Se lever pour

Aller au travail,

Tu arrives au travail,

Ton chef te dis qu’en faite la fin de tes vacances c’est pas aujourd’hui mais demain,

Tu quittes ton travail,

Tu rentres à la  maison.

 

Quand ça se passe comme ça, c’est cool ! Les petits bonheurs d’un salarié qui va jouer à CSGO (Bientôt espionner, si ça ne l’est déjà par la DGSE ?)

PS : Sur CSGO non plus ils ont toujours pas enlevé les décos de Noël.

Poulet en tenue de lutin. Et oui je joue en graphisme ultra-low, je préfère comme ça !

 

Google Chrome, le bavard !

Hello,
Aujourd’hui je vais  parler de Google Chrome bien que je ne l’utilise pas ! (plus depuis un moment)

Ce petit billet va s’articuler autours de cette vulnérabilité :
https://seclists.org/fulldisclosure/2019/Jan/2

Alors vous n’êtes pas sans savoir que sur Android, il existe plusieurs navigateurs Web tel Firefox. Le plus utilisé d’entre eux est « Google Chrome » sans grande surprise.
Il peut en exister d’autres, mais globalement ils utiliseront soit le moteur de Chrome (WebView) soit celui de Firefox (Gecko).
Microsoft possédait lui aussi le sien fait maison (Edge), mais abandonné récemment au profit de WebView.

Entre parenthèses, un problème de grande taille est en train de se poser, vis-à-vis de la domination du Web par Google via WebView.
Domination sous plusieurs formes, mais ce n’est pas le but du billet de l’expliquer, et je m’y prendrai sûrement très mal.

Seulement voila, sur mobile, Chrome est un peu trop bavard par défaut et divulgue une info qui peut être considéré comme « sensible » pour le terminal via le « HTTP Header ». Cette info est le « Build Number » soit le Numéro de version du système installé sur votre téléphone. Ce numéro est spécifique à l’appareil et est choisi par le fabricant.
Une personne mal intentionné peut se servir de ce Numéro de Build pour connaître les vulnérabilités du téléphone. Avec ce numéro, on connaît la version exacte du système Android et à quelle niveau il en est vis-à-vis des Mises à jours de sécurité.

General Header. Request Line. Status Line. Request Header. Response Header. Entity Header. Empty Line. Message Body. (entity body or encoded entity body.

La disclosure annonce que Chrome fût mis à jour, et que le problème est réglé.

Du coup j’ai look dans mes logs apaches en mode gros porc (avec un cat et un grep), voici un résultat au hasard pour Chrome:
(Linux; Android 7.0; SM-G928F Build/NRD90M;wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/71.0.3578.99 Mobile Safari/537.36"
SM-G928F => GalaxyS7
NRD90M => Android 7.0.0, première build de Android Nougat, date de 2016…

Et voici deux En-tête HTTP différents depuis Firefox sur un Android :
(Android 8.1.0; Mobile; rv:64.0) Gecko/64.0 Firefox/64.0"
(Android 4.4.2; Tablet; rv:62.0) Gecko/62.0 Firefox/62.0"

C’est beaucoup moins bavard ! On peut savoir la version d’Android certes de base, mais pas le modèle de l’appareil, ni le numéro de version.

Ce qui est « Con » c’est que Chrome laisse fuiter une info comme ça tranquille alors que sur Firefox il faudrait vous l’extirper à coup de JS.
Pour le navigateur le plus utilise c’est très moyen. Et il y a de grandes chances qu’a l’avenir, grâce a leur futur hégémonie, Google contrôlera les standards du web de manière implicite…
Du coup sur un Android je conseille Firefox, sur le store Fdroid vous trouverez Fennec que je conseil. Et on y installe Noscript et ublock-origin à minima.
Si vous persistez à utiliser Google Chrome, apparemment vous êtes « protégés » en utilisant la fonction « Voir version ordinateur » (Je n’ai pas fait de test).

@++ et hésitez pas à réagir 😉 .

https://www.androidpolice.com/2016/08/23/aosp-changelog-posted-for-android-nougat-v7-0-0_r1-nrd90m/
https://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-19997/Google-Android.html
https://www.androidpolice.com/android-build-number-date-calculator/

le dépotoir [4]

Hello,

Bienvenue à toi dans ce nouveau dépotoir.

Chiffrement :
Article intéressant car il permet de comprendre les enjeux actuels au niveau politique (Quand un politique parle de chiffrement, lui même ignore le sujet. Renseignez vous sur les pares-feux « Open-Office ») mais aussi de comprendre quels sont les avantages/faiblesses de quelques outils présentés (WhatsApp, Signal).
Cet article est pas exhaustif, mais pour mettre un premier pied à l’étrier ça va ! Pour un non initie, il permet d’appréhender le concept de chiffrement de bout en bout, et de choisir en fonction sa solution de communication. Logiquement.

https://reflets.info/articles/des-utilisateurs-fantomes-et-des-portes-derobees-dans-les-messageries

Streaming/Culture :
Vous connaissez bien évidemment Netflix ? Le temple de la consommation audiovisuelle du 21ème siècle. Aujourd’hui les temples sont virtuels et un nouveau vient d’apparaître, il s’appelle ImagoTV, il en est encore au stade de « Beta » (Il reste des échafaudages autours du temple et une légère odeur de peinture fraîche à l’intérieur, sinon à part ça, ça va!).
Seulement ce temple la contiendra que des contenus « engagés », donc des documentaires comme des films.

http://imagotv.fr/php/homepage.php

ADN en France :
Un article qui pointe le fait qu’en France, passer un test ADN peut coûter 3750€ d’amende.
Je l’ai pas lu en entier, mais bon outre le fait que légalement ce soit interdit, même si c’était autorisé faudrait peut être se l’interdire pour soi. Un test ADN sera fait par une compagnie privée qui aura pour seul objectif de faire du pognon, quid de l’éthique, votre test restera t’il vraiment personnel ? quid de la fiabilité du test ? Ça peut rendre un processus de décisions personnels complètement erroné. Je ne remet plus la main sur le documentaire de Élise Lucet sur l’ADN, ou elle revient sur ces problématiques. Si vous le trouvez, lookez-le.

https://bonus.usbeketrica.com/article/in-france-buying-a-dna-test-can-cost-you-a-eu3750-fine
https://www.france.tv/france-2/complement-d-enquete/784045-adn-pour-tous-miracle-ou-cauchemar-adn-la-foire-aux-tests.html

GAFAM et Impôts :
Sur mon billet pour les Gilets Jaunes j’ai évoqué le fait que ce mouvement est basé sur des plateformes qui contribuent pleinement à ce qui était dénoncé (Du moins une partie). L’ami Tuxicoman à fait un résumer de la contribution nationale des GAFAMS.

https://tuxicoman.jesuislibre.net/2019/01/combien-dimpots-ont-paye-les-gafa-en-2017.html

Surconsommation :
Super billet, sur la surconsommation.
On a tous le pouvoir de changer les choses. Faut se boycotter soit même et changer les petites habitudes petit à petit. Le sapin qui clignote est ce vraiment utile sérieux ? Peut on pas faire autrement… ?
Perso je ne fête pas Noël, mais quand je vois des maisons de « GJ » qui continuent de clignoter à l’heure ou je publie, je me dis juste « Putain ».
Je deviens intolérant à ce genre d’incohérence…
Et si j’ai un enfant la société me laissera t’elle l’élever en dehors de tout ce cirque sans me le reprocher ?
Et si oui, comment faire pour pas que cela lui soit nocif ? Cette avalanche de cadeau (Souvent vite oublié pour les bambins si ceux-ci préfèrent pas le carton de l’emballage…), ça met pas dans le droit chemin pour l’avenir.

https://cheziceman.wordpress.com/2019/01/05/blog-surconsommation/

 

@++