On savait que les miniurls étaient déjà un risque pour la pérennité des liens hypertextes : un service qui tombe et c'est des millions de lien mort. Maintenant des chercheurs ont brute-forcé les principaux services et ont récupéré pas mal d'informations sensibles.
Bref, ces services sont à éviter. Perso, je pense que les vrais responsables sont les devs webs avec leurs mauvaises manières qui génèrent des urls de 1500 caractères.
L'article : http://www.silicon.fr/hyperlien-court-mini-taille-mais-maxi-risque-de-securite-145076.html
- PS: brute-forcer, c'est pas beau, vous auriez utilisé quel verbe à la place ?
- PS2: Mort aux utm_* qui rallonge les urls pour rien https://addons.mozilla.org/fr/firefox/addon/au-revoir-utm/
- PS3: C'est pas l'info du siècle mais bon, il n'y a pas grand chose au cinéma.
# De la qualification correcte du problème
Posté par lgmdmdlsr . Évalué à 10.
Adiu.
Si j'ai bien compris l'article de silicon.fr, les chercheurs ont simplement exploré toutes les mini-url possible et demandé les correspondances. Tout le monde peut (potentiellement) le faire.
Et ça fait visiblement apparaître des liens vers des documents personnels et/ou sensibles. Mais, qui sont accessibles par le monde entier, même sans mini-url …
Peut-être faudrait-il surtout rappeler que le bon sens demande à ne pas mettre de tels documents en libre accès anonyme, que ce soit par mini-url comme par URI normal …
[^] # Re: De la qualification correcte du problème
Posté par ckiller . Évalué à 5.
tu as parfaitement compris.
Hélas, internet est devenu un lieu "grand public" et c'est le genre de comportement qui ne peut pas évité.
De plus, je suis sur qu'on peut trouver des réseaux sociaux compactent les liens (même des messages privés) à l'insu de l'utilisateur.
[^] # Re: De la qualification correcte du problème
Posté par lgmdmdlsr . Évalué à 4.
À un moment donné, il faudra que le "grand public" apprenne les comportements à éviter, comme dans la vie réelle (ce qui peut malheureusement nécessiter qu'une situation catastrophique ait lieu pour secouer le cocotier …)
Si les messages sont privés, normalement il faut un compte appartenant au groupe idoine pour les lire, même par une URI directe.
[^] # Re: De la qualification correcte du problème
Posté par François Nautré . Évalué à 1.
Sur Facebook, une photo privée est consultable publiquement par son URL directe. La photo ci-après a été postée sur un groupe Facebook secret :
[^] # Re: De la qualification correcte du problème
Posté par lgmdmdlsr . Évalué à 3.
C'est là clairement un problème lié au livre à visages. Une raison de plus (s'il en fallait) pour ne pas l'utiliser …
[^] # Re: De la qualification correcte du problème
Posté par Marotte ⛧ . Évalué à 2.
« livre de visages » plutôt non ?
Je l’utilise pour rester en contact avec certaines personnes.
Je dirais qu’il faut surtout partir du principe que tout ce qu’on y met est public, quelque soit les paramètres de « confidentialité » (sic).
D’ailleurs, si je ne m’abuse, les conditions d’utilisation de Facebook à propos du contenu posté c’est : « On fait ce qu’on veut avec votre contenu. » (traduction libre). C’est à priori contraire au droit européen mais si on est honnête intellectuellement, en utilisant ce service, US, on devrait respecter ce contrat…
[^] # Re: De la qualification correcte du problème
Posté par walken . Évalué à 1.
Mais déjà, il faut connaître l'URL de l'image en question. Sinon, bonne chance pour trouver une image précise en tapant un truc du genre au hasard : https://scontent-yyz1-1.xx.fbcdn.net/hphotos-xfp1/v/t1.0-9/12998707_94034354546064170_129144646464704545432214_n.jpg?oh=238c00c7c56565ff7943545d411b610ff3f2&oe=5756565AAD
Il y a clairement des lacunes de sécurités ici, techniquement il faudrait que les utilisateurs soient connectés pour pouvoir accéder aux Images en passant par l'URL directe. Mais encore là, ça garantirais seulement que celui qui visionne l'image, est utilisateur de Facebook…Et pas qu'il est dans votre liste d'ami. Pour ce faire, il devrait donc être impossible de pouvoir visionner une image à partir de son URL directe, qu'on soit connecté ou non. (****.jpg)
[^] # Re: De la qualification correcte du problème
Posté par adonai . Évalué à -5.
Sur Facebook, une photo privée est consultable publiquement par son URL directe.
Non.
Et pour ton groupe "secret", le propriétaire du groupe a du mal régler les préférences pour les images postées sur le groupe.
[^] # Re: De la qualification correcte du problème
Posté par walken . Évalué à 5. Dernière modification le 19 avril 2016 à 15:55.
Je viens de publier une photo. J'ai bien vérifier, et appliquer les paramètres de sécurité adéquat.
L'image est privé. Et je suis le seul à y avoir accès selon mes paramètres : Vue par : Seulement moi.
[^] # Re: De la qualification correcte du problème
Posté par ealprr . Évalué à 1.
Si.
Un peu vieux — le CDN a changé — mais le principe est toujours le même.
[^] # Re: De la qualification correcte du problème
Posté par adonai . Évalué à 2.
C'est fou ça, j'étais persuadé qu'ils avaient réglé ça /o\
# bruter-forcer...
Posté par lejocelyn (site web personnel) . Évalué à 1.
… hum, forcer comme une brute ;)
Plus sérieusement, forcer me semble passer dans le contexte. Sinon, en regardant http://www.crisco.unicaen.fr/des/synonymes/forcer , ça donne quelques idées.
Je trouve les suivantes pas trop mal, suivant la manière dont on tourne la phrase et l'dée qu'on veut amener :
- abuser, altérer, détraquer, fracturer, pénétrer par force, s'introduire en forçant, surmener ou outrer (le serveur).
[^] # Re: bruter-forcer...
Posté par ckiller . Évalué à 3.
Fracturer, il y a la notion d'abimer. Or un système brute-forcé reste intact.
Abuser, c'est pas mal.
Sinon, j'ai une autre proposition :
extorquer "Obtenir malhonnêtement quelque chose de quelqu'un par la violence ou par la ruse"
[^] # Re: bruter-forcer...
Posté par martoni (site web personnel, Mastodon) . Évalué à 4.
Pour moi «brute-forcer» signifie : tester toutes les combinaison possibles bêtement une par une jusqu’à obtenir la bonne.
Après pour faire moins brute on peut réduire l'espace des combinaison possible en faisant des «attaques au dictionnaire» ou autre.
Mais le «brute-force» n'a rien de violent, c'est juste du calcul bête et long ;)
J'ai plus qu'une balle
[^] # Re: bruter-forcer...
Posté par lejocelyn (site web personnel) . Évalué à 1.
Hum, je ne sais pas si il y a un rapport direct entre une attaque par recherche exhaustive ("brute-force") et la violence de l'attaque, mais suivant la manière dont l'attaque est menée, la recherche exhaustive peut entrainer un déni de service.
'fin bon, comme toujours, pour bien traduire, il faut connaître le texte dans son ensemble, l'intention de l'auteur original et l'audience :) Faire des listes d'équivalence terminologique, c'est bien pratique, mais ça ne peut suffire car il n'y a que peu d'équivalence 1:1 entre les langues (même lorsqu'il s'agit d'objet normé terminologiquement) . C'est sûr que des langues comme le français et l'anglais, qui sont relativement proches pour de nombreuses raisons historiques et linguistiques, ça marchote pas trop mal, mais si vous procédez de la même manière avec le nisvai, vous risquez d'avoir des problèmes ;)
[^] # Re: bruter-forcer...
Posté par reynum (site web personnel) . Évalué à 5.
Chercher itérativement de manière naïve et/ou aléatoire. (sisi le Français c'est beau)
kentoc'h mervel eget bezan saotred
# ..
Posté par M . Évalué à 5.
C'est vraiement nouveau ? Il y a pas mal de temps on pouvait deja s'amusser a parcourir les 'press papier' (paste.bin,…) en ligne et trouver plein d'info…
# attaque/recherche exhaustive
Posté par SauronDeMordor (site web personnel) . Évalué à 8.
on pourrait dire attaque/recherche exhaustive.
je préfère personnellement recherche exhaustive, car cela est moins péjoratif que attaque, et montre bien le caractère exploration et étude :), même si parfois cela s apparente bien a une attaque.
[^] # Re: attaque/recherche exhaustive
Posté par Bayet Thierry . Évalué à 3.
Et il ne faut surtout pas oublier de citer les sources.
Je dois bien avouer que je suis tout à fait d'accord avec l'attaque exhaustive. Le problème est que bien des personnes ne comprendront pas le mot, bien que lui, soit français.
Je m'explique: «brute force», c'est de l'anglais (tiens, vous ne l'aviez pas deviné!). Bah, comme les mots ressemblent au français, moi, comprendre bien anglais, moi parfais deux langues, moi faire translation (en français dans le texte). Et hop, sorti du chapeau, «brute force» deviens «force brute», suis fortiche hein!
C'est sans compter sur le sens de la phrase. On pourrait dans un deuxième temps, traduire par «attaque par force brutale» ou encore «attaque brutale». Il me semble que l'on ne tiens pas compte du «gotcha», la signification intrinsèque (et deux trains mouillés)de la locution.
Donc, une attaque exhaustive (avec exhaustif = qui inclut tous les éléments possibles d’une liste, qui traite totalement un sujet; Qui absorbe toutes les ressources ou consume toutes les forces) me semble la traduction idoine.
[^] # Re: attaque/recherche exhaustive
Posté par SauronDeMordor (site web personnel) . Évalué à 1.
merci pour la citation de wikipeia mais je ne m'y était pas du tout référencé. je ne la connaissais pas et donc ce n'est pas une citation.
:)
# Les devs web ont de mauvaises manières ?
Posté par Brunus . Évalué à 3.
Oui mais non, enfin, ce ne sont pas forcément les développeurs.
Ce sont généralement les décideurs SEO, les clients, et/ou les chefs de projets qui veulent des urls pointues, qui les aident à faire du hits, des stats etc.
En tant que dev, si tu fais une url bien laide, il y a de grande chance pour que la cellule SEO débarque armée d'un patator dans ton open-space.
Très souvent le devéloppeur web n'a pas son mot à dire ou se fait corriger si il fait de la merde.
Mais bien sur il y en a qui sont autonomes, des freelances par exemple, qui bossent pour de petits clients.
Mais les pages des sites créés dans ce contexte sont généralement moins partagées, moins massivement en tous cas, que celle des gros sites.
# des chercheurs...
Posté par steph1978 . Évalué à -5.
y a vraiment des gens payés pour ça ? ça embauche ?
mes scripts sont déjà prêts, ou est le chèque ?
# Pas d'accord
Posté par ohm . Évalué à 5.
Je ne suis pas d'accord, les raccourcisseurs de lien fonctionnent très bien. Il y a d'ailleurs un très bon article à ce sujet sur linuxfr :
http://tinyurl.com/zm2cwy6
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.