Sécurité

Analyse du dump 000webhost : le nouveau rockyou ?

Publié le : Auteur: Lucas Laise Laisser un commentaire
dictionary-attack

000webhosting, hébergeur web gratuit, a subi une attaque en octobre 2015. Ce sont près de 15 millions de comptes qui ont fuité, avec en prime les mots de passes … qui étaient bien entendu stockés en clair. Pour casser des hashs, il est important d’avoir des dictionnaires diversifiés, complets et … réalistes. N’ayant pas trouvé de comparatif entre les dumps de 000webhost et de rockyou (32 millions de comptes, en 2009), nous allons procéder à une analyse des mots de passe de 000webhost, avec comme témoin le légendaire rockyou. Analyse quantitative $ wc -l 000webhost.com_password_only rockyou.txt 15265402 000webhost.com_password_only 14344392 rockyou.txt 29609794 total Le dump de 000webhost contient un peu plus de 15 millions de mots de passe, contre 14 millions (uniques) pour rockyou. C’est donc un bon début. Mais combien sont uniques ? $ sort -u 000webhost.com_password_only| wc -l 10615940 Nous avons donc un peu plus de 10 millions de mots deLire la suite…

Technologies

Déployer automatiquement vos applications avec Apache Karaf

Publié le : Auteur: Jean-Yves BESSON Laisser un commentaire
karaf-logo_lg

Lors des phases de développement par itération il est parfois long et pénible de redéployer les binaires produits à chaque compilation vers les environnements de tests ou de recette. Dans cet article je vous propose découvrir le framework Apache Karaf qui est une alternative intéressante à des solutions plus lourdes (type Jenkins, Ansible, Docker, etc…) pour déployer vos applications depuis vos repository Maven en mode ‘devops’. Découverte, installation et prise en main Apache Karaf est ce que l’on appelle un ‘conteneur d’applications’, c’est-à-dire une application dont le but est d’embarquer et de gérer le cycle de vie d’autre applications. Il peut gérer des jars classiques mais également des jars répondants à la spécification OSGI, appelés ‘bundle’ qui contiennent les informations permettant de démarrer ou arrêter les services applicatifs et de gérer les dépendances. Une fois téléchargé depuis le site officiel et démarré on accède à la console de Karaf quiLire la suite…

Technologies

Apache Camel : Réalisez facilement vos applications orientées messages

Publié le : Auteur: Jean-Yves BESSON Laisser un commentaire
camel-box-small

Lorsque le nombre d’applications interagissant sur un même ESB augmente, le travail de son développeur devient de plus en plus complexe, d’une part parce que les technologies utilisées peuvent devenir de plus en plus hétérogènes et d’autre part parce que le nombre de contraintes métier va croissant. Le framework Apache Camel apporte une réponse complète et efficace à cette problématique, sous forme d’une puissante toolbox qui peut considérablement réduire le travail d’intégration de vos applications sur le bus d’entreprise. Je vous propose d’en découvrir les possibilités au travers de la réalisation d’une petite application Java/Spring illustrant son fonctionnement. Présentation Crée en 2007 et actuellement en version 2.15.2, ce framework écrit en Java, très léger et déjà très mature se fixe deux objectifs principaux : Fournir les composants nécessaires à l’interaction avec les différentes sources du bus de données. Il en existe aujourd’hui plus d’une centaine (MQ, HTTP, SQL, File, etc…) etLire la suite…

Technologies

AngularJS : Le tutoriel pour bien démarrer

Publié le : Auteur: Vincent Lemordant Laisser un commentaire
technologies

AngularJS, développé par Google depuis 2009, s’impose de plus en plus comme une référence dans le domaine des frameworks JavaScript. Une présentation détaillée est disponible sur ce blog : cliquez ici. Avec AngularJS, la navigation, la récupération des données et leur traitement ont lieu côté client. Le serveur n’a plus qu’à valider et envoyer les données, ce qui fournit à l’utilisateur une navigation plus fluide. Cette déportation de la logique permet de développer aisément des Single Page Application, ces applications web à la mode, accessibles via une page web unique. AngularJS apporte également de nombreux concepts importants :Lire la suite…

Technologies

Implémenter une authentification par formulaire avec OWIN et ASP.Net MVC 5

Publié le : Auteur: Pascal CROUZET Laisser un commentaire
asp-net-mvc-5

Depuis un moment déjà Microsoft porte ses efforts sur la modularité, la portabilité et la performance de la plateforme ASP.Net. C’est dans ce contexte qu’a été créé le standard OWIN. Le framework ASP.Net MVC 5 implémente ce standard pour ses fonctionnalités de sécurité. L’authentification par formulaire, très populaire sur la plateforme ne fait pas exception.Lire la suite…

Sécurité

La vérité sur les attaques « internet » récentes

Publié le : Auteur: Hervé Troalic Laisser un commentaire
securite

Passée l’effervescence des semaines passées suite notamment à l’attaque sur TV5, il nous a paru intéressant de faire un article sur « les attaques internet » et leur réalité effective. Faire la différence entre la menace réelle et la part de « fantasme » inhérente à ce genre d’attaques souvent relayée et amplifiée par des médias en mal de sensation. Pour illustrer notre propos nous reviendrons aussi sur la série d’attaques subit par des sites internet français début janvier 2015.Lire la suite…

Architecture

Go… Perf !

Publié le : Auteur: Marc Divet Laisser un commentaire
Go01

Pourquoi s’intéresser à Go ? Parce qu’à Go sont associés les mots suivant : simplicité, rapidité, concurrence, microservice et surtout parce que Docker est écrit en Go. Go est fait pour la partie serveur, c’est un concurrent direct de Node.js. Quelles sont les qualités d’une nouvelle plateforme de développement côté « serveur » ? Revenir à la simplicité, mettre en œuvre les principes de séparation d’intention et de cohérence forte. Simplicité pour le développeur, mais aussi un cycle de vie efficace de la conception, en passant par le développement, par les tests, par l’intégration et enfin par la mise en production.Lire la suite…

Architecture

SOA is dead long live Microservices

Publié le : Auteur: Marc Divet 2 commentaires
architecture

A n’en pas douter, les architectures microservice sont la tendance hype du moment. Une nouvelle vague de patterns d’architecture vient donc en écraser une autre. Et bien pas si sûr ! Martin Fowler, auteur bien connu, a publié un article intitulé « Microservices ». Dans cet article nous pouvons lire « the microservice style is very similar to what some advocates of SOA have been in favor of ». Cette phrase prend tout son sens pour certains architectes. Parmi ceux-ci, il y a Anne Thomas Manes qui dans un post fameux du 5 janvier 2009, « SOA is dead ; Long Live Services », écrivait : « the word “SOA” is dead, the requirement for service-oriented architecture is stronger than ever… If you want spectacular gains, then you need to make a spectacular commitment to change ». Il semblerait que l’architecture à base de microservices vise à atteindre cet objectif !Lire la suite…

Usages

Les solutions ITSM : sortir du Brouillard pour rentrer dans le Nuage ?

Publié le : Auteur: Olivier Bachelart Laisser un commentaire
nuage cloud

ITSM : Késako ? La gestion des services informatiques, plus connue sous le sigle anglais ITMS signifiant « Information Technology Service Management », est l’ensemble des dispositions particulières (rôles, fonctions, processus) mises en œuvre pour produire de la valeur ajoutée sous forme de services. C’est une pratique professionnelle qui s’appuie sur de la connaissance, de l’expérience, du savoir-faire et des outils.Lire la suite…