Petit retour sur les 200+ dépêches que j'ai écrites : rien ne se perd, rien ne se créé, tout se transforme ou pas. « (...) l'industrie de la musique et du cinéma promettait des mesures techniques de protection pour décider si et quand et combien de fois je pourrais lire le DVD que j'avais acheté, et avec quel matériel et quel logiciel, en arguant des cataclysmes apocalyptiques et tentaculaires causés par des lycéens de 12 ans ». Non en fait, rien n'a changé c'était pareil avant.
Déjà à l'époque les DRM étaient allègrement contournés, le lot commun des chimères techniques. Déjà la même volonté de clôturer le domaine public, de bloquer les hyperliens...
Retour aussi sur plus de 600 entrées du système de suivi fermées par mes soins, et sur des milliers d'éditions et de modérations de dépêches. Bref une longue histoire entre le site et moi, comme LinuxFr.org sait faire.
La dernière étape est toute fraîche, avec la présentation aux RMLL 2009 à Nantes Retour d'expérience sécurité sur 11 ans de LinuxFr.org.
Journal Petit bilan à l'occasion des 11 ans du site
13
juil.
2009
# Mais aussi ...
Posté par LiNuCe . Évalué à 1.
« Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »
[^] # Re: Mais aussi ...
Posté par Benoît Sibaud (page perso) . Évalué à 3.
On avait juste laissé la possibilité de passer si le champ REFERER était absent (ou si le champ validait une regexp), parce qu'à l'époque des moules avaient râlé (comme d'hab') que ça les gênait. Depuis aujourd'hui il faut absolument un champ REFERER qui valide une regexp (à cause d'un boulet, qui a perdu ses accès du coup).
Pour bloquer les boulets à venir, il faudrait ajouter un « nonce » ( http://en.wikipedia.org/wiki/Cryptographic_nonce ) et cela casserait tous les clients hors navigateur pour la tribune.
[^] # Re: Mais aussi ...
Posté par Christophe --- . Évalué à 2.
[^] # Re: Mais aussi ...
Posté par grid (page perso) . Évalué à 4.
Un plaisantin a appris qu'un REFERER vide permettait de poster. Il a créer une page qui faisait un post un XmlHttpRequest sur la tribune avec l'url en question.
du coup, les lurkers clicouillaient sur l'url et revoilà le virus de la tribune.
Les seuls conséquences, c'est environ 100 à 200 posts de plus en 24h. Rien de mortel en soit.
Il y a eu par le passé plusieurs virus de ce type. Le plus connu étant http://kadreg.free.fr/perso/virus.html.
[^] # Re: Mais aussi ...
Posté par Dabowl_92 . Évalué à -1.
[^] # Re: Mais aussi ...
Posté par Jérôme Nègre (page perso) . Évalué à 3.
[^] # Re: Mais aussi ...
Posté par grid (page perso) . Évalué à 7.
Merci du temps que vous passez tous. Rédacteurs, Admins, modéro, relecteur, femme de ménage, et lecteur.
Je ne connais aucun site qui rassemble autant la communauté du libre.
Ps: Tu vois, les moules ne font pas que râler.
Ps2: Il faut surement mieux des gens qui testent les limites du site "juste for fun" et à ma connaissance sans aucun dégat. Ca bouche les trous pour les gens mal intentionnés qui viendraient ;-)
[^] # Re: Mais aussi ...
Posté par LiNuCe . Évalué à 4.
C'est bien ce que je dis, le chèque du "Referer:" n'existait plus, ie sans "Referer:", on pouvait poster sans, d'ailleurs c'est ce que je faisais dans GCoinCoin pour LinuxFr, j'ai dû activer le chèque aussitôt qu'il a été remis en place.
Pour bloquer les boulets à venir, il faudrait ajouter un « nonce » ( http://en.wikipedia.org/wiki/Cryptographic_nonce ) et cela casserait tous les clients hors navigateur pour la tribune.
Pourquoi ? Si le navigateur peut gérer le Nonce, je ne vois pas ce qui gène un c² de gérer un Nonce lui aussi : de point du vue du site Web, un client HTTP est un client HTTP et à part si le site se met à chercher des propriétés spécifiques dans les requêtes HTTP (que n'importe quel client HTTP peut éventuellement simuler pour passer au travers d'un éventuel filtre), je ne vois pas en quoi un c² ne pourrait pas s'adapter.
P.S. : au passage, quand on fait un prévisualisation du commentaire avant de le poster, des entités HTML apparaissent au lieu des caractères respectifs, en l'occurrence pour ce commentaire, des entités symboliques "quot" apparaissent.
« Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »
[^] # Re: Mais aussi ...
Posté par patrick_g (page perso) . Évalué à 3.
Oui c'est très chiant ça. C'est apparu il y a quelques semaines non ?
[^] # Re: Mais aussi ...
Posté par Xavier Claude (page perso) . Évalué à 4.
(Tu y a d'ailleurs fais 2 commentaires le 14 mai).
« Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos
[^] # Re: Mais aussi ...
Posté par patrick_g (page perso) . Évalué à 2.
Bon ben plus de doute je dois avoir un Alzheimer....
[^] # Re: Mais aussi ...
Posté par 못 옷 홋 — 바르텅 마티으 (page perso) . Évalué à 2.
Mais bon, ça fera un bon prétexte pour renforcer la politique sécuritaire de linuxfr vis-à-vis de la tribune.
[^] # Re: Mais aussi ...
Posté par zerchauve . Évalué à -3.
[^] # Re: Mais aussi ...
Posté par Benoît Sibaud (page perso) . Évalué à 5.
Très simple. La faille passe par le navigateur de la victime qui quasiment tout le temps envoie au serveur LinuxFr.org un REFERER (sauf privoxy, proxy, etc.), bref ça suffisait à bloquer la très grande partie des cas. Et la présence d'un bon REFERER aurait pu être systématique si on n'avait pas suivi les demandes des moules à l'époque.
Quand à la « politique sécuritaire » (sic), on en reparlera quand tu sauras faire la différence entre trouver un bug et le remonter pour correction, et trouver un bug et l'exploiter sans prévenir jusqu'à ce que ce tu te fasses taper sur les doigts. Clairement, il y a plus utile à faire pour le site que devoir intervenir sur les gamineries d'un type qui contribue très peu en contenus (pas de dépêches et juste 2 journaux) : le système de suivi contient suffisamment de tâches à prendre, y a suffisamment d'actus à rédiger en dépêches, le site est en cours de réécriture en RoR, etc. bref j'aimerai autant utiliser mon temps dispo pour LinuxFr.org plus intelligemment.
[^] # Re: Mais aussi ...
Posté par ʇpooɹquooɥɔs sɐȷoɔᴉu . Évalué à 4.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Mais aussi ...
Posté par 못 옷 홋 — 바르텅 마티으 (page perso) . Évalué à 9.
Quant à la remontée de bugs et la soumission de contenu, on peut noter ce bug que j'ai soumis il y a quelques jours : https://linuxfr.org/tracker/1022.html mais surtout celui-ci : https://linuxfr.org/tracker/621.html que j'ai soumis il y a maintenant deux ans, troisième dans le classement par note, pour lequel je me suis cassé le cul à lire le code de templeet, pour lequel j'ai posté, pas un vrai patch effectivement, parce que je ne me sens pas assez expert pour modifier le code moi-même, mais une indication relativement claire des modifications à faire, et pour lequel je n'ai aucune réponse, aucune réaction.
J'ai compris il y a bien longtemps que les évolutions ici n'avaient lieu que lorsqu'un événement dérange les administrateurs, ou leur donne une bonne raison de censurer.
Les journaux, j'en ai fait 24 si j'ai bien compté, la plupart avant le système de notation des journaux, mais tous avec une moyenne des notes de commentaires largement positive. Entre ceci et mon activité sur la tribune (voir la liste des moules bavardes sur DLFP chez khapin [http://khapin.ssz.fr/dlfp/bavards.rhtml] au cours du temps), je pense avoir contribué, modestement certes, mais certainement, à la vie de LinuxFR.
[^] # Re: Mais aussi ...
Posté par Benoît Sibaud (page perso) . Évalué à 1.
D'un autre côté le nonce traite le problème différemment et peut servir dans tous les formulaires pour éviter tout envoi direct vers la soumission sans passer le formulaire (par contre il faut modifier les clients dédiés, comme les clients de tribune, les clients de soumission de dépêches, etc.). Le test du nonce côté serveur est beaucoup plus strict que le test de referer qui est juste un champ renvoyé par le client (potentiellement modifiable).
Concernant la remontée de bugs, je répète ce n'est pas en ne le remontant pas qu'il sera corrigé (et merci pour ceux remontés). Ensuite une fois remonté, la correction peut être bien plus compliquée que l'utilisateur ne le pense, et on a largement plus d'entrées à traiter que de gens motivés pour le faire.
> J'ai compris il y a bien longtemps que les évolutions ici n'avaient lieu que lorsqu'un événement dérange les administrateurs, ou leur donne une bonne raison de censurer.
C'est effarant de mauvaise foi, de non-reconnaissance du boulot fait, et par ailleurs et surtout très contre-productif. Mais bref passons, il y aura toujours des gens pour ne pas savoir discuter...
Concernant tes journaux, ta page https://linuxfr.org/~see/ (utilisateur See) en dénombre 2. Après les multis...
[^] # Re: Mais aussi ...
Posté par Cayou Busbas (page perso) . Évalué à 10.
Je ne mets pas en doute ta bonne foi là-dessus mais cela m'étonne grandement, parce que justement les clients se sont adaptés très vite, et d'ailleurs j'étais pour ma part persuadé que le check était toujours actif. Wmcc et pycc l'ont implémenté aussitôt à l'époque, tout comme les c² plus récents tels que gcc et olcc.
Quant à la râlerie des moules bien entendu ça ne m'étonne pas :-) ce qui m'étonne en revanche c'est le retour arrière en réaction à cette râlerie. La tribune dlfp est tout de même celle qui a le plus bougé au cours du temps et a eu le plus de particularités, loin devant tous les autres moteurs de tribune, entre les changements dans le backend, les balises particulières, l'encodage qui change, etc. A chaque fois les coincoins étaient plus ou moins gravement impactés, à chaque fois bien sûr les moules ont râlé (pas forcément contre dlfp d'ailleurs, surtout par dépit de voir leur joujou cassé), mais à chaque fois les clients se sont adaptés - et c'est bien normal, a priori c'est leur rôle en tant que clients.
Maintenant, concernant le "virus" en particulier. Je ne me rends peut-être pas compte de toutes les implications, mais je vois mal en quoi celui-ci posait un réel problème. Son potentiel de nuisance était limité, en ce qu'il requérait un clic explicite d'un utilisateur pour fonctionner. Bien sûr cela a engendré de la pollution sur la tribune, mais je crois pouvoir dire que les moules sont capables de pollution manuelle équivalente voire bien pire en temps normal.
Le surcroît de charge pour le serveur me paraît inexistant, et les premiers embêtés sont les moules elles-mêmes qui vont donc, après avoir certes joué un temps, se lasser très vite et cesser de propager l'url.
Enfin, d'expérience, ce genre de truc meurt de lui-même très rapidement. Gle< avait fait un virus semblable qui poste sur la tribune bouchot.org, qui doit être encore fonctionnel, et dont on doit croiser l'url au grand maximum une fois tous les 6 mois...
Encore une fois, il se peut que je mesure mal la nuisance réelle occasionnée. Je vois bien, toutefois, qu'en tant qu'utilisateur du site on ne se rend pas forcément toujours compte du fil à retordre qu'on peut donner aux admins et qu'on est plus prompts à se plaindre qu'à saluer le boulot effectué :-)
Je finis donc en remerciant tous ceux qui prennent de leur temps pour administrer, développer, maintenir le site. Après tout, si on n'aimait pas ce qu'ils font, on ne serait pas autant à continuer à s'accrocher dessus (et à râler comme dans un vieux couple :-))
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.