-
HPKP best practices if you choose to implement - Server - Let's Encrypt Community Support
October 20, 2016 at 3:42:23 PM GMT+2 - permalink -https://scotthelme.co.uk/hpkp-http-public-key-pinning/
https://scotthelme.co.uk/hpkp-toolset/https://tools.ietf.org/html/rfc7469#page-7
eli5 :
Si le browser reçoit un header "Public-Key-Pins" avec une liste de hash, il va les stocker en local avec le domaine associé (pour un temps donnée par le max-age, la rfc conseille 2 mois)
Firefox les stocke au même endroit que les HSTS : http://security.stackexchange.com/questions/92954/how-can-i-see-which-sites-have-set-the-hsts-flag-in-my-browserQuand un browser se connecte en https à un site, et qu'il a en local une entrée HPKP, il va y avoir une condition pour que la connexion s'établisse :
- Un des hash de l'entrée HPKP doit correspondre au hash d'une clé publique d'un des certificats de la chaine de certification
Les hashs dans le header qui ne correspondent à rien sont considérés comme des backup.
Si aucun hash de l'entrée HPKP locale ne correspond à aucun hash de clé publique de la chaine : impossible de se connecter.
à partir de là, on peut implémenter comme on veut HPKP, en étant plus ou moins strict.
Par exemple, pour https://infomee.fr, grâce à https://report-uri.io/home/pkp_hash on peut voir les hash des clés publiques de ma chaine de certification :
Leaf : Here is your PKP hash for infomee.fr: pin-sha256="oM+/1421Ew13AzUUxBTNbJjxofRe40CxO2Lt89BUeHk="
Intermediate : Here is your PKP hash for Let's Encrypt Authority X3: pin-sha256="YLh1dUR9y6Kja30RrAn7JKnbQG/uEtLMkBgFF2Fuihg="
Root : Here is your PKP hash for DST Root CA X3: pin-sha256="Vjs8r4z+80wjNcr1YKepWQboSIRi63WsWXhIMN+eWys="Si je décide de renvoyer dans le header Public-Key-Pins seulement le hash du root :
- un certificat délivré par une autre CA root ne pourra être utilisé pour faire du mitm : mes visiteurs auront un block
Ce qui est déjà bien, mais si cette autorité est corrompue, un certificat frauduleux pourra toujours être utilisé.. C'est là qu'on peut aller plus loin et utiliser l'intermediate seulement ou encore plus loin le leaf seulement
Test :
- on pin le leaf et le root
- change le certif pour avoir un leaf différent
- on reload : ça passe car il reste toujours un valid pin
Pour être top secure mais touchy à config/gérer : pin seulement le leaf (et bien sur un backup)
-
https://community.letsencrypt.org/t/hpkp-best-practices-if-you-choose-to-implement/4625
-
CloudWatch Logs Agent Reference - Amazon CloudWatch Logs
October 20, 2016 at 2:56:17 PM GMT+2 - permalink -Donc AWS propose un service équivalent à elastic beats
L'agent est paramétrable pour collecter tel ou tel fichier de logs et les envoyer dans cloudwatch
-
http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AgentReference.html
-
How can I see which sites have set the HSTS flag in my browser? - Information Security Stack Exchange
October 20, 2016 at 12:21:27 PM GMT+2 - permalink -Un peu une saloperie ce HSTS tout de même
Chrome:
Open Chrome Type chrome://net-internals/#hsts in the address bar of chrome Query domain: if it appears as a result, it is HSTS enabledFirefox:
Open file explorer Copy paste %APPDATA%\Mozilla\Firefox\Profiles\ in the address bar of file explorer (for Linux it is ~/.mozilla/firefox) Double click the folder you see (if you have multiple FF profiles, there will be multiple folders) Open SiteSecurityServiceState.txt. This textfile contains sites that have enabled HSTS.
-
http://security.stackexchange.com/questions/92954/how-can-i-see-which-sites-have-set-the-hsts-flag-in-my-browser
-
Note: man cat
October 19, 2016 at 3:14:31 PM GMT+2 - permalink --T, --show-tabs
display TAB characters as ^I
-
https://links.infomee.fr/?z9hTFw
-
Note: Create an EBS and add a name Tag oneliner
October 19, 2016 at 2:56:45 PM GMT+2 - permalink -aws ec2 create-volume --size 40 --availability-zone eu-west-1a --volume-type gp2|grep -Eo 'vol-[^"]+'|xargs -I % aws ec2 create-tags --resources % --tags Key=Name,Value=my_name
-
https://links.infomee.fr/?76LRBQ
-
Configuring elastic instances to use the EBS - Atlassian Documentation
October 18, 2016 at 10:26:02 AM GMT+2 - permalink -bin/customiseInstance.sh - This script is run on startup of an elastic instance. We recommend that you do not customize this script, as it is overwritten when rewarmEbsSnapshot.sh is run.
-
https://confluence.atlassian.com/bamboo/configuring-elastic-instances-to-use-the-ebs-289277121.html
-
![thumbnail]()
Releases · shaarli/Shaarli
October 14, 2016 at 4:15:55 PM GMT+2 - permalink -Shaarli now uses Composer to handle its dependencies: master branch tarball no longer works out of the box. Use our release archives, or follow the install documentation.
:(
-
https://github.com/shaarli/Shaarli/releases
-
Note: aws
October 13, 2016 at 2:50:14 PM GMT+2 - permalink -EB
IAM
EC2
ELB
ECSELB
ECS
S3
RDS(Aurora)VPC
Subnets
Routing
NAT
ACLs
Security groups
Group policyCloudwatch
Flowlogs
-
https://links.infomee.fr/?ldAx8Q
-
Note: get aws flow logs
October 13, 2016 at 2:37:35 PM GMT+2 - permalink -aws logs get-log-events --log-group-name XX --log-stream-name YY --start-time 1476350746000
Je commence à bien aimer aws.
-
https://links.infomee.fr/?ZHDmkA
-
![thumbnail]()
Amazon RDS FAQs – Amazon Web Services (AWS)
October 12, 2016 at 11:22:42 AM GMT+2 - permalink -Q: What is a DB Subnet Group and why do I need one?
A DB Subnet Group is a collection of subnets that you may want to designate for your RDS DB Instances in a VPC. Each DB Subnet Group should have at least one subnet for every Availability Zone in a given Region. When creating a DB Instance in VPC, you will need to select a DB Subnet Group. Amazon RDS then uses that DB Subnet Group and your preferred Availability Zone to select a subnet and an IP address within that subnet. Amazon RDS creates and associates an Elastic Network Interface to your DB Instance with that IP address.
Please note that, we strongly recommend you use the DNS Name to connect to your DB Instance as the underlying IP address can change (e.g., during a failover).
For Multi-AZ deployments, defining a subnet for all Availability Zones in a Region will allow Amazon RDS to create a new standby in another Availability Zone should the need arise. You need to do this even for Single-AZ deployments, just in case you want to convert them to Multi-AZ deployments at some point.
-
https://aws.amazon.com/rds/faqs/
-
Note: mitm call app https
October 12, 2016 at 11:00:23 AM GMT+2 - permalink -ngrep pas glop quand https, du coup :
sudo apt install mitmproxy
mitmdump -v -d
Dans l'application, configurer la lib (curl ou autre..) pour utiliser un proxy http/https sur 127.0.0.1:8080 (mitmdump écoute sur ce port)
ou bien plus violent :
sysctl -w net.ipv4.ip_forward=1
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8080Dans tous les cas, la lib va raler car certif pas ok : utiliser insecure si possible dans l'app ou bien generer certif et le trust au niveau de l'os
à partir de là on peut voir les call/response avec mitmdump
-
https://links.infomee.fr/?NTFdDw
-
![thumbnail]()
-
SNCF : à quoi sert donc le TLD .sncf qui a coûté si cher ? - ZDNet
October 11, 2016 at 4:48:22 PM GMT+2 - permalink -eh bah, 25000$ de redevance annuelle pour un tld
ya interet à en vendre du domaine pour rentabiliser cette redevance
-
http://www.zdnet.fr/actualites/sncf-a-quoi-sert-donc-le-tld-sncf-qui-a-coute-si-cher-39842702.htm
-
AWS - VPC Networking for Beginners - DZone Cloud
October 11, 2016 at 10:49:27 AM GMT+2 - permalink -So, an elastic ip and an igw in the routing table are two criterion for an instance to be available directly from the internet. Subnets with such routing tables attached to them are also known as public subnets (non-local traffic routed to internet gateway), as any instance with an elastic ip can be publicly available from this subnet.
-
https://dzone.com/articles/aws-vpc-networking-beginners
