondre au fichier qu'il a modifié.
Le checksum n'a donc strictement aucun intérêt lorsque le fichier à télécharger et la page affichant le checksum sont sur le même serveur. Ce qui est souvent le cas.

Non car même si il ne protège pas dans ce cas là pour un certains laps de temps (le temps que quelqu'un s'en rendre compte), il n'est pas totalement inutile. Il sert dans tous les cas que j'indique (mais bon tu aimes tellement contredire que tu fais fis de les ignorer comme d'hab). En plus, si ce Checksum n'était pas là il serait encore plus difficile de se rendre compte que ça a été modifié entre temps.

Ce message a été modifié par zero - 17 May 2019, 08:48.
Go to the top of the page
 
+Quote Post
SartMatt
posté 17 May 2019, 09:03
Message #32


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 30 744
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (zero @ 17 May 2019, 09:46) *
Il sert dans tous les cas que j'indique (mais bon tu aimes tellement contredire que tu fais fis de les ignorer comme d'hab).
Dans tous les cas que tu indiques, pas besoin du checksum qui est sur le site.

Le fait que le fichier a été téléchargé correctement, c'est assuré par les protocoles réseau, qui incluent un checksum dans chaque paquet et vérifient qu'il n'y a pas de perte de paquet.
Et pour tout le reste, tu peux faire un checksum en local. Parce que de toute façon le jour où tu veux vérifier que ton fichier en local n'a pas changé depuis son téléchargement, tu n'es pas sûr que le checksum de l'époque soit encore sur le site officiel, donc il faut que tu ais gardé un checksum en local... C'est d'ailleurs bien plus pratique d'avoir un fichier en local avec tous les checksum pour vérifier d'un coup plutôt que d'aller tous les vérifier à la main sur le site officiel...


--------------------

Go to the top of the page
 
+Quote Post
Antaris
posté 17 May 2019, 10:41
Message #33


Nouveau Membre


Groupe : Membres
Messages : 11
Inscrit : 3 Sep 2008
Membre no 120 864



Bonjour à toutes et à tous,

C'est bien gentil tous ces échanges, vous êtes tous plus ou moins en train de vous écharper sur tout un tas de sujets sans grande importance ...

Par contre, je ne vois pas grand se remuer vraiment le tronc pour être efficace et agir pour stopper ce qui se passe en ce moment et faire avancer le "Schmilblic".

Prenez conscience que TOUS LES JOURS, peut-être des dizaines, voire des centaines de personnes vont télécharger ces outils sur ces sites qui n'ont aucune légitimité, mais malheureusement trop bien référencés.
Ils exploitent clairement des vides juridiques et l'inefficiences des autorités/organismes, quelles qu'elles soient (AFNIC, ANSSI, CNIL, ...).

=> MacBidouille (via Matthieu SARTER) a le mérite d'avoir relayé l'information (et peut importe le titre, ce n'est pas dans leurs motivations de plomber les contributeurs logiciels libres)


VOUS AVEZ L'INTENTION DE FAIRE QUELQUE CHOSE POUR LA COMMUNAUTÉ ?

Vous n'avez que l'embarras du choix.
Il n'y a pas de secret plus il y aura de signalement, plus cela augmentera les chances de voir aboutir les démarches et de stopper ces sites pourris.

#AFNIC - vous pouvez envoyer un mail de support à l'AFNIC (support@afnic.fr) pour signalement de ces agissements.
#OVH - Le Registrar utilisé par ces domaines - signalement auprès d'OVH via le 1007 (A oui bon courage pour avoir le support - on a souvent "toutes les lignes de votre correspondant sont occupées")
#NEXYLAN - Le support est joignable au 03 66 72 15 72
#Let's Encrypt - Signalement des certificats utilisés pour les faire révoquer (je suis en train de scripter pour extraire les Serial Number des Cert pour leur faire un pack)
#Twitter - Relayez l'info sur Twitter en mettant en destinataire l'ANSSI, la CNIL, l'AFNIC, OVH, NEXYLAN, en espérant qu'un chargé de communication verra la news (quand ça touche à l'image d'une entreprise ou d'une organisation, tout ce suite les lignes bougent)
#LinkedIn - Posez la question de ses agissements directement à l'intéressé (Julien CLAIRET - https://www.linkedin.com/in/julien-clairet-56a6145/)


ALORS ?
ELLE VA FAIRE QUOI LA COMMUNAUTÉ FRANCOPHONE ?
ELLE VA RESTER LES 2 PIEDS DANS LE MÊME SABOT OU ELLE VA SE BOUGER LE C*L ?!?!

A+


PS : vous pouvez m'insulter, je m'en tape !
Autres infos complémentaires sur les sociétés concernés : Responsable Julien CLAIRET, qui détient notamment les société DATA ACCESS et BRAND ACCESS (https://www.linkedin.com/in/julien-clairet-56a6145/)
Go to the top of the page
 
+Quote Post

2 Pages V  < 1 2
Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 27th May 2019 - 06:48