Incompetence

9 janvier 2017

Some of you may already know *lots* of MongoDB servers are compromised as we speak.  That’s sad.  But in a way, it’s not. It’s just the very predictable consequence of sheer incompetence. Here’s a reminder on the very basics of database server security.

  1. Lock the admin account with a f*cking password you moron!
  2. Create another admin account under another name that one would hardly think is an admin account and then delete the original admin account.  Hackers expect that most server are installed with the default features/accounts.  They will look for admin, sysadmin, system, administrator, etc and the like.  They will most likely not check for butterfly, user7342 or whateverElse.
  3. Be creative! Everyone knows MySQL is listening to port 3306, DB/2 to 50000 and PostgreSQL to 5432.  Hackers know that too.  Never install your server on the default port!  Give ’em a hard time figuring out what database server is installed and where they can get in!
  4. Remove everything you do not need.  That sample database, that test database and all that crap that is installed by default and that you don’t need is just another tool hackers can use, for SQL injection for instance.  Don’t facilitate the hacker’s job!
  5. Don’t wait. Install security updates as soon as they are made available.
  6. Permissions are a must.  Learn to use GRANT and REVOKE.  And use them!
  7. Monitor your servers.  It’s not because your instance has been up and running for 302 straight days that things are OK! Your server could have been compromised for 301 days and you still don’t know if you don’t monitor it!
  8. Stay informed.  There are lots of mailing lists, discussion forums, IRC channels, free eBooks, YouTube videos of seminars and conferences, etc about database security.  It’s free!  You have no excuse!
  9. Remember advice #1 : lock the admin account with a f*cking password you moron! A very strong password!
Publicités

Smalltalk en vrac (14)

22 mars 2015

Smalltalk

Smalltalk sur un Raspberry Pi : les options.

Très intéressant article sur Smalltalk intitulé You Probably Don’t Know What a Computer Is.

Smalltalk : le langage de programmation le plus efficace et productif.

Les nombreux podcasts du très regretté James Robertson ont déménagé.

BioSmalltalk est maintenant sur GitHub.

Smalltalk Digest, édition de mars 2015.

Camp Smalltalk à Portland en Orégon en août?  Si ça vous intéresse, les détails ici.

Pharo

Pharo Sprints : à l’INRIA à Lille, le 3 avril.

Components, Agents and Robots (CAR) : un nouveau vidéo ici et un autre ici.

Google API Registry : maintenant offert pour Pharo!

Viva : un framework de base pour l’animation.

Mongo Spotter : pour consulter ou naviguer dans une BD Mongo.

Le précieux travail de Nicolas Cellier en ce qui a trait à l’aspect numérique/mathématique de Pharo a maintenant son propre package : ExtendedNumberParser.

Consulter une base de données Mongo avec GT Tools expliqué ici.

Assessment for Business Processes (A4BP) permet de visualiser les données BPM de format BPEL et BPMN.  Le projet a également une page Facebook.

GemStone

Comment sérialiser des graphes immenses avec SIXX.

 


Smalltalk en vrac (11)

24 février 2015

Pharo

PharoCloud offre maintenant une solution Pharo+MongoDB.

PhyloclassTalk est un outil d’analyse phylogénétique et bioinformatique.  Un vidéo montrant le GenBank Browser et le PhyloclassTalk Classifier et un autre montrant le Blast Query Builder.  Pour plus d’informations sur la biogénétique, il y a BioSmalltalk.

Présentation sur les slots dans Pharo 4.0.

Comment arrêter une image à partir d’une notification du système d’exploitation.

Présentation du Prague Lambda Meetup de janvier 2015.

MathsOntologie est un outil aidant à la résolution de problèmes en mathématiques.  Le manuel de référence est ici.

PlagueDoctor gère vos fenêtres inutilisées automatiquement!  Une description de l’utilitaire ici.

Squeak

Kyma est un langage de programmation avancé pour les sons et la musique.  Développé par Symbolic Sound, la version 7 est maintenant disponible et en vedette dans ce court vidéo.  Vous trouverez facilement sur Youtube ou sur le site de Symbolic Sound plus de vidéos, plus d’exemples, de tutoriels ou de pièces de musique composées avec Kyma.