Journal miniurl ki pu

Posté par  . Licence CC By‑SA.
Étiquettes :
17
18
avr.
2016

On savait que les miniurls étaient déjà un risque pour la pérennité des liens hypertextes : un service qui tombe et c'est des millions de lien mort. Maintenant des chercheurs ont brute-forcé les principaux services et ont récupéré pas mal d'informations sensibles.

Bref, ces services sont à éviter. Perso, je pense que les vrais responsables sont les devs webs avec leurs mauvaises manières qui génèrent des urls de 1500 caractères.

L'article : http://www.silicon.fr/hyperlien-court-mini-taille-mais-maxi-risque-de-securite-145076.html

  • # De la qualification correcte du problème

    Posté par  . Évalué à 10.

    Adiu.
    Si j'ai bien compris l'article de silicon.fr, les chercheurs ont simplement exploré toutes les mini-url possible et demandé les correspondances. Tout le monde peut (potentiellement) le faire.
    Et ça fait visiblement apparaître des liens vers des documents personnels et/ou sensibles. Mais, qui sont accessibles par le monde entier, même sans mini-url …

    Peut-être faudrait-il surtout rappeler que le bon sens demande à ne pas mettre de tels documents en libre accès anonyme, que ce soit par mini-url comme par URI normal …

    • [^] # Re: De la qualification correcte du problème

      Posté par  . Évalué à 5.

      tu as parfaitement compris.

      que le bon sens demande à ne pas mettre de tels documents en libre accès anonyme

      Hélas, internet est devenu un lieu "grand public" et c'est le genre de comportement qui ne peut pas évité.

      De plus, je suis sur qu'on peut trouver des réseaux sociaux compactent les liens (même des messages privés) à l'insu de l'utilisateur.

      • [^] # Re: De la qualification correcte du problème

        Posté par  . Évalué à 4.

        Hélas, internet est devenu un lieu "grand public" et c'est le genre de comportement qui ne peut pas [être] évité.

        À un moment donné, il faudra que le "grand public" apprenne les comportements à éviter, comme dans la vie réelle (ce qui peut malheureusement nécessiter qu'une situation catastrophique ait lieu pour secouer le cocotier …)

        De plus, je suis sur qu'on peut trouver des réseaux sociaux compactent les liens (même des messages privés) à l'insu de l'utilisateur.

        Si les messages sont privés, normalement il faut un compte appartenant au groupe idoine pour les lire, même par une URI directe.

        • [^] # Re: De la qualification correcte du problème

          Posté par  . Évalué à 1.

          Si les messages sont privés, normalement il faut un compte appartenant au groupe idoine pour les lire, même par une URI directe.

          Sur Facebook, une photo privée est consultable publiquement par son URL directe. La photo ci-après a été postée sur un groupe Facebook secret :

          Exemple de photo postée sur un groupe Facebook secret

  • # bruter-forcer...

    Posté par  (site web personnel) . Évalué à 1.

    … hum, forcer comme une brute ;)

    Plus sérieusement, forcer me semble passer dans le contexte. Sinon, en regardant http://www.crisco.unicaen.fr/des/synonymes/forcer , ça donne quelques idées.
    Je trouve les suivantes pas trop mal, suivant la manière dont on tourne la phrase et l'dée qu'on veut amener :
    - abuser, altérer, détraquer, fracturer, pénétrer par force, s'introduire en forçant, surmener ou outrer (le serveur).

    • [^] # Re: bruter-forcer...

      Posté par  . Évalué à 3.

      Fracturer, il y a la notion d'abimer. Or un système brute-forcé reste intact.

      Abuser, c'est pas mal.

      Sinon, j'ai une autre proposition :

      extorquer "Obtenir malhonnêtement quelque chose de quelqu'un par la violence ou par la ruse"

      • [^] # Re: bruter-forcer...

        Posté par  (site web personnel, Mastodon) . Évalué à 4.

        Pour moi «brute-forcer» signifie : tester toutes les combinaison possibles bêtement une par une jusqu’à obtenir la bonne.
        Après pour faire moins brute on peut réduire l'espace des combinaison possible en faisant des «attaques au dictionnaire» ou autre.

        Mais le «brute-force» n'a rien de violent, c'est juste du calcul bête et long ;)

        J'ai plus qu'une balle

        • [^] # Re: bruter-forcer...

          Posté par  (site web personnel) . Évalué à 1.

          Hum, je ne sais pas si il y a un rapport direct entre une attaque par recherche exhaustive ("brute-force") et la violence de l'attaque, mais suivant la manière dont l'attaque est menée, la recherche exhaustive peut entrainer un déni de service.

          'fin bon, comme toujours, pour bien traduire, il faut connaître le texte dans son ensemble, l'intention de l'auteur original et l'audience :) Faire des listes d'équivalence terminologique, c'est bien pratique, mais ça ne peut suffire car il n'y a que peu d'équivalence 1:1 entre les langues (même lorsqu'il s'agit d'objet normé terminologiquement) . C'est sûr que des langues comme le français et l'anglais, qui sont relativement proches pour de nombreuses raisons historiques et linguistiques, ça marchote pas trop mal, mais si vous procédez de la même manière avec le nisvai, vous risquez d'avoir des problèmes ;)

    • [^] # Re: bruter-forcer...

      Posté par  (site web personnel) . Évalué à 5.

      PS: brute-forcer, c'est pas beau, vous auriez utilisé quel verbe à la place ?

      Chercher itérativement de manière naïve et/ou aléatoire. (sisi le Français c'est beau)

      kentoc'h mervel eget bezan saotred

  • # ..

    Posté par  . Évalué à 5.

    C'est vraiement nouveau ? Il y a pas mal de temps on pouvait deja s'amusser a parcourir les 'press papier' (paste.bin,…) en ligne et trouver plein d'info…

  • # attaque/recherche exhaustive

    Posté par  (site web personnel) . Évalué à 8.

    on pourrait dire attaque/recherche exhaustive.

    je préfère personnellement recherche exhaustive, car cela est moins péjoratif que attaque, et montre bien le caractère exploration et étude :), même si parfois cela s apparente bien a une attaque.

    • [^] # Re: attaque/recherche exhaustive

      Posté par  . Évalué à 3.

      Et il ne faut surtout pas oublier de citer les sources.

      Je dois bien avouer que je suis tout à fait d'accord avec l'attaque exhaustive. Le problème est que bien des personnes ne comprendront pas le mot, bien que lui, soit français.

      Je m'explique: «brute force», c'est de l'anglais (tiens, vous ne l'aviez pas deviné!). Bah, comme les mots ressemblent au français, moi, comprendre bien anglais, moi parfais deux langues, moi faire translation (en français dans le texte). Et hop, sorti du chapeau, «brute force» deviens «force brute», suis fortiche hein!

      C'est sans compter sur le sens de la phrase. On pourrait dans un deuxième temps, traduire par «attaque par force brutale» ou encore «attaque brutale». Il me semble que l'on ne tiens pas compte du «gotcha», la signification intrinsèque (et deux trains mouillés)de la locution.

      Donc, une attaque exhaustive (avec exhaustif = qui inclut tous les éléments possibles d’une liste, qui traite totalement un sujet; Qui absorbe toutes les ressources ou consume toutes les forces) me semble la traduction idoine.

  • # Les devs web ont de mauvaises manières ?

    Posté par  . Évalué à 3.

    Perso, je pense que les vrais responsables sont les devs webs avec leurs mauvaises manières qui génèrent des urls de 1500 caractères

    Oui mais non, enfin, ce ne sont pas forcément les développeurs.
    Ce sont généralement les décideurs SEO, les clients, et/ou les chefs de projets qui veulent des urls pointues, qui les aident à faire du hits, des stats etc.
    En tant que dev, si tu fais une url bien laide, il y a de grande chance pour que la cellule SEO débarque armée d'un patator dans ton open-space.
    Très souvent le devéloppeur web n'a pas son mot à dire ou se fait corriger si il fait de la merde.

    Mais bien sur il y en a qui sont autonomes, des freelances par exemple, qui bossent pour de petits clients.
    Mais les pages des sites créés dans ce contexte sont généralement moins partagées, moins massivement en tous cas, que celle des gros sites.

  • # des chercheurs...

    Posté par  . Évalué à -5.

    y a vraiment des gens payés pour ça ? ça embauche ?
    mes scripts sont déjà prêts, ou est le chèque ?

  • # Pas d'accord

    Posté par  . Évalué à 5.

    Je ne suis pas d'accord, les raccourcisseurs de lien fonctionnent très bien. Il y a d'ailleurs un très bon article à ce sujet sur linuxfr :
    http://tinyurl.com/zm2cwy6

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.