Pages:
Author

Topic: Un petit message de soutient à Davout et à l'équipe de bitcoinCentral (Read 3062 times)

newbie
Activity: 1
Merit: 0
A mon tour de laisser un petit message de soutient à l'équipe Bitcoin-Central !

Après contact avec l'équipe Support du site en raison d'un problème d'identification et de 2FA, je dois avouer être très très content de l'équipe, des délais de réponse tout comme du niveau de service reçu. On est vraiment en face de gens compétents et sérieux.

Plus spécifiquement, un énorme merci (et un 'hat off') à Victor pour son professionnalisme, rapidité et efficacité dans son support !
Je ne regrette aucunement être (et rester) chez vous plutôt qu'ailleurs!
Keep up the great work! Wink
legendary
Activity: 1372
Merit: 1008
1davout
je dois avouer que depuis l'affaire MtGox je suis extrêmement méfiant (voire cynique) vis-à-vis des soit disant "hacks" de plateformes et services liés au bitcoin.

Et c'est bien naturel.


Alors si un doute plane au dessus des acteurs principaux en france, j'estime qu'un peu de transparence (n'est-ce pas la philosophie de Bitcoin apres tout?) ne ferait pas de mal et vous laverai de tout soupçons fissa.

Nous avons : d'une part commandé un audit post-incident à une firme de sécurité informatique reconnue, d'autre part déposé plainte à la Befti en avril dernier, la Befti a par ailleurs des copies des disques de nos serveurs sous scellés. Donc je vous rassure, je dors sur mes deux oreilles (enfin, les jours ou j'ai pas une faille openssl à patcher en urgence!).


Sinon, autant vous dire qu'au moindre "hack" sur bcentral je serai le premier à troller grave Grin

A TA GUISE A TA GUISE.


legendary
Activity: 1260
Merit: 1002
je ne vois pas du tout en quoi ce post sur un thread demandant (a juste titre ou non, la n'est pas la question) un modérateur neutre soit considéré comme OT. fallait-il le poster dans un thread demandant un modérateur honnête plutot? Tongue

C'est une accusation, ou juste une espèce d'insinuation un peu puante ?
Faites un thread séparé, dans place de marché, si vous avez des choses à dire à ce sujet, merci.

Non aucune accusation.
Je cherche juste à comprendre cette histoire car je dois avouer que depuis l'affaire MtGox je suis extrêmement méfiant (voire cynique) vis-à-vis des soit disant "hacks" de plateformes et services liés au bitcoin.
Alors si un doute plane au dessus des acteurs principaux en france, j'estime qu'un peu de transparence (n'est-ce pas la philosophie de Bitcoin apres tout?) ne ferait pas de mal et vous laverai de tout soupçons fissa.
Sinon, autant vous dire qu'au moindre "hack" sur bcentral je serai le premier à troller grave Grin
A bon entendeur. Smiley
legendary
Activity: 1372
Merit: 1008
1davout
je ne vois pas du tout en quoi ce post sur un thread demandant (a juste titre ou non, la n'est pas la question) un modérateur neutre soit considéré comme OT. fallait-il le poster dans un thread demandant un modérateur honnête plutot? Tongue

C'est une accusation, ou juste une espèce d'insinuation un peu puante ?
Faites un thread séparé, dans place de marché, si vous avez des choses à dire à ce sujet, merci.
legendary
Activity: 1260
Merit: 1002
Au risque de me répéter:

Les post OT sont, comme leur nom le laisse présager, destinés à être splittés vers "Hors-sujet"
Je vous invite à créer votre propre thread si vous avez des choses à dire.

je ne vois pas du tout en quoi ce post sur un thread demandant (a juste titre ou non, la n'est pas la question) un modérateur neutre soit considéré comme OT. fallait-il le poster dans un thread demandant un modérateur honnête plutot? Tongue

edit: @guigui371 OT = off topic ; sur le net en général on parle anglais, histoire de rendre les infos accessible au plus grand nombre Wink

edit edit: et pourquoi le mettre dans la section hors sujet? le sujet existe et est directement lié à un service Bitcoin. je ne parle pas de politique ou de la couleur de mes chausettes.  Roll Eyes
legendary
Activity: 2114
Merit: 1693
C.D.P.E.M
c'est quoi un "OT" pas trouvé dans google

Out of Topic ?
si oui pourquoi ne pas dire HS  (ou même OfT) je ne traine pas trop sur les fofo anglophones
legendary
Activity: 1372
Merit: 1008
1davout
Au risque de me répéter:

Les post OT sont, comme leur nom le laisse présager, destinés à être splittés vers "Hors-sujet"
Je vous invite à créer votre propre thread si vous avez des choses à dire.
legendary
Activity: 1260
Merit: 1002
lol le mec met les topic de soutient dans place de marché,et les topics sur l escroquerie instawallet dans "hors sujet " Smiley))))))))))))))))))))))))))))))))))))

+1
Je n'ai aucun pb ac davout ou bcentral ou leur asso (dont j'applaudi les efforts que ce soit pour leur plateforme que pour leur initiative de lobbying en france) mais enterrer de cette maniere ma simple remarque sur cette affaire n'est pas un gage de neutralité et encore moins de transparence, mais plutot un aveux de culpabilité.
Apres moi, je men fou je comprend la tentation.
Business is business.  Grin
hero member
Activity: 868
Merit: 1000
Je viens rarement sur le forum mais cette fois-ci je ne regrette pas.

Merci les gars pour la franche tranche de rigolade. Beegcoin c'est bien d'etre ambitieux, c'est encore mieux de rester humble et reconnaitre quand il y a un probleme. Et la il y en a un ou deux... Si vous ne changez rien dans 6 mois vous avez coule d'une maniere (hacking) ou d'une autre (faillite parce que vous prenez la contrepartie des ordres de vos utilisateurs).

Vous voulez acheter ou vendre des bitcoins en euros, utilisez bitcoin-central, c'est une valeur sure Smiley

Raphael
sr. member
Activity: 286
Merit: 250
lol le mec met les topic de soutient dans place de marché,et les topics sur l escroquerie instawallet dans "hors sujet " Smiley))))))))))))))))))))))))))))))))))))

C'est un message de soutien lié à une place de marché. Le déplacement est justifié. Mais publie donc un article sur ton blog pour dénoncer cet abus incroyable.

Vous comptez fermer beegcoin quand ? D'autres victimes que vous comptez arnaquer ?

mon blog? Huh
legendary
Activity: 1372
Merit: 1008
1davout
lol le mec met les topic de soutient dans place de marché,et les topics sur l escroquerie instawallet dans "hors sujet " Smiley))))))))))))))))))))))))))))))))))))

Les post OT sont, comme leur nom le laisse présager, destinés à être splittés vers "Hors-sujet"
Je vous invite à créer votre propre thread si vous avez des choses à dire.


Vous auriez tout à fait été libres de publier un démenti et on en parlait plus.

Je n'ai aucun désir de démentir les débilités postée par le premier attardé anonyme venu (ni par les suivants d'ailleurs Smiley)


Le meilleur moyen serait encore de mettre à jour. Ne serait-ce que parce qu'un jour on ajoute SPDY pour la super feature qu'on vient de développer en oubliant une faille documentée... (si si, ça arrive).

Le jour ou on voudra ajouter SPDY on sera de toute façon obligés de recompiler nginx, CQFD.
donator
Activity: 756
Merit: 500
-Bitcoin & Ripple-
lol le mec met les topic de soutient dans place de marché,et les topics sur l escroquerie instawallet dans "hors sujet " Smiley))))))))))))))))))))))))))))))))))))

C'est un message de soutien lié à une place de marché. Le déplacement est justifié. Mais publie donc un article sur ton blog pour dénoncer cet abus incroyable.

Vous comptez fermer beegcoin quand ? D'autres victimes que vous comptez arnaquer ?
sr. member
Activity: 286
Merit: 250
lol le mec met les topic de soutient dans place de marché,et les topics sur l escroquerie instawallet dans "hors sujet " Smiley))))))))))))))))))))))))))))))))))))
jtz
member
Activity: 89
Merit: 10

Parfois ?

Oui, puisqu'il y a du factuel sur la version de nginx et paymium en mutualisé. Après que ça ne porte pas à conséquence est autre chose. Vous auriez tout à fait été libres de publier un démenti et on en parlait plus.


La présence du module SPDY était vérifiable de l'extérieur.
Vérifier c'est bien, mais vérifier jusqu'au bout, c'est encore mieux Wink

Le meilleur moyen serait encore de mettre à jour. Ne serait-ce que parce qu'un jour on ajoute SPDY pour la super feature qu'on vient de développer en oubliant une faille documentée... (si si, ça arrive).
legendary
Activity: 1372
Merit: 1008
1davout
Réponse concernant les éléments factuels :

CVE-2014-0133 : Nécessite que le module expérimental SPDY soit compilé dans nginx, ce qui n'est pas le cas.

CVE-2013-4547 : Permet de bypasser le contrôle d'accès de la directive "location" via des URL spécialement craftées pour ca. La seule utilisation de la directive "location" que nous faisons est de choisir pour chaque requête : soit renvoi de JS statique, soit reverse-proxy.

Le site corporate Paymium hébergé sur un mutu d'OVH est un non-évènement, il y a exactement zéro données confidentielles dessus.


parfois avec mauvaise foi

Parfois ?


Le minimum, c'est de vérifier.

La présence du module SPDY était vérifiable de l'extérieur.
Vérifier c'est bien, mais vérifier jusqu'au bout, c'est encore mieux Wink

Sur ce, je bouge le topic dans PdM.
donator
Activity: 756
Merit: 500
-Bitcoin & Ripple-
Une citation extraite d'un "article" de ces messieurs de beegcoin:
"Bimbamboum, dans le cul à davout, sa fait mal?"

Je ne sais pas ce qui est le plus consternant, l'absence totale d'intelligence ou le niveau d'orthographe... Donc oui une fois qu'on a lu sa ça on accorde plus aucune crédibilité à ces gens quoi qu'ils puissent dire.

Qu'est-ce qu'on s'en fout de ce qui est insignifiant ... lire un texte consiste précisément à déterminer l'information intéressante. Tout le monde devrait être formé à la lecture scientifique. La plupart des gens ne savent pas lire, les phrases les impactent émotionnellement et ils perdent complètement de vue ce qu'il y a de substantiel.

Sinon j'ai connu des paysans illettrés qui en savaient bien plus sur la nature et l'agriculture que des ingénieurs agricoles. La vérité c'est compliqué, et ça n'appartient à personne en particulier.


oui oui oui mais là c'est l'accumulation si tu veux ... Chercher le substantiel dans le vomi je fais pas, c'est un choix, pas une question de "formation à la lecture"....
jtz
member
Activity: 89
Merit: 10
Une citation extraite d'un "article" de ces messieurs de beegcoin:
"Bimbamboum, dans le cul à davout, sa fait mal?"

Je ne sais pas ce qui est le plus consternant, l'absence totale d'intelligence ou le niveau d'orthographe... Donc oui une fois qu'on a lu sa ça on accorde plus aucune crédibilité à ces gens quoi qu'ils puissent dire.

Qu'est-ce qu'on s'en fout de ce qui est insignifiant ... lire un texte consiste précisément à déterminer l'information intéressante. Tout le monde devrait être formé à la lecture scientifique. La plupart des gens ne savent pas lire, les phrases les impactent émotionnellement et ils perdent complètement de vue ce qu'il y a de substantiel.

Sinon j'ai connu des paysans illettrés qui en savaient bien plus sur la nature et l'agriculture que des ingénieurs agricoles. La vérité c'est compliqué, et ça n'appartient à personne en particulier.
donator
Activity: 756
Merit: 500
-Bitcoin & Ripple-
Je suis pas expert en sécurité mais on s'en branle pas un peu que le front soit en mutualisé ?

Tout dépend de ce qu'il y a sur le serveur de paymium.

Sinon il semblerait que ce ne soit pas une mais deux vulnérabilités pour la 1.4.2 (la seconde est complexe à mettre en oeuvre) :

CVE-2014-0133        Exec Code Overflow    2014-03-28    2014-03-31     None    Remote    High

Heap-based buffer overflow in the SPDY implementation in nginx 1.3.15 before 1.4.7 and 1.5.x before 1.5.12 allows remote attackers to execute arbitrary code via a crafted request.

Détails : http://www.cvedetails.com/vulnerability-list/vendor_id-10439/product_id-18640/version_id-156116/Igor-Sysoev-Nginx-1.4.2.html

Bref, ce n'est pas parce que quelqu'un fait feu de tout bois parfois avec mauvaise foi qu'il faut jeter tout ce qu'il dit. Le minimum, c'est de vérifier.



Une citation extraite d'un "article" de ces messieurs de beegcoin:
"Bimbamboum, dans le cul à davout, sa fait mal?"

Je ne sais pas ce qui est le plus consternant, l'absence totale d'intelligence ou le niveau d'orthographe... Donc oui une fois qu'on a lu sa ça on accorde plus aucune crédibilité à ces gens quoi qu'ils puissent dire.
jtz
member
Activity: 89
Merit: 10
Je suis pas expert en sécurité mais on s'en branle pas un peu que le front soit en mutualisé ?

Tout dépend de ce qu'il y a sur le serveur de paymium.

Sinon il semblerait que ce ne soit pas une mais deux vulnérabilités pour la 1.4.2 (la seconde est complexe à mettre en oeuvre) :

CVE-2014-0133        Exec Code Overflow    2014-03-28    2014-03-31     None    Remote    High

Heap-based buffer overflow in the SPDY implementation in nginx 1.3.15 before 1.4.7 and 1.5.x before 1.5.12 allows remote attackers to execute arbitrary code via a crafted request.

Détails : http://www.cvedetails.com/vulnerability-list/vendor_id-10439/product_id-18640/version_id-156116/Igor-Sysoev-Nginx-1.4.2.html

Bref, ce n'est pas parce que quelqu'un fait feu de tout bois parfois avec mauvaise foi qu'il faut jeter tout ce qu'il dit. Le minimum, c'est de vérifier.
donator
Activity: 756
Merit: 500
-Bitcoin & Ripple-
Autant je suis pour dénoncer la mauvaise foi, autant jeter l'eau avec le bébé me paraît excessif. Et ce qui est excessif est insignifiant.

Code:
Le site principal de paymium est hébergé chez ovh, non pas sur un serveur dédié, mais sur du mutualisé à l’adresse : 213.186.33.19  … En espérant qu’aucun site sur ce serveur ne sera compromis, car avec un simple shell et une petite faille dans un service utilisé, comme lynx ou autre, et c’est la cata pour le site paymium.

whois ip concordant pour 213.186.33.19 chez OVH. Le risque du mutualisé existe, après paymium ne contient peut être pas d'information sensible. A voir.

Code:
Bitcoin-central utilise un serveur qui se nomme nginx [...] pas mis ce logiciel à jour depuis… le 26 Mars 2013.

Code:
$ curl -I bitcoin-central.net
HTTP/1.1 301 Moved Permanently
Server: nginx/1.4.2
Date: Sun, 06 Apr 2014 10:44:28 GMT
Content-Type: text/html
Content-Length: 184
Connection: keep-alive
Location: https://bitcoin-central.net/

Erreur sur la date :
Site de nginx : 2013-07-17   nginx-1.4.2 stable version has been released.

National Vulnerability Database (NIST) : http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4547
nginx 0.8.41 through 1.4.3 and 1.5.x before 1.5.7 allows remote attackers to bypass intended restrictions via an unescaped space character in a URI.

Access Vector: Network exploitable
Access Complexity: Low
Authentication: Not required to exploit
Impact Type:Allows unauthorized disclosure of information; Allows unauthorized modification; Allows disruption of service




Je suis pas expert en sécurité mais on s'en branle pas un peu que le front soit en mutualisé ? Enfin bon au moins c'est un élément concret.
Pages:
Jump to: