Il s'agissait d’une part de faire un retour sur une expérience riche et variée sur le sujet (divulgation involontaire d'informations confidentielles, failles XSS, failles CSRF, erreurs de générateur aléatoire, ingénierie sociale sur les utilisateurs, audit de sécurité non demandé effectué sur notre serveur, etc. sans compter les bugs exotiques genre horloge cyclant sur une période de 4s…) sur un site à fort trafic et stockant des données personnelles.
D’autre part les webmestres LinuxFr.org sont prêts à parler des problèmes de sécurité rencontrés et des solutions apportées, parce qu’il s’agit d’un site fait par et pour les communautés du logiciel libre, qui peut jouer la transparence et n’a pas à cacher les problèmes sous le tapis comme d’autres sites commerciaux ou gouvernementaux.
L'angle retenu (retour d'expérience et typologie variée de problèmes pour illustrer) a trouvé son public, la conférence ayant été faite dans une salle comble.
Aller plus loin
- RMLL 2009 : page de la conférence (122 clics)
- Support en anglais (PDF) (20 clics)
- Support en français (PDF) (204 clics)
- RMLL 2008 : « 10 ans de LinuxFr.org » aux RMLL 2008 (28 clics)
# tribune
Posté par grid . Évalué à 3.
qui permettait de faire des iframes, du javascript,...
du rire en barre
[^] # Re: tribune
Posté par Pierre Tramonson . Évalué à 6.
Me souviens plus de l'explication de pterjan.
Il doit rester des trucs pas nets dans les coins, tout de même....
[^] # Re: tribune
Posté par Gniarf . Évalué à 7.
[^] # Re: tribune
Posté par Victor STINNER (site web personnel) . Évalué à 4.
# Excellente présentation
Posté par FRLinux (site web personnel) . Évalué à 6.
[^] # Re: Excellente présentation
Posté par Infernal Quack (site web personnel) . Évalué à 5.
Une spéciale dédicace également aux moules sans qui une grosse partie de ce document n'auraient pu voir le jour. Certes des failles découvertes ça ne fait pas toujours plaisir aux webmasteurs mais que de moment de fou rire. Je ne sais pas s'il reste des captures de la tribune « défacée » à coup de CSS et de Javascript mais c'était assez énorme. J'avoue, j'avais participé /o\
Cela dit, pas longtemps après j'ai contacté le webmasteur de http://kde-look.org car le site avait le même problème. On va dire que la tribune m'a initié à la sécurité web ;-)
Et puis vu que le logiciel wmCoinCoin existe grâce et pour DLFP, on pourrait citer la fameuse version (« qui n'existe pas et n'a jamais existé ») par laquelle on pouvait exécuter du code shell sur l'ordi d'une moule /o\
(On dirait que le site n'aime plus les guillemets droits ". Dans la prévisualisation il les code en entités HTML ")
L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire
[^] # Re: Excellente présentation
Posté par Pierre Tramo (site web personnel) . Évalué à 2.
Le jaune c'est moche!
[^] # Re: Excellente présentation
Posté par claudex . Évalué à 3.
Il y a déjà une entrée dans le Suivi pour ça: https://linuxfr.org/tracker/975.html
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.