Re: [FRnOG] [MISC] La "backdoor" de Chrome

> Le 7 avr. 2021 à 10:28, OB via frnog a écrit : > > > Le fait que chrome ne permettre plus d'outrepasser ce genre de sécurité est à > mon sens une décision plus stratégique que technique - à la limite tant mieux > pour Firefox, mais bon j'ai déjà des clients qui ont dû changer de >

[FRnOG] Re: [MISC] La "backdoor" de Chrome

On Wed, Apr 07, 2021 at 02:15:50AM +, Michel Py via frnog wrote a message of 43 lines which said: > Ce qui est un recul en matière de sécurité : le merdiciel contenu > dans les pubs et autres est en train de devenir impossible à > inspecter au niveau du pare-feu, ce qui me dérange. Ce qui

[FRnOG] Re: [MISC] La "backdoor" de Chrome

On Wed, Apr 07, 2021 at 12:22:38AM +0200, N R wrote a message of 71 lines which said: > Un parallèle avait été donné (je sais plus la ref exact, peut-être > le livre Cyberstructure de Bortzmeyer) avec une carte d'identité, Peut-être :-) > La différence avec les cartes d'identité, c'est que

Re: [FRnOG] [MISC] La "backdoor" de Chrome

Ok LE c'est génial on l'utilise beaucoup, ce que veut dire Erwan c'est que beaucoup d'équipements dont les IPMI cités ne sont pas programmables soit en local (pas de crontab, pas d'os où l'on pourrait déposer un LE) soit à distance pour pousser de nouveaux certificats. La seule méthode que je

[FRnOG] Re: [MISC] La "backdoor" de Chrome

On Tue, Apr 06, 2021 at 11:05:04PM +0200, OB via frnog wrote a message of 82 lines which said: > A quoi servent ces restrictions sur les certificats de la part des > navigateurs ? Cf. l'excellente réponse de François Lesueur. > Alors oui, _techniquement_ un certificat auto-signé pourrais

[FRnOG] Re: [MISC] La "backdoor" de Chrome

On Wed, Apr 07, 2021 at 12:00:41AM +0200, David Ponzone wrote a message of 32 lines which said: > Je sais pas si c’est lié, mais je remarque que les progrès d’HTTPS > permettent si j’ai bien compris de le rendre non-interceptable, Je ne vois pas bien à quoi tu fais allusion. Aucune technique

Re: [FRnOG] [Tech] Optimisation bascule BGP arista

Hmmm comme ça, j’ai envie de dire que le BGP de l’Arista est en mousse, mais juste parce que sans trop chercher, je vois pas de raison que ça mette tout ce temps. Ca devrait être 30 sec. > Le 7 avr. 2021 à 09:12, Laurent Laurent a écrit > : > > Bonjour Clément, merci pour ta réponse. > > La

Re: [FRnOG] [MISC] La "backdoor" de Chrome

> Et tu le déploie sur tes ILO/iDRAC/CIMC (j'ai cité 3 marques c'est OK > pour le CSA) ? :))) >Tous les 2 mois et demi... Regarde dans les tutos... Je ne dis pas que c'est ce qu'il te faut, c'est juste pour t'informer :) J'avais tout une gestion de certs auto-gérés, avec une petite applic

Re: [FRnOG] [MISC] La "backdoor" de Chrome

Le 07/04/2021 à 08:45, Francois Lesueur a écrit : Merci François pour ces liens :) -- Be Seeing You Number Six --- Liste de diffusion du FRnOG http://www.frnog.org/

Re: [FRnOG] [Tech] Optimisation bascule BGP arista

J’ai envie de te proposer de mettre ton arista2 en default gw, comme solution tempo :) Ca te fera un saut de plus en temps normal, mais pas à attendre la convergence quand Opérateur1 est HS. > Le 7 avr. 2021 à 09:40, Laurent Laurent a écrit > : > > Je n'ai pas encore ouvert un ticket chez

Re: [FRnOG] [Tech] Optimisation bascule BGP arista

Hello Tu peux explorer la piste du pic-edge pour préinstaller en FIB le backup path router bgp bgp additional-paths install Tu devrais avoir tes routes comme suit : * > x.x.x.x/yy * b x.x.x.x/yy J'ai pas encore testé avec un full feed mais en principe ça fonctionne. En tout cas en lab

RE: [FRnOG] [MISC] La "backdoor" de Chrome

Ha merci, vais y jeter un oeil Cordialement,   Olivier Varenne Co-gérant, Commercial & Développeur T +33 (0)4 27 04 40 00 | ipconnect.fr Suivez-nous ! > -Message d'origine- > De : frnog-requ...@frnog.org De la part de > Francois Lesueur > Envoyé : mercredi 7 avril 2021 08:46 >

Re: [FRnOG] [MISC] La "backdoor" de Chrome

Bonjour Le 07/04/2021 à 10:04, Oliver varenne a écrit : Oui merci je sais créer un cert letsencrypt ou autres astuces type import de CA etc. J'utilise généralement firefox Néanmoins, quand tu as besoin de créer 4 ou 5 VM différentes, juste pour 3h de test, tu as pas envie de t'emmerder 600

Re: [FRnOG] [MISC] La "backdoor" de Chrome

❦ 7 avril 2021 08:45 +02, Francois Lesueur: >> Ce qui est super chiant quand tu développes (car tu bosses généralement avec >> de l'auto signé) > > Pour les certificats de dév, il y a mkcert > (https://github.com/FiloSottile/mkcert) qui est super et exprès pour ça > : création d'une CA locale

Re: [FRnOG] [Tech] Optimisation bascule BGP arista

Je dirais la même chose à vue de nez, ou le BGP du transitaire en face. Après, ca peut vouloir aussi dire que les liens de transit ont un L2 entre les deux routeurs qui portent le BGP, et donc qu'un état de lien n'est pas actif entre les deux. Voir peut être si tu ne peux pas faire du BGP BFD

Re: [FRnOG] [Tech] Optimisation bascule BGP arista

J'ai peur aussi que ce soit le cas, mais pas forcément la partie BGP mais plus la partie hardware. Description Neighbor V AS MsgRcvd MsgSent InQ OutQ Up/Down State PfxRcd PfxAcc Operateur1 xx.xx.xx.xxx4 X1586 149982

Re: [FRnOG] [Tech] Optimisation bascule BGP arista

Tu peux envoyer le sh ip bgp sum de arista2, au cas où. Tu as ouvert un case chez Arista ? C’est peut-être un bug connu chez eux. > Le 7 avr. 2021 à 09:25, Laurent Laurent a écrit > : > > J'ai peur aussi que ce soit le cas, mais pas forcément la partie BGP mais > plus la partie hardware. >

Re: [FRnOG] [Tech] Optimisation bascule BGP arista

Je n'ai pas encore ouvert un ticket chez Arista car on est passé par un intégrateur et lui est au courant, ça va être la prochaine étape ;) Voici le sh ip bgp summary de l'arista 2 : Description Neighbor V AS MsgRcvd MsgSent InQ OutQ Up/Down State PfxRcd

Re: [FRnOG] [Tech] Optimisation bascule BGP arista

Si tu es dans un scénario master/backup, au lieu d'apprendre toutes les routes tu peux n'apprendre que la default, tu vas converger beaucoup beaucoup plus vite. Libre à toi d'ajouter quelques routes plus spécifiques à cette default pour optimiser un peu ton routage (genre par exemple les AS

RE: [FRnOG] [MISC] La "backdoor" de Chrome

Oui merci je sais créer un cert letsencrypt ou autres astuces type import de CA etc. J'utilise généralement firefox Néanmoins, quand tu as besoin de créer 4 ou 5 VM différentes, juste pour 3h de test, tu as pas envie de t'emmerder 600 fois dans la journée Tu utilise les certs autosignés

RE: [FRnOG] [Tech] Optimisation bascule BGP arista

Je confirme, "bgp additional-paths install" c'est magique pour ne pas attendre 20 min. Une petite doc pour optimiser le tout : https://eos.arista.com/inet-edge-config/ Arista EOS Central - Configurations and Optimizations for Internet Edge

Re: [FRnOG] [MISC] La "backdoor" de Chrome

❦ 7 avril 2021 08:55 +02, Francois Lesueur: >> Auto-signé ou pas c'est au moins chiffré, ce qui permet d'éviter >> l'evedropping passif. > > Le but du modèle HTTPS/CA, c'est de chiffrer *avec la bonne personne*. > L'auto-signé évite certes l'attaque purement passive, mais le but du > protocole

Re: [FRnOG] [MISC] La "backdoor" de Chrome

On Wed, 7 Apr 2021 at 11:05, Oliver varenne wrote: > > Oui merci je sais créer un cert letsencrypt ou autres astuces type import de > CA etc. > J'utilise généralement firefox > > Néanmoins, quand tu as besoin de créer 4 ou 5 VM différentes, juste pour 3h > de test, tu as pas envie de t'emmerder

Re: [FRnOG] [MISC] La "backdoor" de Chrome

reBonjour, Le 07/04/2021 à 08:55, Francois Lesueur a écrit : Le but du modèle HTTPS/CA, c'est de chiffrer *avec la bonne personne*. > [...] C'est un peu comme le déploiement de DNSSEC ou RPKI, tant que ce n'est pas contraint côté client, ça ne protège pas vraiment des attaques tel

Re: [FRnOG] [MISC] La "backdoor" de Chrome

Bonjour, Le 06/04/2021 à 20:19, Oliver varenne a écrit : > Ce qui est super chiant quand tu développes (car tu bosses généralement avec > de l'auto signé) Pour les certificats de dév, il y a mkcert (https://github.com/FiloSottile/mkcert) qui est super et exprès pour ça : création d'une CA

[FRnOG] [Tech] Optimisation bascule BGP arista

Bonjour à tous, Tout d'abord, merci de me lire. Ma demande : optimisation du temps de bascule BGP. Mon contexte : Nous avons nos propre AS v4 et v6. Nous avons un Operateur 1 qui arrive sur mon arista 1, et un opérateur 2 qui arrive sur mon arista 2. Entre les arista il y a un lien pour faire

Re: [FRnOG] [MISC] La "backdoor" de Chrome

Bonjour, Le 06/04/2021 à 23:05, OB via frnog a écrit : > Auto-signé ou pas c'est au moins chiffré, ce qui permet d'éviter > l'evedropping passif. Le but du modèle HTTPS/CA, c'est de chiffrer *avec la bonne personne*. L'auto-signé évite certes l'attaque purement passive, mais le but du protocole

Re: [FRnOG] [Tech] Optimisation bascule BGP arista

Bonjour Laurent, Le mercredi 07 avril 2021 à 08:49 +0200, Laurent Laurent a écrit : > Mon contexte : Nous avons nos propre AS v4 et v6. Nous avons un > Operateur 1 qui arrive sur mon arista 1, et un opérateur 2 qui arrive > sur mon arista 2. > Entre les arista il y a un lien pour faire de l'iBGP.

Re: [FRnOG] [Tech] Optimisation bascule BGP arista

Bonjour Clément, merci pour ta réponse. La bascule que j'ai mise en place n'est pas pour la partie LAN. Les 2 liens opérateur sont actif/actif. Si le lien opérateur 1 tombe (l'interface passe down) sans bascule du vrrp le chemin va bien être : lan arista 1 --> ibgp --> arista 2 --> opérateur 2,

Re: [FRnOG] [MISC] La "backdoor" de Chrome

On 07/04/2021 10:38, Wallace wrote: Ok LE c'est génial on l'utilise beaucoup, ce que veut dire Erwan c'est que beaucoup d'équipements dont les IPMI cités ne sont pas programmables soit en local (pas de crontab, pas d'os où l'on pourrait déposer un LE) soit à distance pour pousser de nouveaux

Re: [FRnOG] [MISC] La "backdoor" de Chrome

Le 07/04/2021 à 11:50, alexandre derumier a écrit : > > on le fait au boulot pour les cartes idrac de dell, via puppet qui > lance la commande racadm, > > avec un certif wildcard généré via letsencrypt sur un autre serveur > > > '/usr/bin/racadm sslkeyupload -f

Re: [FRnOG] [MISC] La "backdoor" de Chrome

Re-, Le 07/04/2021 à 10:28, OB via frnog a écrit : > Autant sur des systèmes qui ne sont accessible que sur le LAN , tel que > les bornes wifi, les imprimantes, ... bref des services qui pourraient > tout aussi bien tourner en HTTP finalement, je trouve ça overkill. Je > vais pas monter un CA

[FRnOG] Re: [MISC] La "backdoor" de Chrome

Je prends un FW du marché. Je récupère son CA autosigné par défaut pour l’inspection DPI. Je l’importe dans le PC du client. J’ai des alertes quand même pour accéder à certains sites ou pour les bloquer proprement (page d’erreur plutôt que redirect propre sur la page qui annonce le bloquage).

Re: [FRnOG] [MISC] La "backdoor" de Chrome

Hello, > On 7 Apr 2021, at 10:09, Vincent Bernat wrote: > > L'auto-signé fonctionne désormais en mode "trust on first use", comme > SSH. Cela apporte donc une authentification partielle. Dans Firefox, le > hash du certificat est stocké dans "cert_override.txt" dans le profil de > l’utilisateur.

[FRnOG] Re: [MISC] La "backdoor" de Chrome

On Wed, Apr 07, 2021 at 12:47:16PM +0200, David Ponzone wrote a message of 33 lines which said: > J’ai des alertes quand même pour accéder à certains sites ou pour > les bloquer proprement (page d’erreur plutôt que redirect propre sur > la page qui annonce le bloquage). Il faudrait voir le

Re: [FRnOG] Re: [MISC] La "backdoor" de Chrome

Tu parles de HSTS David je pense (et par extension Michel), ou là effectivement, on est à un point ou le serveur n'aime pas la blague de la manipulation de certificat en mode MITM et bloque toute tentative de dialogue, et où on se retrouve à devoir compter sur l'agent EDR de l'antivirus côté poste

Re: [FRnOG] [Tech] Optimisation bascule BGP arista

J'étais en train de lire le début du thread et alais proposer du BGP PIC. Et que vois-je plus loin, la réponse de Julien. Je pense vraiment que c'est la bonne voie où aller. Ça permet à tes routeurs de calculer une route de backup pour chaque préfix qui sera promue en cas de coupure.

[FRnOG] Re: Re: [MISC] La "backdoor" de Chrome

On Wed, Apr 07, 2021 at 04:44:42PM +0200, Adrien Rivas wrote a message of 88 lines which said: > Tu parles de HSTS David je pense (et par extension Michel), ou là > effectivement, on est à un point ou le serveur n'aime pas la blague de la > manipulation de certificat en mode MITM et bloque

Re: [FRnOG] [MISC] La "backdoor" de Chrome

Bonjour, J'aime bien utiliser XCA pour ça : https://hohnstaedt.de/xca/ Facile à installer (tourne sous Windows aussi) et facile à utiliser. Pierre. On Wed, 7 Apr 2021 at 08:48, Francois Lesueur wrote: > > Bonjour, > > Le 06/04/2021 à 20:19, Oliver varenne a écrit : > > Ce qui est super

RE: [FRnOG] [MISC] La "backdoor" de Chrome

> Oliver varenne a écrit : > Néanmoins, quand tu as besoin de créer 4 ou 5 VM différentes, juste pour 3h > de test, tu > as pas envie de t'emmerder 600 fois dans la journée Tu utilise les certs > autosignés > présents dans tes applications de test et voila. Enfin bref, moi ça me gonfle. +1, la

Re: [FRnOG] [MISC] La "backdoor" de Chrome

> Le 7 avr. 2021 à 19:11, Michel Py via frnog a écrit : > > > Yàplukà garder une VM avec XP et un vieux navigateur, c'est bon pour la > sécurité ça aussi :-( > Sans aller jusque là: https://github.com/themartorana/MultiFirefox Y a peut-être

Re: [FRnOG] [MISC] La "backdoor" de Chrome

quelqu’un a déjà essayé avec un ipmi supermicro de pousser un certificat ? pas été vérifié si ipmitool le permet, mais j’ai de gros doutes. > Le 7 avr. 2021 à 11:53, alexandre derumier a écrit : > >  >> On 07/04/2021 10:38, Wallace wrote: >> Ok LE c'est génial on l'utilise beaucoup, ce que