Journal Abus des logiciels de type wiki

Posté par  .
Étiquettes :
0
8
août
2004
Voici quelque jours que le site de cppunit - http://cppunit.sf.net(...) est défacé. Cependant
je ne sais pas quoi il retourne mais voici ce que je retiens.

Les sites de type wiki permettent à tous et n'importe qui de modifier
les pages. C'est sur ce principe que repose le site de cppunit ainsi
que d'autre - Wikipedia par exemple.

Cependant un script assez simple peut être très dérangeant pour ces
sites : soit un script qui se créer un compte sur le wiki et édite ce
wiki là pour y mettre ce que son auteur veut.
Cependant, on remarquera que le site de cppunit ne nécessite aucun
login pour effectuer les modifications... Après quelques recherches,
cppunit est basé sur PmWiki. Or même le site de PmWiki est modifiable
sans mots de passe !

Imaginons maintenant les Wiki d'entreprises affectés de la sorte...
Utopie me direz-vous ?
Aller jetez un coup d'oeil sur http://www.pmwiki.org/wiki/PmWiki/PmWikiUsers(...)
et essayez divers liens...

Le défacement du site en est le résultat...
Le but n'en est en aucun cas la renommé d'un pirate mais tout
simplement de la publicité....

Enfin on notera que tout est question de sécurité : pourquoi laisser
un accès libre à son wiki...

  • # Question bête, réponse idiote...

    Posté par  . Évalué à 10.

    pourquoi laisser un accès libre à son wiki...
    Parce que c'est le but d'un wiki ?

    • [^] # Re: Question bête, réponse idiote...

      Posté par  . Évalué à 7.

      Le but d'un wiki est d'être modifiable par tout le monde, de manière constructive. Par tout le monde, on entend n'importe quel humain. Le but d'un wiki n'est pas de pouvoir être détruit automatiquement par un script.
      Une solution toute simple pourrait être de demander une validation du type "taper le texte inscrit dans l'image" pour être sûr que la modification a bien été effectuée par un humain. Ça préserve à la fois le contenu et la liberté de modification.

      • [^] # Re: Question bête, réponse idiote...

        Posté par  (site web personnel) . Évalué à 4.

        Mais au combien pénible !

        Je peste a chaque fois que je rencontre un dialogue du style personellement :(

        • [^] # Re: Question bête, réponse idiote...

          Posté par  . Évalué à 2.

          Pourquoi pestes-tu ? Si tu as pris le temps de contribuer, ne serait-ce que 5 minutes, tu peux bien prendre 3 secondes de plus pour reproduire quelques lettres inscrits dans une image, tout de même.
          Imagine : tu modifies un texte, tu vérifies le rendu, il reste une faute d'orthographe, donc tu re-modifies encore. Le deuxième rendu est bon, tu tapes les quelques lettres pour prouver que tu es un humain et tu valides ta modification. On ne peut pas dire que ça soit réellement contraignant.
          Si c'est intègré discrètement (pas de pop-up, par exemple) dans le processus de contribution, il n'y a aucune raison que ça te fasse pester. :)

          • [^] # Re: Question bête, réponse idiote...

            Posté par  . Évalué à 4.

            ça dépend. je corrige parfois des typos dans divers wikis où je passe en cherchant d'autres choses, mais si je dois allumer mon cerveau pour de bon pour comprendre ce qui est voulu pour ce genre de vérification, je peux laisser tomber.

          • [^] # Re: Question bête, réponse idiote...

            Posté par  (site web personnel) . Évalué à 2.

            De toute façon, du temps que cela avait été introduit pour poster une commentaire ici, qqn a réussi en même pas une journée a pondre un logiciel capable de renvoyé sous forme de texte le contenu de limage...
            Donc ce type de protection ne vaut rien, comme n'importe quelle autre protection, du moment que l'information est numérique et que cela transite par internet, il y aura toujours un moyen de casser nimporte quelle sécurité...
            Bon d'accord, certain sont plus difficile (parfois au point que cela semble impossible) à casser, mais au final, on finira toujours par y arriver !

          • [^] # Re: Question bête, réponse idiote...

            Posté par  . Évalué à 1.

            Sincèrement sur le plan accessibilité, ce genre de truc me fait franchement ch... Je n’ai pas envie d’avoir constamment quelqu’un sous la main pour le lire l’image à chaque fois ! Je comprends qu’il faille restreindre l’accès sous peine d’abus, m’enfin, la question mérite d’être posée tout de même.

      • [^] # Re: Question bête, réponse idiote...

        Posté par  . Évalué à 2.

        Je me rappel justement d'un message posté par une personne mal voyante qui ne pouvais pas voter les journaux... Et une personne capable de creer un script dans le seul but de "faire chier le monde" pourra toujours aller defasser à la main...

  • # le wiki est fait pour être édité par tout un chacun...

    Posté par  (site web personnel) . Évalué à 6.

    pour voir comment marche un wiki :
    http://www.usemod.com/cgi-bin/mb.pl?WhyWikiWorks(...)

    et comment il se protège :
    http://www.wikini.net/wakka.php?wiki=ProtectionContreLeVandalisme(...)
    ce qui a été mis en oeuvre :
    http://www.wikini.net/wakka.php?wiki=TentativesDeVandalismeSurWikiN(...)

    d'autres liens :
    http://phpwiki.sourceforge.net/phpwiki/index.php?HowToBlockRobots(...)
    http://phpwiki.sourceforge.net/phpwiki/index.php?HowToHandleRobots(...)
    http://www.usemod.com/cgi-bin/mb.pl?EditThrottling(...)
    http://www.emacswiki.org/cgi-bin/community/HostileSoftware(...)

    c'est effectivement à la communauté qui consulte le wiki de le protéger...
    pour faire de la documentation en commun c'est quand même très très pratique et cela laisse l'accès même au noobie, ce qui permet de faciliter le premier pas... Quand tu vois la difficulté qu'ont déjà certain à poster sur un forum, le wiki permet de laisser l'entrée libre.

    Perso, quand un site m'impose de m'authentifier, il y a des fois où je ne participe même pas :
    - ça fait un nième endroit où mon mail peut être utilisé pour me spammer,
    - si ce n'est pas phpBB qui est utilisé je ne suis jamais sûr que le password est encrypté (donc j'en mets un au hasard),
    - parfois après authentification tu n'es même pas renvoyé sur la page où tu souhaitais contribuer...

  • # La connerie des gens :(

    Posté par  (site web personnel) . Évalué à 3.

    Malheureusement, si tout le monde pouvait un peu respecter la nettiquette, ce genre de chose n'arriverait pas.

    Le but d'un wiki est d'être communautaire et sans mot de passe, jusqu'a plus ou moins récemment ce genre de chose fonctionnais très bien, car les "petits cons" ne s'etait pas encore intéressé à la chose.
    Mais depuis peu les chose sont entrain de changer, et c'est bien dommage. Je pense qu'on va voir fleurir les wiki de plus en plus protégé, avec de plus en plus de sécurité, tout sa car certaine personne ne respecte pas le travail des autres...

    Sans trop de rapport, je me rapelle avoir vu un film (Revolution OS) ou Stallman disait que la fin de la liberté au MIT, c'était quand les big boss avait introduit des mot de passes sur leurs ordinateurs.
    Je pense qu'il na pas tout tort.

    Je trouve vraiment pénible de devoir autant sécurisé internet et le monde de linformatique en général, simplement car des connards (désolè, mais c'est le mot) n'ont pas d'autres occupations que de pourrir la vie des autres users

    • [^] # Re: La connerie des gens :(

      Posté par  . Évalué à 2.

      Tu as trop regardé Casimir, toi ! :D
      Bon, il faut arrêter de rêver, le monde parfait ça n'existe pas. Et même pire, au risque de passer pour un rabat-joie, ça n'existera jamais. Il y aura toujours des gens pour te faire du tord. Non pas parce qu'ils sont de vilains-méchants à la botte du Mal, mais parce que, pour eux, leurs intérets passent avant les tiens, de même que pour toi les tiens passent avant les leurs. Un monde merveilleux supposerait que personne n'ait d'intéret, autrement dit que tout le monde soit comblé ... et tant qu'on mourra, ça ne sera jamais le cas (dixit je-ne-sais-plus-qui)
      Donc, pour revenir au sujet de Wiki, oui, il faut prévenir les mauvaises intentions, sans pour autant entrer dans le cercle vicieux de la paranoïa. Tout est une question d'équilibre.

    • [^] # parle français

      Posté par  . Évalué à 1.

      ça te fait mal au cerveau d'écrire "utilisateur" ?
      Ou peut-être c'est trop long...

      • [^] # Re: parle français

        Posté par  (site web personnel) . Évalué à 1.

        Disons que d'utiliser un Linux en anglais, de toujours être sur des site en anglais, lire la doc en anglais, et surtout le fait que le mot soit deux fois plus court en anglais n'aident pas à l'écriture de "utilisateur" mais Mea Culpa Maxima (c'est du latin, mais je peux l'écrire en français la prochaine fois si tu veux...). Je le referai plus :)

        Sinon, en bon français, on devrait dire :
        "Ou peut-être est-ce trop long ?"

        Mais je dis sa juste en passant hein...

        Bonne journée :p

  • # Tu as raison !

    Posté par  . Évalué à 2.

    Je pense qu'il faudrait aussi supprimer toutes ces pages statiques et revenir au HTML kiboujpas !

    Tu sais que le principe d'un wiki c'est de pouvoir restaurer la version n-1,2,3,4,... en un clic ? Donc on se moque un peu des gens qui feraient des modifs.

    Et au passage ca ne laisse pas les mêmes traces qu'un journal.

    M

    • [^] # Re: Tu as raison !

      Posté par  . Évalué à 0.

      Arf oui c vrai !!! J'ai di qu'il fallait supprimer le wiki !!!
      Tu me montres ou j'ai dis ca ? A part " pourquoi laisser un accès libre à son wiki..." qui a déja été discuter auparavent...

      > Donc on se moque un peu des gens qui feraient des modifs.
      Tiens, vas-y vas sur http://cppunit.sf.net(...(...(...))) et restaure les anciennes versions... entre chaque action du script malicieux (et non pas une personne !! Ca te dirait un boulot a plein temps ? Enfin on peut surement bloquer l'execution du script en fonction de son ip et autre....

      Je ne critique pas le principe du wiki, je l'utilise personellement et je trouve ca intéressant (discution entre développeur,...). Mais l'utiliser pour des données sensibles et sans protection "correcte" de modification. Je trouve ca dommage.

    • [^] # Re: Tu as raison !

      Posté par  . Évalué à 2.

      >Et au passage ca ne laisse pas les mêmes traces qu'un journal.

      Et au passage... Ca sert à quoi un journal si ce n'est pas pour passer un petit texte sur mon humeur ?
      Il fut un temps, où il était expliqué que les journaux servaient a écrire ce que l'on voulait, et l'on pouvait en abuser... Te souviens tu ?

      Les réponses à MON journal m'ont interessé, et je ne penses pas avoir été borné et dire "j'ai raison !!" mais a expliqué ce que je pensais non ?

    • [^] # Re: Tu as raison !

      Posté par  . Évalué à 3.

      tu sais donc aussi que le 'm' du n-m est peut-être limité, par exemple à 10 ou 20, et que c'est un réglage interne à chaque Wiki ?

      un nuisible déterminé peut modifier un Wiki au point de le rendre inutilisable pour de bon, le temps qu'une copie de sauvegarde de la base de données derrière soit utilisée pour en restaurer le contenu.

      pour peu qu'il soit vraiment en forme, il recommencera aussitot cette remise en place du contenu faite.

      filtrer son ip, son fournisseur ? il utilisera des proxies.

      ne vous en faites pas, les nuisibles professionnels ont quelques heures de vol, connaissent tous les trucs et astuces, et ont des copains prêts à se relayer pour continuer le grand oeuvre.

      ça peut prendre des proportions épiques, et peut aboutir à du whitelisting, où seuls des gens enregistrés, connus et recommandés les uns par les autres peuvent utiliser l'outil en tant que contributeur.

  • # Parlons français

    Posté par  . Évalué à 1.

    <mode_chieur>
    Voici quelque jours que le site de cppunit est défacé

    En bon français, on dit « defiguré »
    </mode_chieur>

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.