• # Ils sont partout.

    Posté par  . Évalué à 3.

    Sans doute un coup de la NSA.

  • # txt est un html

    Posté par  . Évalué à 10.

    Attention, ce petit malin vous fait faire kill -9 -1 car le fichier txt est un html …..

    • [^] # Re: txt est un html

      Posté par  (site web personnel) . Évalué à 5.

      du coup le journal prend entre -1 et -9

    • [^] # Re: txt est un html

      Posté par  . Évalué à 4.

      Si il en avait le cran, il aurait dut faire un rm -rf $HOME/*

      • [^] # Re: txt est un html

        Posté par  . Évalué à 4.

        Ça m'aurait fait bien chier ! Déjà que perdre tout ce qui était ouvert dans X…

        Enfin bon, "c'est la vie" comme disent les francophones ;)

      • [^] # Re: txt est un html

        Posté par  . Évalué à 10.

        Le résultat tel quel est déjà spectaculaire pour qui ne s'y attend pas.

        Après, c'est toute la différence entre quelqu'un qui veut donner une leçon (parce que tout tuer comme ça, ça peut faire perdre pas mal de boulot tout de même) et quelqu'un qui a une véritable volonté de nuire.

        C'est peut-être moins une question de cran qu'une question de morale.

  • # elle est connue

    Posté par  . Évalué à 9.

    C'est la fameuse faille de sécurité au niveau de l'interface chaise-clavier.

    • [^] # Re: elle est connue

      Posté par  . Évalué à 10.

      Oui et non.
      Oui, il faut que l'utilisateur participe en tombant royalement dans le panneau.

      Non, ça ne devrait pas être!!

      On peut faire des milliers de journaux sur "Linux est prêt pour le bureau" en se la pétant à mort que KDE et Gnome sont 'achement mieux que Windows 8 et OS X. À quoi bon si à la fin c'est pour se prendre des "C'est ta faute si tu connais pas les failles connues, connard!".

      Un OS "prêt pour le desktop", c'est pas un OS dont tout le monde connait les arcanes, c'est un OS dont on n'a pas besoin de connaître les arcanes!

      Et dans les forums Linux pour débutants, on continue à lire "Ouvre un terminal" et la suite en ligne de commandes. C'est déjà pas génial pour les débutants, alors si en plus c'est pour leur tomber dessus derrière en disant qu'ils sont trop cons ils connaissent pas les caractères HTML cachés!", autant mettre un gros panneau qui clignote "Linux est réservé aux utilisateurs expérimentés!"

      • [^] # Re: elle est connue

        Posté par  . Évalué à 10. Dernière modification le 13 juillet 2013 à 07:31.

        Je vois que tu n’as pas lu le commentaire de dave_null plus bas.

        Ça prend à peu près 2 minutes pour refaire la même chose avec du JavaScript ou du Flash, selon le navigateur, et de faire une page en remplaçant Linux par Windows pour que l’utilisateur colle ça dans son cmd.exe. Ce genre d’attaque où la cible est l’humain, avec un appât du genre « vous allez être un warlord haxor » ou « le sultan Alladin va vous filer 1 million de dollars » est vieux comme le monde. Mettre ça sur le dos des environnement de bureau est d’une naïveté effarante.

        • [^] # Re: elle est connue

          Posté par  (site web personnel) . Évalué à 7.

          Ce qui est rigolo, c'est que quand ça attaque Windows (genre à l'époque où les lecteurs de mails autorisaient à lancer une binaire), Les linuxiens traitent l'OS de merde, mais quand c'est Linux, c'est la faute de l'utilisateur.
          Deux poids, deux mesures ;-).

          L'avantage, c'est qu'ici l'utilisateur non geek ne va rien faire (que ce soit Windows ou Linux) à cause de la ligne de commande, ce truc est juste à destination des geeks qui se la pètent avec leur ligne de commande :)

          • [^] # Re: elle est connue

            Posté par  . Évalué à 4.

            Un peu comme l'exécution automatique d'un média amovible :)

            J'étais déjà au courant de cette « faille » mais ça fait du bien un petit rappel ! Donc +1 pour ce journal qui dénonce grave.

            À la première lecture j'ai pensé qu'il s'agissait de commandes permettant une élévation de privilèges, en fait ça va.

          • [^] # Re: elle est connue

            Posté par  . Évalué à 7.

            ce truc est juste à destination des geeks qui se la pètent avec leur ligne de commande

            C'est se la pèter de lire et écrire?
            La console n'a rien de magique c'est même moins magique en comparaison d'une icône sur laquelle tu cliques et qui fait le café.

            • [^] # Re: elle est connue

              Posté par  (site web personnel) . Évalué à -5.

              Tiens, bon exemple de se la pèter "les autres sont des imbéciles si ils ne savent pas la même chose que moi dans mon domaine", en comparant des choux et des carottes.

              • [^] # Re: elle est connue

                Posté par  . Évalué à 7.

                En même temps ce n'est pas du tout ce qu'il a dit

        • [^] # Re: elle est connue

          Posté par  . Évalué à 5.

          Question de culture autour de l'OS.
          Combien de fois tu as vu sur un forum un conseil: ouvre une fenêtre DOS et tape (etc.)?
          Combien de fois tu as vu un conseil: lance un terminal et recopie les commandes suivantes, suivi d'un long couplet sur "le Terminal, c'est super et c'est pas si compliqué!"

          De plus, je ne mets pas ça sur le dos des environnements de bureau, je dis que ça ne sert à rien de faire la promotion des environnements sous Linux si à côté on laisse traîner des énormités.

          Enfin, je dois dire que se satisfaire d'être aussi médiocre que les autres, ça manque sévèrement d'ambition…

          La conclusion d'ailleurs serait même que tant que la ligne de commande sera nécessaire, autant ne pas faire passer les gens qui ne souhaitent pas apprendre beaucoup sous Linux.
          Et quand je dis nécessaire, c'est y compris en cas de souci, bien entendu.

          • [^] # Re: elle est connue

            Posté par  . Évalué à 10.

            J'ai déjà trouvé des conseils du genre "ouvre regedit, trouve la clé HKEY_NOM_COMPLETEMENT_OBSCUR_POUR_LE_LAMBDA_MOYEN et met la valeur à CHIFFRE_ABSTRAIT" et pour le lambda moyen,c'est à peu prés équivalent à faire un "alt+F2 xterm et copier coller"

            Mais je reconnais que l'ouverture du terminal offre un plus large panel de malveillance.

            Par contre, les amis sous linux que je dépanne sont souvent vachement content de pouvoir dépanner avec juste un téléphone et la dictée de commandes plutôt que de devoir décrire les fenêtres qu'ils doivent avoir et l'onglet qui va bien, etc.

            • [^] # Re: elle est connue

              Posté par  (site web personnel) . Évalué à 2.

              Bien sur, le tutoriel moyen est souvent dans l'optique "on va résoudre sans se soucier du comment", et personne ne pense sur le long terme sur l'éducation des gens.

              Par exemple, le modèle windows xp/95 de tout le monde est admin est problématique d'un point de vue sécurité. Mais le modèle vista des popups à tout va est aussi un souci, vu que les gens passent le temps à être ennuyé par ça, et ne lise plus, sont interrompu, etc.

              Et toute tentatives de retirer les dits popups une fois qu'ils sont la depuis longtemps ( exemple, ce que packagekit a tenté de faire ) devient tout d'un coup un affront pour les gens qui n'ont pas de souci avec la complexité.

              À ce niveau la, on a les mêmes soucis sur les UI Linux que Windows, et quoi qu'on dise, les mêmes types de gens font les UIs, les mêmes types de gens ne sont pas au courant des soucis que ça pose au jour le jour, et donc on abouti aux mêmes oppositions.

              Et au final, en ne faisant pas mieux que Windows, on arrive pas à bouger le status quo, et donc windows reste majoritaire.

              Donc même si "c'est pas mieux sur windows", ça n'est pas une excuse pour pas penser à faire mieux. Dans le cas précis de cette vulnérabilité, le souci est que ce que l'utilisateur colle ne corresponds pas à ce qu'il voit. Ça contredit totalement le modèle mental qu'on a du copier/coller quand on ne sait pas comment ça marche.

              Dans ce cas précis, est ce que firefox devrait prendre que le contenu qui est visible pour le mettre dans le presse papier ? peut être, mais ça reste très complexe à faire, et sans doute facile à contourner. Est ce que faire ça n'aurait pas d'effet de bord ? Peut être aussi.

              Est ce qu'il faut interdire à kill de faire ça ( ie, kill -1 ) sans demande express à l'utilisateur ? ( comme rm -Rf / qui pose la question, comme rm sous zsh qui demande confirmation ). L'attaquant rajouterais juste ce qu'il faut pour valider. Et ça n'aiderais pas pour une faille plus subtile de "je rajoute ma clé ssh dans le keyring et je rajoute un cron qui donne l'ip pour que je me fasse pirater la tronche".

              On peut imaginer avoir un plugin qui détecte que le fichier est un .txt mais qu'en fait, c'est du html, donc fishy (mais ça aiderais pas beaucoup). On pourrait voir qu'il y a un copier coller qui correspond pas à ce qui s'affiche, et mettre un warning.

              • [^] # Re: elle est connue

                Posté par  . Évalué à 5.

                On pourrait voir qu'il y a un copier coller qui correspond pas à ce qui s'affiche, et mettre un warning.

                Mon navigateur m'affiche en bas, Yanked: "something", quand je copie un truc. Après, si je decide de le coller quelque part, c'est mon choix.

                • [^] # Re: elle est connue

                  Posté par  . Évalué à 2.

                  et comment tu fais pour qu'il fasse ça ?

                  • [^] # Re: elle est connue

                    Posté par  (site web personnel) . Évalué à 4.

                    Il sélectionne, puis il fait Y (avec pentadactyl, sans doute que vimperator le fait aussi).
                    Bref, il ne se repose pas sur la fonction copier de la sélection.

                    Ou alors une autre astuce que j'aimerai connaître.

                    Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.

                    • [^] # Re: elle est connue

                      Posté par  . Évalué à 3.

                      Exacte, j'utilise pentadactyl sur une machine et vimperator sur les autres, et les deux ont ce comportement.

      • [^] # Re: elle est connue

        Posté par  . Évalué à 8. Dernière modification le 13 juillet 2013 à 18:21.

        On peut faire des milliers de journaux sur "Linux est prêt pour le bureau" en se la pétant à mort que KDE et Gnome sont 'achement mieux que Windows 8 et OS X. À quoi bon si à la fin c'est pour se prendre des "C'est ta faute si tu connais pas les failles connues, connard!".

        Alors que sous Windows (qui lui est prêt mon bon monsieur) si tu double clique sur setup.jpg.exe, c'est que t'es qu'un gros naze qui sait pas différencier l'icone d'une image avec l'icone d'un exe (quoi c'est petit en mode liste ? t'a qu'à porter des lunette si t'es bigleux). De toute façon ce qui ne sont pas en mode détail et qui ne lisent pas du coup le type de fichier n'ont que ce qu'ils méritent. Du moins, ça a existé pendant longtemps, je ne sais pas ce qu'il en est.

        Je ne parle évidement pas des pièges des setups qui cherchent à t'installer tout ce qu'il est possible d'imaginer en plus de l'appli que tu veux (et je parle pas de logiciel récupéré en P2P, mais de Java par exemple). Microsoft n'y est pour rien si ce n'est qu'il laisse faire (ou qu'il a laissé faire pendant longtemps, je ne me tiens pas au courant).

        Je te laisse le mot de la fin.

        Un OS "prêt pour le desktop", c'est pas un OS dont tout le monde connait les arcanes, c'est un OS dont on n'a pas besoin de connaître les arcanes!

        (Moi je suis pas sûr qu'il en existe des OS prêt pour le desktop)

        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

        • [^] # Re: elle est connue

          Posté par  . Évalué à 3.

          D'une part, non, justement, reproche était fait à Windows de laisser exécuter n'importe quoi alors que par le système des droits, sous Linux, un utilisateur ne peut pas tout flinguer tout seul (uniquement son propre compte… bon, sur l'ordi familial ça revient souvent au même, faut pas se leurrer).
          À l'époque, on critiquait Windows pour ça.

          Sur Win7 au moins (et il me semble, même avant ça), quand tu essaies de lancer un .exe de source non vérifiée/vérifiable, tu as un joli message pop-up d'avertissement des dangers que représente le lancement de l'application genre "Êtes-vous sûr?".

          J'ai lu plus haut quelqu'un proposer d'avoir un garde-fou sur les commandes genre kill -9 -1, comme ça se fait pour d'autres commandes (rm en alias rm -i par défaut, etc.).

          Au lieu de dire que "c'est la faute à l'utilisateur s'il n'est pas au courant pour le code caché" casé juste après "OS prêt pour le grand public et facile d'utilisation", on pourrait peut-être promouvoir ce genre de pratique, non?
          Parce que je ne me vois pas expliquer à Mme Michu les principes du code caché sans l'emmerder prodigieusement. Par contre, "Quand t'es pas sure, tu cliques sur «Non, Pas sure»", je crois que c'est jouable.

          • [^] # Re: elle est connue

            Posté par  (site web personnel) . Évalué à 2.

            Parce que madame michu va ouvrir un terminal pour copier coller ? Moi j'ai un doute.

            • [^] # Re: elle est connue

              Posté par  . Évalué à 3.

              Kévin Michu oui.

            • [^] # Re: elle est connue

              Posté par  . Évalué à 3.

              Bah oui, pourquoi ne le ferait-elle pas ? Trois cliques, c'est à la porté de n'importe qui.

              Please do not feed the trolls

          • [^] # Re: elle est connue

            Posté par  . Évalué à 3.

            Tu n'a probablement pas compris mon propos. Ce que je dis c'est que tu nous explique qu'avec des problème comme celui-là Linux n'est pas prêt pour le desktop alors qu'il y a des OS qui ont abrevé des millions d'utilisateurs des Madame Michu et des Kevin qui avait des problèmes comme celui-ci.

            Es-tu sûr qu'il n'y en a plus sur windows des « trucs à savoir » ?

            Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

            • [^] # Re: elle est connue

              Posté par  . Évalué à 3.

              Oh mais je sais qu'ils ont eu des problèmes, mais je pense qu'un bureau peut faire mieux que prétendre "dépasser les bureaux de la concurrence d'il y a 5 ans!"

              On peut aussi dire que Windows95 s'est retrouvé sur tous les ordis personnels du monde ou presque, mais je vois mal en quoi ça ferait de la pub aujourd'hui de dire "nous n'avons aucun des problèmes de Win95!".

              Quant aux trucs à savoir sous Windows, si, il y en a sûrement beaucoup, mais:
              1. "Réinstalle!" dès que ça cloche semble maintenant accepté. Si tu vends un truc où "t'as pas besoin de réinstaller" est un argument de vente, ça veut dire aucun problème difficile à résoudre n'apparaît jamais!
              2. Si tu veux percer un marché déjà occupé, faire "aussi bien/mal" que les autres, c'est totalement insuffisant.

              Ici le problème est simple et relativement évident: c'est bien trop facile pour un utilisateur de tout casser sans comprendre ce qu'il fait, et la culture de l'OS fait qu'on t'encourage à mettre les mains dans le cambouis. C'est une dangereuse combinaison!

              • [^] # Re: elle est connue

                Posté par  . Évalué à 5.

                Personnellement, je pense sincèrement que les OS prêt pour le desktop c'est des âneries. On essaie de simplifier les choses, c'est bien. Mais rien est « prêt pour le desktop », la moitié des utilisateurs se font dessus dès que l'ordinateur leur pose une question quelque soit le système d'exploitation où ils sont. On ne peut rien y changer, on peut tenter de limiter les problèmes de simplifier encore, mais l'OS prêt pour le desktop est une utopie assez risible. Il faut pas empêcher l'utilisateur de faire des erreurs (ce n'est pas possible on en fait tous), il faut lui permettre de revenir à l'état initial de lui même. Une fois qu'on aura compris ça, on aura fait un grand pas.

                Actuellement dès que l'on parle informatique pour noob, on fait tout pour leur faire peur. Ça ne marchera jamais. À titre personnel je pense qu'il y a 2 choses importantes à faire :

                • des backups réguliers automatiques et facile à restaurer
                • des snapshots très régulier du fs pour au moindre problème redémarrer sur une image précédente

                Il n'y a rien de techniquement compliqué pour faire ça, on a déjà tout ce qu'il faut. Il faut juste coder des interfaces et configurer une distribution pour.

                Je te garantie que plus personne n'aura rien à faire du fait que l'utilisateur peut faire un schred de sa racine s'il sait qu'en cas de problème un reboot et c'est terminé (oui c'est possible si on ne monte pas la partition /boot de manière automatique).

                Même avec ça est-ce que ça en ferra un OS prêt pour le desktop ? Je n'en sais rien, mais courir après quelque chose que l'on est pas capable de définir est voué à l'échec.

                Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

          • [^] # Re: elle est connue

            Posté par  (site web personnel) . Évalué à 3.

            Au lieu de dire que "c'est la faute à l'utilisateur s'il n'est
            pas au courant pour le code caché" casé juste après "OS prêt
            pour le grand public et facile d'utilisation", on pourrait
            peut-être promouvoir ce genre de pratique, non?

            aussi longtemps que tu auras un moyen pour l'utilisateur de passer outre, ça ne serviras à rien.

            Tu peux mettre rm -i par défaut, si tu as un -f qui surcharge le -i, ça sert à rien.

            Et forcer la question ne serais vu que comme une nuisance.

    • [^] # Re: elle est connue

      Posté par  . Évalué à 2. Dernière modification le 13 juillet 2013 à 15:27.

      C'est la fameuse faille de sécurité au niveau de l'interface chaise-clavier.

      Clair !
      3 Errors, 21 warning(s)

      CC-BY-NC-SA

      • [^] # Re: elle est connue

        Posté par  (site web personnel) . Évalué à 10.

        Arrête ! On va encore se prendre une mise en demeure !

        Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.

  • # Debian? Slack?

    Posté par  . Évalué à 3. Dernière modification le 12 juillet 2013 à 23:04.

    Validé sur Centos, debian dsl et slack

    Quelles versions ? Parce que chez moi (Debian 7.1 et Slack64 14.0), ça ne marche pas.

    • [^] # Re: Debian? Slack?

      Posté par  (site web personnel) . Évalué à 3. Dernière modification le 12 juillet 2013 à 23:10.

      Tu n'as pas fait ce qu'on attend de toi.
      Aide: la faille exploite le truc qui se situe entre la chaise et le clavier (note : comme beaucoup de failles dite "de Windows" d'ailleurs), et n'est pas nouvelle, elle date de la naissance des caractères invisibles en HTML et n'est toujours pas patchée aujourd'hui par les navigateurs (l'endroit de la faille, et durée de la faille qui est en soit pas très normale mais faille jugée pas importante).

  • # c'toi la passoire !

    Posté par  . Évalué à 6.

    Non mais !

    Please do not feed the trolls

  • # Mine de rien, y'a du vrai

    Posté par  . Évalué à 10.

    Je me considère comme un utilisateur au moins un peu éclairé,
    et qui en aucune manière ne pourrait être l'acteur direct d'une intrusion sur son système…

    Pourtant…comme beaucoup, j'ai pas réfléchi, j'ai copié-collé dans la console.

    Mince, je me sent tout drôle.

    • [^] # Re: Mine de rien, y'a du vrai

      Posté par  . Évalué à 1. Dernière modification le 13 juillet 2013 à 04:15.

      le coup du rm du /home aurait été une sacrée leçon de ne pas faire de copier coller à tout va d'une ligne de commande trouvée sur la toile…mais bon c'est un peu hard…
      Une petite vaccination ne fait pas trop de mal.

      • [^] # Re: Mine de rien, y'a du vrai

        Posté par  . Évalué à 5.

        Si tu veux être encore plus crade, tu tentes le sudo rm /, des fois que l'utilisateur ait beaucoup de droits et s'en soit servi récemment.

        Mais j'avoue que je ne comprendrais pas bien l'objectif: dénoncer une faille, inculquer une leçon aux utilisateurs, ou pure envie de foutre le boxon gratos?

      • [^] # Re: Mine de rien, y'a du vrai

        Posté par  . Évalué à 4.

        Je vois surtout un sacré bug du navigateur web personnellement.
        La sémantique usuelle du copier coller et de copier le texte sélectionné.

        De la même manière qu'il affiche un avertissement quand un site passe en plein écran, il devrait en afficher un quand une page web et rédigée de sorte à mettre n'importe quoi dans le presse papier.

        Please do not feed the trolls

        • [^] # Re: Mine de rien, y'a du vrai

          Posté par  (site web personnel) . Évalué à 9.

          La sémantique usuelle du copier coller et de copier le texte sélectionné.

          Ca tombe bien, il est sélectionné.
          Il faut ajouté aujourd'hui : et visible.

          • [^] # Re: Mine de rien, y'a du vrai

            Posté par  . Évalué à 8.

            On a eu le même débat la dernière fois sur le journal dénonçant cette faille. Si un objet est caché, il ne peut pas être sélectionné. C'est un comportement adopté par tous les gestionnaires de fichiers, et tout le monde trouve ça normal. C'est clairement une faille dans le navigateur.

            • [^] # Re: Mine de rien, y'a du vrai

              Posté par  (site web personnel) . Évalué à 1.

              On a eu le même débat la dernière fois sur le journal dénonçant cette faille. Si un objet est caché, il ne peut pas être sélectionné. C'est un comportement adopté par tous les gestionnaires de fichiers, et tout le monde trouve ça normal. C'est clairement une faille dans le navigateur.

              Si tu regarde le code source de la page, tu verras qu'aucun objet n'est caché.que la selection soit possible ou non sur un objet caché n'y changeront donc rien ici.

              • [^] # Re: Mine de rien, y'a du vrai

                Posté par  . Évalué à 3.

                Quelque chose d'infiniment petit et d'une opacité nulle si c'est pas caché c'est quoi ?

                <span style="float: right; font-size: 0px; opacity: 0.0;">

                Please do not feed the trolls

                • [^] # Re: Mine de rien, y'a du vrai

                  Posté par  (site web personnel) . Évalué à 2.

                  Quelque chose d'infiniment petit et d'une opacité nulle si c'est pas caché c'est quoi ?

                  C'est petit et transparent, ce n'est pas caché. Si tu met une police petite et transparente dans un gestionnaire de fichier, tu pourras très certainement sélectionner le fichier. Je ne fais que répondre au commentaire précédent qui dit qu'une selection de fichier visible n'entraine pas la selection des fichiers cachés. Il n'y a pas de rapport entre son analogie et le cas présent.

                  • [^] # Re: Mine de rien, y'a du vrai

                    Posté par  . Évalué à 5.

                    Je ne vois pas en quoi l'analogie n'est pas valide…

                    Sur unix, les fichiers commençant par un point sont cachés, sélectionner un groupe qui en comprend un ne le sélectionne pas, d'ailleurs par défaut plein de commandes les ignores.

                    Sur une page web, un texte de taille nulle ou opacité nulle est caché. Bon, c'est vrai, c'est un peu plus compliqué pour savoir si quelque chose est visible ou non, c'est peut être juste très très petit ou très très peu contrasté. Mais la question n'est pas là.

                    Please do not feed the trolls

                  • [^] # Re: Mine de rien, y'a du vrai

                    Posté par  . Évalué à 5.

                    La notion de "caché" est toute relative. Caché pour qui ? Pour l'OS, l''utilisateur, l'admin ?.

                    Si tu regarde le code source de la page

                    Quand dans ton gestionnaire de fichier tu fais sélectionner tout tu sélectionnes ce qui est visible.
                    Pourtant si tu regardes le "code source" de ton dossier tu y trouveras d'autres fichiers.

                    Je n'ai jamais vu personne dénoncer ce comportement. Quelle est la différence ?

                    "Gna gna c'est pas caché c'est transparent" allez-vous me répondre.

                    De la même façon qu'un file manager dit "si il y a un point au début du nom cache ce fichier" un navigateur devrait dire "si un élément a opactity:0 cache ce texte".

                    Un fichier, un élément, n'est jamais fondamentalement et absolument caché. C'est au logiciel de définir ces notions.

                    • [^] # Re: Mine de rien, y'a du vrai

                      Posté par  (site web personnel) . Évalué à 2.

                      Donc la même chose avec un opacité de 0.5% tu considèrerais qu'il n'y a pas de soucis et que c'est un comportement normal ? La notion de "caché" est ici subjective, et donc difficilement détectable par le programme.

                      D'ailleurs tu peux faire strictement la même chose avec un fichier ODT, un fichier PDF, … et tout éditeur de texte structuré.

                      • [^] # Re: Mine de rien, y'a du vrai

                        Posté par  . Évalué à 3.

                        Le problème c'est que c'est difficile à faire ou bien qu'il ne faut pas le faire ?

                        Please do not feed the trolls

                      • [^] # Re: Mine de rien, y'a du vrai

                        Posté par  . Évalué à 6. Dernière modification le 13 juillet 2013 à 16:45.

                        Oui bon on envoie des robots sur Mars ça devrait pas être impossible de définir des règles capables de couvrir une majorité des cas, à defaut d'être exhaustives.

                        D'ailleurs "Google le faisait il y a 10ans" en repérant les tricheurs qui passaient le texte de la même couleur que le fond. C'est toujours en vigueur aujourd'hui (j'imagine que la technique a bien évolué), si tu blindes ton site de text-indent par exemple tu ne vas pas te faire très bien voir.

                  • [^] # Re: Mine de rien, y'a du vrai

                    Posté par  . Évalué à 4.

                    C'est petit et transparent, ce n'est pas caché

                    Ça existe mais c'est transparent, donc c'est pas visible, donc c'est caché. CQFD.

                    Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                    • [^] # Re: Mine de rien, y'a du vrai

                      Posté par  (site web personnel) . Évalué à 2.

                      Je ferais la même page avec une opacité de 0.5% tu trouverais donc normal que le copier/coller selectionne ce texte si je comprends bien, 0.5% ce n'est plus transparent donc visible (ou pas).

                      • [^] # Re: Mine de rien, y'a du vrai

                        Posté par  . Évalué à 1.

                        Tu joues sur les mots, mais ça ne change rien au sens.

                        Dans tous les cas tu modifies un paramètre pour que l'utilisateur ne remarque pas ce texte, ce qui ne signifie pas que c'est exactement invisible. Donc c'est volontairement caché.

                        Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                        • [^] # Re: Mine de rien, y'a du vrai

                          Posté par  . Évalué à 4.

                          A 0,5, ca reste invisible
                          Mais la question posée est il possible d'avoir un règle générique qui permette de séparer les cas légitimes d'illégitimes, ou de découvrir tout les petits contournement possibles.

                          Une règle simple me parait, lors de la sélection, de normaliser et de contraster fortement le texte qui sera envoyé au presse papier

                • [^] # Re: Mine de rien, y'a du vrai

                  Posté par  . Évalué à 1.

                  si c'est pas caché c'est quoi ?

                  Un sujet potentiel de philo pour 2014 ? :D

                  CC-BY-NC-SA

    • [^] # Re: Mine de rien, y'a du vrai

      Posté par  . Évalué à 3.

      ce qui m'a retenu de le faire c'est :

      SUID_TOKEN=0x800000007FFFFFFE

      quand je ne comprend pas, j'evite de l'utiliser. un peu comme la commande pour planter bash :(){ :|:& };:, a l'epoque je ne la comprenais pas :). bon après, si c'est un bete awk/perl il y a de forte chance que je le copie colle.

      • [^] # Re: Mine de rien, y'a du vrai

        Posté par  . Évalué à 3.

        Ba oui mais d'un autre coté affecter une valeur à une variable shell et l'exporter ça ne peut pas faire de mal du coup je ne vois pourquoi s eméfier de la valeur inconnue…
        (Oui, je me suis fait piéger :D)

        • [^] # Re: Mine de rien, y'a du vrai

          Posté par  . Évalué à 4.

          Quand même, des variables marqué GLIBC et SUID, tu n'es sur que ça ne fait aucun mal que si tu ne fais strictement plus rien apres

      • [^] # Re: Mine de rien, y'a du vrai

        Posté par  . Évalué à 3.

        Ok alors la prochaine fois que je te croise, je te demande de tester une commande perl et derrière j'y cache un rm -rf /*, t'en dis quoi ?

        • [^] # Re: Mine de rien, y'a du vrai

          Posté par  . Évalué à 2. Dernière modification le 13 juillet 2013 à 17:00.

          essaye, mais il va falloir que j'ai besoin de la commande pour la copier coller, si un gars de linuxfr ne sait pas tester une commande perl c'est louche ;), je ne le ferais pas juste pour voir. Tu poste le meme journal avec une commande awk (avec des kill caché partout) :

          awk -f END {
    for (i=0;i<30;i++) {
    printf("i=%d\n", i) > "/tmp/" i;
    }
}

          avec comme commentaire : c'est genial ! il y a la liste des devellopeurs qui s'affiche en color ascii art! !! !!! ! lol

          heu je ne vais pas la copier pour autant \o/

          • [^] # Re: Mine de rien, y'a du vrai

            Posté par  . Évalué à 1. Dernière modification le 13 juillet 2013 à 23:41.

            HAHA ELLE EST BIEN BONNE ! Je crois qu'on ne s'est pas bien compris là. Tu crois vraiment un seul instant que je glisserais des commentaires qui n'ont aucunement rapport avec ce qui est affiché et qui sera a priori exécuté ?

            Comme pot de miel on a vu mieux.

  • # Pour prendre les bonnes habitudes...

    Posté par  . Évalué à 4.

    … on peut désactiver la sélection sur les balises de code:

    export CSS='pre { user-select: none; -moz-user-select: none; }'
export PROFILES_PATH=$HOME/.mozilla/firefox
export PROFILES="`cat $PROFILES_PATH/profiles.ini | grep Path= | cut -d= -f2`"

echo $PROFILES | xargs -I{} mkdir $PROFILES_PATH/{}/chrome
echo $PROFILES | xargs -I{} sh -c "echo \"$CSS\" >> $PROFILES_PATH/{}/chrome/userContent.css"

    Envoyé depuis ma Debian avec Firefox

  • # Mac OS aussi

    Posté par  (site web personnel, Mastodon) . Évalué à 8. Dernière modification le 13 juillet 2013 à 07:31.

    Héhé, MacOS est vulnérable aussi :-D

    • [^] # Re: Mac OS aussi

      Posté par  . Évalué à 8. Dernière modification le 13 juillet 2013 à 11:48.

      En l'occurrence, ça a plus à voir avec le navigateur (qui copie dans le buffer de sélection X du texte caché via le code de la page) que de l'OS ou de X.

      Voilà, preuve éclatante est faite que lynx poutre toutes les clicomerdes ouebiques qui nous dessinent l'Internet over HTTP la Toile du futur®. \o/

  • # Note

    Posté par  . Évalué à 7.

    Vu le nombre de personnes qui se sont fait avoir, je ne comprends pas pourquoi ce journal (noté à -16) est inutile …

    • [^] # Re: Note

      Posté par  . Évalué à 5.

      par vengeance ? :D

      d'ailleurs chez moi ce n'est pas inutile pertinent c'est :

      vengez vous - ne cliquez pas

    • [^] # Commentaire supprimé

      Posté par  . Évalué à -2.

      Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Note

      Posté par  (site web personnel) . Évalué à 1.

      Tout à fait. Là où j'ai pris une bonne leçon, c'est que ce truc marche aussi même en copiant une seule ligne et en prenant la précaution de mettre un # au début de la ligne.

    • [^] # Re: Note

      Posté par  . Évalué à 7.

      Parce que la même chose a été posté il y a quelque mois, dans un journal qui donnait plus d’information que : « cliquez sur ce lien contenant une insulte ».

      • [^] # Re: Note

        Posté par  . Évalué à -2.

        Oui bien sûr, seuls ceux qui s'étaient déjà fait avoir n'étaient que ceux qui ont voté "inutile"

  • # Y a une autre faille...

    Posté par  . Évalué à 7.

    En fait on peut pas appeler vraiment ça une faille, mais c'est sympa de nous autoriser à accéder à tout le contenu du répertoire parent http://people.zoy.org/~sam/

  • # Workaround

    Posté par  (site web personnel) . Évalué à 0.

    Perso, j'ai fait comme ça dans mon zshrc: https://github.com/vincentbernat/zshrc/blob/master/rc/paste.zsh

    Voir aussi:

    • [^] # Re: Workaround

      Posté par  . Évalué à 6.

      Si j'ai bien compris la manip', le deuxième lien a l'air de dire que c'est une fausse bonne solution:

      Please note that Bracketed Paste Mode DOES NOT fix this because the end sequence can be inside the text you paste! For those of you who have installed the oh-my-zsh stuff, sorry, but the following variant (which includes an escape sequence) still works against you:

      git clone [201~/dev/null; clear; echo -n "Hello ";whoami|tr -d '\n';echo -e '!\nThat was a bad idea.
      Don'"'"'t copy code from websites you don'"'"'t trust!
      Here'"'"'s the first line of your /etc/passwd: ';head -n1 /etc/passwd
      git clone git://git.kernel.org/pub/scm/utils/kup/kup.git

      De toute manière, on ne peut corriger ça qu'au niveau du navigateur. C'est clairement un bug de sa part, dans la mesure où c'est lui qui copie quelque chose de différent de ce qu'il présente via l'UI.

      • [^] # Re: Workaround

        Posté par  . Évalué à 1.

        Faire un plugin firefox qui détecte toutes les zones ou le texte est de faible opacité, petite taille, proche de la couleur de fond (déjà plus difficile je pense) et afficher un "attention parties potentiellements cachées" avec une petite icone de loupe dans les zones potentiellement problématiques serait déjà assez pratique je pense. Ça mettrai au moins la puce à l'oreille.

  • # Quel risque ?

    Posté par  . Évalué à -3.

    Salut,

    Je risque quoi à cliquer, concrètement ? Je n'ai pas envie de perdre mon travail et je n'ai pas pour habitude d'ouvrir un .txt.

    Une âme charitable, sans troll ou drôle de cynisme, pour m'expliquer s'il vous plaît ? :)

    • [^] # Re: Quel risque ?

      Posté par  . Évalué à 1.

      à cliquer rien du tout :)

      • [^] # Re: Quel risque ?

        Posté par  . Évalué à 1.

        de devoir redémarrer
        tu peux simplement voir le contenu du script en le copiant/collant dans ton éditeur favoris

    • [^] # Re: Quel risque ?

      Posté par  . Évalué à 2.

      Il a un kill -9 1 cache dans une fonte de taille 0.
      Tu le voit pas, mais quand tu copies/colles, ca tue le process 1 et tu te retrouves gros jean comme devant.

      Pas de quoi fouetter un chat, mais de quoi tenir zenitram eveille pendant 6 a 8 heures, avant qu'il passe a autre chose.
      La ou il est malin, c'est l'exension .txt qui sert en fait du html qui ressemble au rendu du vra i.txt, ce qui a tendance a endormir les soupcons.

      Linuxfr, le portail francais du logiciel libre et du neo nazisme.

      • [^] # Re: Quel risque ?

        Posté par  . Évalué à 3.

        Il a un kill -9 1 cache dans une fonte de taille 0.
        Tu le voit pas, mais quand tu copies/colles, ca tue le process 1 et tu te retrouves gros jean comme devant.

        Ce n'est pas ça. La commande est kill -9 -1 qui lance un signale KILL à tous les processus. Ça tue donc tous les processus que l'utilisateur courant peut tuer.

        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

        • [^] # Re: Quel risque ?

          Posté par  . Évalué à 2.

          Pour être précis c'est plus exactement un kill -9 -1
          et du coup cela fait l'opposé de ce que tu décris : tous les process sauf le process 1 vont recevoir le signal …
          mais c'est bien aussi :-)

          • [^] # Re: Quel risque ?

            Posté par  . Évalué à 1.

            désolé, pas rafraîchi la page … pas vu que tu avais déjà répondu :-(

            • [^] # Re: Quel risque ?

              Posté par  . Évalué à 1. Dernière modification le 15 juillet 2013 à 10:56.

              Merci à vous ! J'ai pu voir en copiant dans un éditeur de texte. J'avais déjà vu ce genre d'exploit.

              Comme quoi, il faut vraiment éviter le copié/collé de commandes et autres. Enfin, c'est comme ça que je fais. Aussi, c'est pour cela que j'apprécie certains gestionnaires GUI.
              Par exemple, pour mes parents ou ma copine, pour installer des logiciels, je préfère qu'ils utilisent MintInstall plutôt que de copier une ligne de commande obscure.

              Bon, pour le coup, ils sont sur Mint (je suis sur Archlinux et Debian), mais c'est le genre d'outil que je trouve pratique pour eux. :)

              Edit : Encore merci ! :)

  • # coup de pub

    Posté par  . Évalué à 4.

    pas mal.

    Un journal est déjà passé par là il y à quelques semaines avec la même technique.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.