Hardening consulting

Un mini post pour souhaiter un bon anniversaire à Mario Bros. 30 ans déjà, et il n'a pas pris une ride notre plombier (italien, pas polonais !). On mesure les avancées faite en 30 ans entre la première version et ce qu'il se fait maintenant. C'est rigolo comme ces premières versions aux graphismes minimalistes (pour ne pas dire pourris) avaient quand même un attrait incroyable sur l'enfant que j'étais à l'époque.

J'ai appris que Nintendo avait sorti un nouveau jeux Mario Maker, qui permet de faire ses propres niveau. Ça donne presque envie de s'acheter un Wii (et une télé) pour essayer.

Pour FreeRDS, j'ai eu l'occasion de coder un peu dans Pulseaudio. Oui, oui, le sulfureux Pulseaudio, celui qui déchaine les passions. On a les inconditionnels des deux camps: ceux qui ne le supporte pas et le désinstalle systématiquement, et ceux qui aiment sa stabilité et sa plétore de fonctionnalités. Un peu comme avec tous les projets de Lennart Poettering la mauvaise foi est de mise chez les détracteurs, et on voit encore fleurir des critiques que les développeurs de Pulseaudio ont démontés plusieurs fois. En tout cas Pulseaudio est le serveur de son de l'écrasante majorité des gens sous Linux et il fait bien son boulot.

Autant le dire tout de suite, je suis dans le camp des adorateurs, j'ai beaucoup aimé travaillé dans et avec Pulseaudio. C'est vraiment un projet stable et mature, mais aussi compliqué. Évidement quand on veut de la performance, on arrive rapidement avec des architectures qui sont faite pour ça, et elle nécessite un peu d'apprentissage. Je vous propose donc un petit tour dans un module Pulseaudio pour faire du son à travers FreeRDS.

Lire la suite…

Et voilà SSTIC 2015 c'est fait, des conférences de très bon niveau cette année. Les années précédentes le niveau n'était pas toujours égal mais cette année à peu près tous les talks étaient vraiment de bonne qualité. L'année dernière, on peut dire que les talks de Quarklabs étaient vraiment au dessus du lot, cette année j'ai trouvé que c'était ceux de l'ANSSI qui se démarquaient.

Quelques bons talks:

  • tout d'abord il y avait la conférence d'ouverture qui était vraiment super, enfin des propos de sécurité dans le contexte d'un projet, et pas de la sécurité pour la sécurité. Le talk était fait par un des développeurs de chrome qui parlait des étapes du développement de chrome, et comment ils avaient progressivement introduit la compartimentation. Dans la même veine, une personne de l'ANSSI parlait de CLIP une version durci de Linux et de ses composants. Stemjail semble prometteur aussi. C'était vraiment intéressant de voir comment on met en place de la sécurité en pratique;

Lire la suite…

code

Titre un peu provoc', un petit billet sur les méthodes ou plutôt les outils de développement. Mais nous verrons que les deux sont liés.

Tout commence à la XDC 2014, où je voyais un vénérable développeur coder en live quelques rangs devant moi. Il bidouillait vraissemblablement Xorg, je le voyais ouvrir vim ou vi, faire quelques changements, compiler, lancer Xorg qui plantait ou non, et faire ça en boucle. Pour avoir bidouillé dans Xorg, ma remarque a été: "Wouah il code Xorg avec vim".

C'était un wouah qui voulait dire plein de chose: à la fois du respect et puis aussi "au secours".

Lire la suite…

Avec les récents projets de loi sur le fichage généralisé^W^W renseignement, j'ai pas mal lu sur la protection de la vie privée. C'est facile de crier avec les loups, de s'indigner, mais quoi faire en pratique ?

Évidement, il y a l'évangélisation. Parler des dangers de l'utilisation des Facebooks and co pour la vie privée: à l'occasion d'un repas de famille, entre collègues à la pause café, avec les potes de loisirs. Pour l'avoir fait un peu ces derniers temps, c'est fou comme les Google et compagnie ont super bien travaillé: une majorité de personnes a intégré que la vie privée "on n'a rien à cacher quand on n'a rien à se reprocher". Serait-on déjà dans une société de surveillance généralisée ?

On peut appeler les députés pour leur demander leur avis sur la nouvelle loi sur le renseignement, et tenter de les convaincre que c'est une atteinte à la vie privée. Il faut juste passer outre le dédain: est-ce bien normal que l'assistant parlementaire dise "ne vous inquiétez pas c'est bien moins dangereux que ce que vous avez entendu", sans aucun autre argument (ai confiance, crois en moi...). C'est un bon exercice si vous n'êtes pas encore convaincu que ceux qui votent les lois ont une inculture totale du numérique, et ne comprennent aucun des enjeux qui s'y rapportent.

Lire la suite…

RDP

Et oui déjà plus d'un an de développements divers et variés sur FreeRDS. Cet article donne quelques annecdotes et bugs que nous avons rencontré (et occis) depuis fin 2013.

Ah les clients !

Forcément quand on développe un serveur RDP, on est confronté à l'écosystème des clients RDP. Il y a mstsc, le plus connu, avec ses multiples versions associées aux versions de Windows. Et puis ceux qui vivent dans l'ombre: xfreerdp, rdesktop, les diverses versions mobiles de clients qui ont le même nom que le grand frère pour desktop mais dont le code n'a rien à voir.

Lire la suite…

Je cherchais depuis quelques temps un produit genre DropBox ou google drive pour partager documents et photos. Je voulais un logiciel opensource et tant qu'à faire l'héberger moi-même. J'ai fais quelques essais avec différents produits et finalement j'ai retenu pydio, ex Ajaxplorer. Malgré le nom il n'y a pas une goutte de python dedans, c'est une bonne vieille application en grouik grouik PHP.

L'installation s'est faite sur une debian wheezy.

Lire la suite…

Après le CCC, voilà la LCA 2015: Linux.conf.au. Cette année ce n'était pas en Australie mais en Nouvelle Zélande. Encore de bonnes conférences, parmis celles qui m'ont bien plu:

  • Un talk de Keith Packard sur les progrès de glamor, le serveur X qui fait le rendu en se servant de

    Lire la suite…

Déjà la fin de l'année 2014 et le début 2015. Bonne année 2015, meilleurs voeux pour cette nouvelle année, de la réussite dans les projets, #toussatoussa (même si en étant Charlie, elle commence pas terrible cette nouvelle année).

Enfin, qui dit fin de l'année, dit CCC, encore de bons talk cette année. Parmi ceux qui ont retenu mon attention:

Lire la suite…

Voici le contenu d'un mail que j'ai reçu il y a quelques semaines:

Dear Manager,

(If you are not the person who is in charge of this, please forward this to your CEO,Thanks)

This email is from China domain name registration center, which mainly deal with the domain name registration and dispute internationally in China. We received an application from Huake Ltd on November 17, 2014. They want to register " hardening-consulting " as their Internet Keyword and " hardening-consulting .cn ", " hardening-consulting .com.cn ", " hardening-consulting .net.cn ", " hardening-consulting .org.cn " domain names etc.., they are in China domain names. But after checking it, we find "hardening-consulting " conflicts with your company. In order to deal with this matter better, so we send you email and confirm whether this company is your distributor or business partner in China or not?

Best Regards,

Jim General Manager Shanghai Office (Head Office)

Le mail venait de ygregistryltd.com et la démarche ressemblait à ce qu'il peut se passer avec l'AFNIC en France. Sympa de prévenir avant qu'on se fasse cybersquatter !

Lire la suite…