Portail de l'AF

Nouvelles

Projet du Mois FB: Yoyo@home

Faites un don

Shoutbox

modesti:
2024-09-18, 10:45:41
Moi aussi, Jéjé, mais sur le thème par défaut, c'est en haut à gauche :spamafote:
JeromeC:
2024-09-17, 21:34:13
Selon le thème du coup c'est pas forcément en haut à gauche, moi là je l'ai en haut à droite
modesti:
2024-09-15, 21:31:07
Avec plaisir, zelandonii :)
zelandonii:
2024-09-15, 20:39:43
Merci @modesti car je n'avais pas vu ce header.  :+1:
modesti:
2024-09-15, 10:37:01
En haut à gauche, tu as ton identifiant et une flèche à droite de celui-ci. Tu cliques et choisis le menu "Affichage et disposition"
zelandonii:
2024-09-15, 10:30:15
Ah oui ! Comment fait-on ça ?
JeromeC:
2024-09-12, 21:09:09
(tu peux d'ailleurs changer le thème)
JeromeC:
2024-09-12, 21:08:45
Re-bienvenu sur la nouvelle version du forum :)
zelandonii:
2024-09-11, 20:34:12
Très sympa cette nouvelle interface.
zelandonii:
2024-09-11, 20:34:00
Ça tourne du tonnerre !
zelandonii:
2024-09-11, 20:33:46
Pour faire plus simple, j'ai remplacé le waterblock par un ventilateur et j'ai rajouté deux ventilos.
zelandonii:
2024-09-11, 20:33:11
Quelques semaines que je n'étais pas venu pour cause de panne du PC. C'était le watercooling qui n'avait plus de liquide.
zelandonii:
2024-09-11, 20:32:11
Salut à tous !
JeromeC:
2024-09-10, 10:08:05
Autre option : on déménage tous au Groenland et voila.
ousermaatre:
2024-09-08, 19:21:28
 :hello: Meuh non, il y aura tjrs des raids, seulement, ils seront peut-être, plus souvent sur les mêmes thèmes.
[AF>Libristes] alain65:
2024-09-08, 18:02:24
Ça serait dommage, c'est la seule compète à laquelle j'ai le temps de participer. On bascule sur les projets du raid...Et plus qu'à attendre.
JeromeC:
2024-09-08, 16:15:50
Au train où vont les choses on fera bientôt plus aucun RAID alors...... :/
[AF>Libristes] alain65:
2024-09-07, 06:05:51
Une idée comme ça en passant : Le Raid d'automne au tout début de l'hiver et le raid de printemps à la fin  :siflotte:
[AF>Libristes] alain65:
2024-09-07, 06:04:21
@modesti : Ça c'est une bonne nouvelle ;)
modesti:
2024-09-06, 11:43:05
Petite info pour les fans de raid : compte tenu des températures (même si elles ont baissé un peu), le raid d'automne sera transformé en raid d'hiver
modesti:
2024-09-03, 10:48:11
Et le retour d'ARP  :bounce:
Maeda:
2024-09-03, 09:51:08
Un nouveau projet pour WCG pour la fin d'année ? https://www.worldcommunitygrid.org/forums/wcg/viewthread_thread,46744_offset,0
Maeda:
2024-08-28, 08:55:36
Prêt !
modesti:
2024-08-26, 15:13:48
Salut les AFones ! :hello: Prêts pour la rentrée ?
modesti:
2024-08-24, 11:11:06
Je confirme: ça marche! Merci beaucoup Sébastien :jap:
Maeda:
2024-08-24, 08:42:05
C'était ça, ça marche :jap:
Sébastien:
2024-08-24, 08:28:08
J'ai désactivé le rafraîchissement automatique de la shoutbox
Maeda:
2024-08-23, 21:59:28
@Sébastien : je ne suis pas sûr que tu aies saisi le souci soulevé par modesti. Si on ne touche à rien (pas de clic) dans la shoutbox, mais qu'on scroll vers le bas pour lire, au bout de ~2sec d'arrêt (pour lire), il remonte tout en haut (peu pratique

Recent

[BOINC][Trad] Boinc est-il sécurisé?

Démarré par Djezz, 27 Juin 2004 à 18:58

« précédent - suivant »

0 Membres et 1 Invité sur ce sujet

Djezz

Traduction du site de Boinc sur la sécurité.
Traduit par Djezz pour les Amis de la mer donc pour l'Alliance Francophone. (je sais je me répète mais j'aime bien cette phrase)
http://amimerboinc.free.fr/dossiers/dossiers.php?id_dossier=60

CitationBeaucoup de types d'attaques sont possibles dans la participation du public au calcul partagé.

    * Falsification de résultat.
      Les attaquants renvoient des résultats incorrects au projet.
    * Falsification de crédit.
      Les attaquants renvoient des résultats réclamant plus de temps-CPU qu'il n'a été employé réellement.
    * Distribution d'un exécutable malveillant.
      Les attaquants s'introduisent dans le serveur de BOINC et, en modifiant la base de données et les dossiers, essayent de distribuer leur propre exécutable (par exemple un programme de virus) déguisé comme application de BOINC.
    * Surcharge du serveur de données.
      Les attaquants envoient à plusieurs reprises de grands dossiers aux serveurs de données de BOINC, remplissant leurs disques et les rendant inutilisables.
    * Vol d'information de compte de participant par attaque du serveur.
      Les attaquants cassent le serveur de BOINC et volent des adresses email et d'autres informations de compte.
    * Vol d'information de compte de participant par attaque du réseau.
      Les attaquants exploitent les protocoles de réseau de BOINC pour voler des informations de compte.
    * Vol des fichier des projets.
      Les attaquants volent des dossiers d'entrée et/ou de sortie
    * Abus intentionnel des clients des participants par des projets.
      Un projet libère intentionnellement une application qui abuse des clients de participants, par exemple en volant des informations sensibles stockées dans les dossiers.
    * Abus accidentel des clients des participants par des projets.
      Un projet libère une application qui abuse involontairement des clients de participants, par exemple en supprimant des dossiers ou en causant des crash.

BOINC fournit des mécanismes pour réduire la probabilité de certaines de ces attaques.

Falsification de résultat
Ceci peut être statistiquement détecté en employant la redondance des calculs et la vérification des résultats : si une majorité de résultats conviennent (selon une comparaison spécifique à l'application) ils sont classés comme corrects.

Falsification de crédit
Ceci peut être statistiquement détecté en employant la redondance des calculs et la vérification des résultats : chaque participant est crédité du crédit minimum parmi les résultats corrects (ou par un autre algorithme, tel que la moyennne ou la médiane des crédits demandés).

Distribution d'un exécutable malveillant
BOINC emploie le code signant pour empêcher ceci. Chaque projet a une paire de clé pour la signature de code. La clef privée devrait être gardée sur une machine isolée du réseau utilisée pour produire des signatures numériques pour des executables. La clef publique est distribuée à, et stockée sur, des clients. Tout fichier associé aux versions d'application est envoyé avec les signatures numériques en utilisant cette paire de clé.
Même si les attaquants cassent les serveurs BOINC d'un projet, ils ne pourront pas faire accepter par les clients un fichier avec un faux code.
BOINC fournit un mécanisme par lequel les projets peuvent périodiquement changer leur paire de clé de signature. Le projet produit une nouvelle paire de clé, puis (à l'aide de la machine de signature) produit une signature pour la nouvelle clef publique, signée avec la vieille clef privée. Le client Boinc acceptera une nouvelle clef seulement si elle est signée avec la vieille clef. Ce mécanisme est conçu pour empêcher les attaquants de casser le serveur de BOINC et de distribuer une fausse paire de clé.

Surcharge du serveur de données
Chaque dossier de résultat a une taille maximum . Chaque projet a une paire de clef d'authentification pour le téléchargement. La clef publique est stockée sur les serveurs de données du projet. Des descriptions des dossiers de résultats sont envoyées aux clients avec une signature numérique, qui est expédiée au serveur de données quand le dossier est téléchargé. Le serveur de données vérifie la description du dossier, et s'assure que la quantité de données à télécharger n'excède pas la taille maximum.

Vol d'information de compte de participant par attaque du serveur
Chaque projet doit empêcher le vol d'information privée de compte (par exemple d'adresses d'email) en employant des pratiques conventionnelles en matière de sécurité. Tous les serveurs devraient être protégées par un firewall, et devraient faire neutraliser tous les services de réseau inutilisés. L'accès à ces machines devrait être possible seulement avec des protocoles chiffrés comme SSH. Les machines devraient être soumises à des audits réguliers de sécurité.
Les projets devraient être entrepris seulement par des organismes ayant l'expertise et les ressources suffisantes pour sécuriser leurs serveurs. Une attaque réussie pourrait discréditer tous les projets utilisant BOINC, et le calcul partagé en général.

Vol d'information de compte de participant par attaque du réseau
Les attaquants scannant le trafic du réseau pourraient obtenir les identifications du compte de l'utilisateur, et les utiliser pour obtenir l'adrese email de l'utilisateur ou changer les préférences de l'utilisateur. BOINC ne fait rien pour empêcher ceci.

Vol des fichier des projets
Les dossiers d'entrée et de sortie employés par des applications BOINC ne sont pas chiffrés. Les applications peuvent faire ceci elles-mêmes, mais cela aurait peu d'effet puisque les données sont stockées en texte clair dans la mémoire, où il est facile d'accéder avec un programme spécifique.

Abus intentionnel des clients des participants par des projets
BOINC ne fait rien pour empêcher ceci (par exemple il n'y a aucun 'sandboxing 'des applications). Les participants doivent comprendre que quand ils joignent un projet de BOINC, ils confient à la sécurité de leurs systèmes à ce projet et pas à BOINC.

Abus accidentel des clients des participants par des projets
BOINC ne fait rien pour empêcher ceci. Les chances que cela se produise peuvent être réduites au minimum par l'essai de l'application avant sa sortie publique. Les projets devraient complètement examiner leurs applications sur toutes les plateformes et avec tous les scénarios de données entrantes avant de les promouvoir au statut de production.

MarcP

:jap:
par contre pour
CitationVol d'information de compte de participant par attaque du réseau
Les attaquants scannant le trafic du réseau pourraient obtenir les identifications du compte de l'utilisateur, et les utiliser pour obtenir l'adrese email de l'utilisateur ou changer les préférences de l'utilisateur. BOINC ne fait rien pour empêcher ceci.
Sur quoi c'est basé ? :)
Peut-être qu'au bout de 10 ou 100 identifications ratées tu es blacklisté ;)
De plus, vu la longueur de la clef, c'est au moins aussi sécurisé qu'un mot de passe pour lequel 10% des gens vont mettre des "toto123" et autres ;)

Djezz

C'est basé sur la page officiel de Boinc :
http://boinc.berkeley.edu/security.php
Je n'ai fait qu'une trad ;)

Douglas Riper

Interessante cette traduction  une fois de plus merci  :jap:


zanfi


Anakinwww

trés instructif  :jap: ça fait peur quand méme !! :(