(via twitter ashar javed)
#XSS: 1,677,721,600,000,000 ways to encode <script> tag!
(see: https://www.owasp.org/images/3/3d/ESAPI_for_OWASP.pdf … )
by @planetlevel pic.twitter.com/MwSgcFTQAn

Doc original : https://www.owasp.org/images/3/3d/ESAPI_for_OWASP.pdf

Installer arch sur le raspberry.
pour commencer : http://elinux.org/RPi_Easy_SD_Card_Setup
puis intro pacman : http://wiki.archlinux.fr/Pacman
editer les mirrors : https://wiki.archlinux.org/index.php/Mirrors

Pareil, lien passé il y a longtemps chez sebsauvage, que je retrouve.
A garder comme contre argument sur la video surveillance.

Vu chez sebsauvage il y a ...un peu moins d'un an. Une discussion et ça me revient. Alors avant de ne plus m'en souvenir...
PwdHash, extension pour firefox (portée pour Chrome & Opera) est à l'initiative du laboratoire de sécurité du département de "computer science" de l'Université de Stanford.
Constat:
Les utilisateurs ont tendance à utiliser le même mot de passe sur tous les sites... Il suffit d'une compromission pour que toutes vos données soient aisément accessibles :-( Mais il est impossible de se souvenir d'une multitude de mots de passe complexes...
Différentes solutions existent :
    - un même mot de passe avec des variations d'écriture: password, pAssWoRd, P455w0rD,...
    - un même mot de passe avec des variations en fonction du site : gmailPassword, linkedinPassword, ...
    - un gestionnaire de mot de passe avec un "master password" pour y accéder (existe sur les différents navigateurs)
    - un mélange des techniques précédentes...

Idéalement : un mot de passe doit être long (minimum 8 caractères), comporter des minuscules, des majuscules, des chiffres et des symboles. Il ne doit être dans aucun dictionnaire. Il ne doit pas être inscrit sur un post-it et collé sur l'écran...

PwdHash propose une approche intéressante : En fonction de l'adresse du site concerné, l'extension génère un mot de passe (hash) complexe. L'utilisation est simple : appuyez sur "F2" ou faites commencer votre mot de passe par "@@" et l'extension se charge de remplacer ce que vous saisissez par le hash. A l'occasion, ça protège aussi du Phishing puisque dans ce cas, le hash généré sera différent (comme l'adresse de la page sera différente...).
Les mots de passe ne sont pas stockés mais généré chaque fois? Si on ne dispose pas de l'extension sur une machine il suffit de se rendre sur leur site : https://www.pwdhash.com/

A voir : http://crypto.stanford.edu/PwdHash/

Dans le même style avec un bookmarklet : http://supergenpass.com/

Oh et puis sinon.... http://imgs.xkcd.com/comics/password_strength.png

Utilisation de la console Javascript dans les différents navigateurs.
console.log("Zoriez-pas/vu\\Mirza?")

Jeremiah Grossman (white hat, spécialisé XSS) a oublié le mot de passe qui décrypte ses données sur le disque dur de son Mac ... LE cauchemar ! Boulot, scripts, documents persos... tout y est !
Après plusieurs jours et nuits perturbés, il demande de l'aide sur twitter (15000 followers épris de sécurité) et éprouve son sens de l'humour. Il sera aidé par les dev de John The Ripper et par Jeremi Gosney (qui peut cracker n'importe quel mot de passe de windows en moins de 6h grâce à un cluster de 25 GPU). Belle frayeur !