Voila ce qui arrive quand on développe sur une machine sensible. Je te conseille de créer une machine virtuelle développement et de développer dessus. C’est chiant mais cela évite ce genre de déboire.
Je te conseille de créer une machine virtuelle développement et de développer dessus.
Sur FreeBSD les environnements jail sont bien adaptés pour ces séparations. Ils n’utilisent que peu de ressources (comme des containers) mais ils sont conçus avec la sécurité à l’esprit.
@mirabellette@nikaro quand j’ai commencé à développer, on ne parlait pas de « conteneurs » et c’était les débuts de qemu … rien à voir avec l’actuel kvm. :) Donc j’ai commencé en bordel (et en auto-didacte ; ce qui n’est pas sans lien). Et j’ai eu le tord de ne jamais revoir cette organisation pro/perso/assos.
C’est mésaventure me donne l’occasion de reposer les choses à plat avec un nouveau modèle de menaces que j’avais ignoré jusque lors. Je précisera ces choix d’organisation dans un futur billet une fois que tout ceci se sera un peu tassé.
A titre d’exemple, j’ai une machine pro et une machine perso et quand je fais du perso sur la vm du pro, ce que je limite au maximum, je le fais sur des choses safe avec un vpn avec une machine dédiée au vpn.
C’est en partie un positionnement juste, mais en partie le témoin d’une situation hautement problématique je pense.
Pour faire une analogie, qui aurait l’idée de dire qu’il faut systématiquement conteneuriser Debian au motif qu’il n’en n’a pas audité le code ? Et sur quoi ? Parce que rapidement il va y avoir un pb de récursivité. (hurd?)
Je ne suis pas un immense fan de Docker de manière générale, mais c’est ce genre de problèmes qui pourraient m’encourager à l’utiliser lorsque je développe des logiciels. Après faut fait gaffe de ce côté là aussi, on pourrait certainement se retrouver également avec des images vérolées…
S’il y a eu un accès distant, les frappes du clavier ou la visualisation de l’écran ont peut-être été enregistrées. Donc le mot de passe du trousseau de clés Firefox a pu être compromis, ainsi que le chiffrement GPG (clé privée récupérée et phrase de passe aussi). Il vaut mieux révoquer et changer tout cela. Il vaut mieux aussi repartir d’un nouveau système d’exploitation installé à neuf.
Tout à fait. Je l’ai honnêtement zappé lors de la rédaction et je me demande si ce n’est pas une réaction d’autodéfense de mon cerveau. À dire vrai, j’ai rédigé cet article et l’ai à peine relu (il est truffé de coquilles) : ça m’a
permit de canaliser la tempête dans mon cerveau et de réfléchir façon canard en plastique, au lieu de m’agiter ou désespérer.
Merci pour le partage, c’est très intéressant !
Voila ce qui arrive quand on développe sur une machine sensible. Je te conseille de créer une machine virtuelle développement et de développer dessus. C’est chiant mais cela évite ce genre de déboire.
Une bonne leçon :)
Sur FreeBSD les environnements
jailsont bien adaptés pour ces séparations. Ils n’utilisent que peu de ressources (comme des containers) mais ils sont conçus avec la sécurité à l’esprit.[Comment removed by author]
@mirabellette @nikaro quand j’ai commencé à développer, on ne parlait pas de « conteneurs » et c’était les débuts de qemu … rien à voir avec l’actuel kvm. :) Donc j’ai commencé en bordel (et en auto-didacte ; ce qui n’est pas sans lien). Et j’ai eu le tord de ne jamais revoir cette organisation pro/perso/assos.
C’est mésaventure me donne l’occasion de reposer les choses à plat avec un nouveau modèle de menaces que j’avais ignoré jusque lors. Je précisera ces choix d’organisation dans un futur billet une fois que tout ceci se sera un peu tassé.
Ne jamais mélanger les environnements ;)
A titre d’exemple, j’ai une machine pro et une machine perso et quand je fais du perso sur la vm du pro, ce que je limite au maximum, je le fais sur des choses safe avec un vpn avec une machine dédiée au vpn.
[Comment removed by author]
C’est en partie un positionnement juste, mais en partie le témoin d’une situation hautement problématique je pense.
Pour faire une analogie, qui aurait l’idée de dire qu’il faut systématiquement conteneuriser Debian au motif qu’il n’en n’a pas audité le code ? Et sur quoi ? Parce que rapidement il va y avoir un pb de récursivité. (hurd?)
Je ne suis pas un immense fan de Docker de manière générale, mais c’est ce genre de problèmes qui pourraient m’encourager à l’utiliser lorsque je développe des logiciels. Après faut fait gaffe de ce côté là aussi, on pourrait certainement se retrouver également avec des images vérolées…
Clairement. Et plein de gens faisant du docker en root, c’est juste pire et plus délicat à détecter. :)
S’il y a eu un accès distant, les frappes du clavier ou la visualisation de l’écran ont peut-être été enregistrées. Donc le mot de passe du trousseau de clés Firefox a pu être compromis, ainsi que le chiffrement GPG (clé privée récupérée et phrase de passe aussi). Il vaut mieux révoquer et changer tout cela. Il vaut mieux aussi repartir d’un nouveau système d’exploitation installé à neuf.
Tout à fait. Je l’ai honnêtement zappé lors de la rédaction et je me demande si ce n’est pas une réaction d’autodéfense de mon cerveau. À dire vrai, j’ai rédigé cet article et l’ai à peine relu (il est truffé de coquilles) : ça m’a permit de canaliser la tempête dans mon cerveau et de réfléchir façon canard en plastique, au lieu de m’agiter ou désespérer.
[Comment removed by author]
[Comment removed by author]
J’ai pris le temps d’ouvrir un thread ici si ça vous intéresse : https://discuss.python.org/t/improving-risks-and-consequences-against-pytosquatting-on-pypi/5090
En tout cas apt install python-request au 31 juillet 2020 n’aurait produit pas le même résultat.