Si tu lisais les commentaires, tu verrais que dès le début aucune intention de faire un exploit n'était là (en tout cas de ma part, n'ayant pris aucune précaution pour masquer mon IP), contrairement à ce que s'est amusé à raconter Brain-0verride. Quant à tesiruna, son précédent journal se moquant des "hackers" (aux pseudos idiots, tiens ça me rappelle quelqu'un), permets-moi d'en douter aussi.
Personnellement je ne me vends pas comme expert sécurité à 5000€ la journée, et je n'ai aucune prétention sur mon niveau. Par ailleurs, personne n'a rien cassé sur son site.
J'utilise RefControl pour Firefox. On peut mettre un comportement différent pour certains domaines, et envoyer un faux referrer correspondant à la racine du site qui contient le contenu demandé.
Comme je rencontre pas mal de certificats auto-signés, j'utilise maintenant Certificate Patrol, un addon Firefox. C'est assez bien fait, et relativement accessible à un utilisateur inexpérimenté.
Je n'ai pas trop eu envie de mettre des gants vu la prétention du bonhomme.
La découverte bonus de ce matin, sur la page sa biographie Intelink, il est à côté de Einstein (article copié de Wikipédia sans mention de licence, par ailleurs) ou Sarkzoy.
Oh je comprends ce qu'il veut dire, le problème… c'est qu'il ment.
À voir ses commentaires, il change de discours, il est particulièrement empressé et confus, et ne comprend pas grand-chose à ce qu'il raconte. Je dis ça parce que malheureusement je n'ai pas enregistré ce que j'ai vu, je ne sais pas si d'autres l'ont fait, enfin de toute façon il y a pas vraiment de moyens objectifs sachant que chacun peut fournir son faux message ou log.
En revanche, tu peux te balader sur ses différents sites (tous hébergés sur le même serveur, y compris ses super clients secret défense se la mort), et là… plus de doute.
Bon impossible de discuter face à des gens qui n'ont *aucun* arguments, "tu t'enfonces bla bla", aucun fait, comme d'habitude.
Pourtant abondement détaillés et pas que par moi. Pourquoi "comme d'habitude" ?
En tout cas tu ne sais pas qu'on peut obtenir une adresse IP avec un nom de domaine, qui est toujours présent dans le log.
en ce qui me concerne les bases se migrent parfaitement de mysql vers mariadb et sans soucis
Peut-être que le monde ne se résume pas à ta petite vie et tes sites à 3 tables ?
Ce que tu racontes ne veut rien dire. Je pense que tu t'es assez ridiculisé comme ça. Tu as aussi raconté n'importe quoi sur MariaDB. Inutile de t'enfoncer plus.
L'erreur dont tu parles dans ton article, je l'ai vue… quand je rentrais des données trop courtes. Par ailleurs, pourquoi avoir "blacklisté" des adresses IP s'il n'y avait pas de faille ? Ça n'a aucun sens.
Enfin, je te prierai d'enlever les adresses IP de tes logs ; l'adresse IP est une donnée privée d'après la CNIL. Et je ne suis que la première IP dans tes logs (j'utilise pas Ubuntu, ça va pas non ?). Ce n'est pas moi qui ait publié le journal.
Tu devrais aussi utiliser escapeshellarg() dans ton qmail.php.
Et… c'est justement le problème de Microsoft. C'est triste que tu sois à côté de la plaque à ce point. Après avoir lu "si ils pensaient de facon logique ca se saurait", j'ai du mal à te prendre au sérieux. (Même en imaginant des accents imaginaires.)
Ça ne veut pas dire que Microsoft n'est pas un mauvais investissement maintenant (les gens qui ont des actions Microsoft doivent rêver d'un nouveau méga-dividende, à raison). Ça veut dire que ce n'est plus un investissement "sexy". Et ça n'est pas bon dans un domaine qui change constamment.
Effectivement, IE9 fin de bêta est moins ridicule qu'à ses débuts : http://caniuse.com/
Je suis surpris, c'est une bonne nouvelle.
Cependant, il est toujours derrière ses concurrents, ceci dit bien moins que IE8, en supposant que tout les bugs CSS et JS d'IE8 ont été corrigés. Enfin, malheureusement il ne tourne pas sur la version de Windows la plus populaire actuellement.
Comment je peux vérifier tes dires sur Hotmail et Gmail ?
Mais on s'en fout un peu de ce que les investisseurs pensent
Tu n'as juste rien compris. La page est là pour expliquer pourquoi distribuer des dividendes n'est pas une bonne chose pour une entreprise technologique. Les valeurs absolues n'ont aussi aucun intérêt.
Enfin bon je note, Microsoft se fout de ses investisseurs.
Le message d'erreur était affiché via la commande "echo"
Donc il y avait bien un message d'erreur, je n'ai pas rêvé. Et il affichait la requête, ce qui rend le boulot du script kiddie super facile.
mysql_real_escape_string() ne peut pas être utilisé : il n'y *a pas* de base de données..
Que la base n'existe pas (ce qui n'était pas vrai quand j'ai essayé, cf. un de mes commentaires précédents : le premier message sans " a pas affiché d'erreur) je ne vois pas trop ce ça change : il y aura tout de même une connexion à MySQL, et ça permet de faire des trucs.
Eh bien je reste « septique » comme une fosse. Quand j'ai essayé en tapant n'importe quoi, j'ai bien eu un message d'erreur avec une requête affichée. Je pense qu'on parle pas du même truc, j'ai pas vu de /admin. Par ailleurs, il ne faut pas juste tester les variables, il faut les échapper, avec mysql_real_escape_string() en PHP, c'est une bonne pratique de base.
Je ne sais pas de quoi tu parles, j'ai juste utilisé le formulaire de contact de "Digital Network" et mis des caractères à la con dans les champs.
Enfin, ce n'est pas le reverse DNS d'un serveur, mais de mon accès ADSL, et je suis bien conscient de son non-anonymat total. Vu que je n'ai fait que constater, je n'ai pas grand-chose à me reprocher. En revanche tu devrais corriger ça rapidement parce que le premier script kiddie qui passe par là…
J'ai envoyé sans ", ça passait. Je met des ", message d'erreur. Tu vas pas me dire que le code d'insertion dans une base MySQL est appelé uniquement quand je met un " dans un champ, non ? Après, j'y connais absolument rien en injections SQL, mais visiblement plus que toi…
Je voulais voir si le formulaire de contact PHP d'un expert sécurité fonctionnait bien.
J'ai tapé des ", puis j'ai vu qu'il y avait des restrictions sur la longueur ou le format, donc j'ai remplacé par des mots jusqu'à ce que ça passe. Puis j'ai oublié pourquoi j'étais là.
Bref, je me remets à mon activité originelle, je remet des anus avec un " à la fin. Résultat ?
Erreur MySQL affichée en clair.
ON PEUT FAIRE DES INJECTIONS SQL ET SUPER FACILEMENT.
Ça me fait de mal de voir les tarifs que tu sembles pratiquer pour ton "expertise".
C'est un changement, et pour avoir testé un logiciel avec MySQL et MariaDB, il ne passait pas les tests unitaires avec MariaDB. Je ne suis pas allé plus loin, mais c'est une raison suffisante pour ne pas forcer les utilisateurs sur MariaDB.
Ce que j'attends d'une distribution, c'est le sérieux et la stabilité, pas le passage au dernier truc à la mode. Ma distribution est restée très longtemps sur MySQL 5.0, et ils avaient raison. MariaDB y est disponible par ailleurs — mais c'est un choix offert et pas imposé.
Par ailleurs, ce n'est pas la seule version différente de MySQL qui soit disponible, pourquoi celle-là gagnerait ?
[^] # Re: Une version qui plaira à TF1
Posté par DLFP est mort . En réponse au journal Pour l'été, faites vous enfler.. Évalué à 2.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Propos diffamatoires
Posté par DLFP est mort . En réponse au journal Faut-il avoir confiance dans Digital-Network ?. Évalué à 5.
Si tu lisais les commentaires, tu verrais que dès le début aucune intention de faire un exploit n'était là (en tout cas de ma part, n'ayant pris aucune précaution pour masquer mon IP), contrairement à ce que s'est amusé à raconter Brain-0verride. Quant à tesiruna, son précédent journal se moquant des "hackers" (aux pseudos idiots, tiens ça me rappelle quelqu'un), permets-moi d'en douter aussi.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Propos diffamatoires
Posté par DLFP est mort . En réponse au journal Faut-il avoir confiance dans Digital-Network ?. Évalué à 4.
Peut-être que derrière tout ça il y a un méga complot dlfpien, du genre qui fera le journal avec le plus de commentaires ?
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Propos diffamatoires
Posté par DLFP est mort . En réponse au journal Faut-il avoir confiance dans Digital-Network ?. Évalué à 6.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Propos diffamatoires
Posté par DLFP est mort . En réponse au journal Faut-il avoir confiance dans Digital-Network ?. Évalué à 2.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: et ?
Posté par DLFP est mort . En réponse au journal [HS] Des chips jusque dans les oreilles !. Évalué à 1.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Vol de bande passante
Posté par DLFP est mort . En réponse à la dépêche De l'utilisation abusive des images des autres et du vol de bande passante. Évalué à 3.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Civilisés
Posté par DLFP est mort . En réponse à la dépêche De l'utilisation abusive des images des autres et du vol de bande passante. Évalué à 1.
Ou encore ceci : http://pankkake.headfucking.net/2009/02/11/suicide-de-groupe(...) (j'ai encore plusieurs requêtes par jour !)
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Vol de bande passante
Posté par DLFP est mort . En réponse à la dépêche De l'utilisation abusive des images des autres et du vol de bande passante. Évalué à 2.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Certificat auto-signé
Posté par DLFP est mort . En réponse à la dépêche HSTS arrive dans Firefox 4. Évalué à 2.
http://patrol.psyced.org/
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Mieux qu'un long discours/troll stérile
Posté par DLFP est mort . En réponse au journal Faut-il avoir confiance dans Digital-Network ?. Évalué à 2.
La découverte bonus de ce matin, sur la page sa biographie Intelink, il est à côté de Einstein (article copié de Wikipédia sans mention de licence, par ailleurs) ou Sarkzoy.
Enfin, je ne suis pas l'auteur du journal… j'ai juste répondu à ce commentaire : https://linuxfr.org/comments/1163558.html#1163558
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Base de données
Posté par DLFP est mort . En réponse à la dépêche Mandriva Linux et après ? Mageia !. Évalué à 0.
À voir ses commentaires, il change de discours, il est particulièrement empressé et confus, et ne comprend pas grand-chose à ce qu'il raconte. Je dis ça parce que malheureusement je n'ai pas enregistré ce que j'ai vu, je ne sais pas si d'autres l'ont fait, enfin de toute façon il y a pas vraiment de moyens objectifs sachant que chacun peut fournir son faux message ou log.
En revanche, tu peux te balader sur ses différents sites (tous hébergés sur le même serveur, y compris ses super clients secret défense se la mort), et là… plus de doute.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Base de données
Posté par DLFP est mort . En réponse à la dépêche Mandriva Linux et après ? Mageia !. Évalué à 1.
Pourtant abondement détaillés et pas que par moi. Pourquoi "comme d'habitude" ?
En tout cas tu ne sais pas qu'on peut obtenir une adresse IP avec un nom de domaine, qui est toujours présent dans le log.
en ce qui me concerne les bases se migrent parfaitement de mysql vers mariadb et sans soucis
Peut-être que le monde ne se résume pas à ta petite vie et tes sites à 3 tables ?
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Base de données
Posté par DLFP est mort . En réponse à la dépêche Mandriva Linux et après ? Mageia !. Évalué à -2.
L'erreur dont tu parles dans ton article, je l'ai vue… quand je rentrais des données trop courtes. Par ailleurs, pourquoi avoir "blacklisté" des adresses IP s'il n'y avait pas de faille ? Ça n'a aucun sens.
Enfin, je te prierai d'enlever les adresses IP de tes logs ; l'adresse IP est une donnée privée d'après la CNIL. Et je ne suis que la première IP dans tes logs (j'utilise pas Ubuntu, ça va pas non ?). Ce n'est pas moi qui ait publié le journal.
Tu devrais aussi utiliser escapeshellarg() dans ton qmail.php.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Toujours les mêmes arguments
Posté par DLFP est mort . En réponse au journal Microsoft n'a pas changé. Évalué à 2.
Et… c'est justement le problème de Microsoft. C'est triste que tu sois à côté de la plaque à ce point. Après avoir lu "si ils pensaient de facon logique ca se saurait", j'ai du mal à te prendre au sérieux. (Même en imaginant des accents imaginaires.)
Ça ne veut pas dire que Microsoft n'est pas un mauvais investissement maintenant (les gens qui ont des actions Microsoft doivent rêver d'un nouveau méga-dividende, à raison). Ça veut dire que ce n'est plus un investissement "sexy". Et ça n'est pas bon dans un domaine qui change constamment.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Toujours lesmêmesarguments
Posté par DLFP est mort . En réponse au journal Microsoft n'a pas changé. Évalué à 2.
Je suis surpris, c'est une bonne nouvelle.
Cependant, il est toujours derrière ses concurrents, ceci dit bien moins que IE8, en supposant que tout les bugs CSS et JS d'IE8 ont été corrigés. Enfin, malheureusement il ne tourne pas sur la version de Windows la plus populaire actuellement.
Comment je peux vérifier tes dires sur Hotmail et Gmail ?
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Toujours les mêmes arguments
Posté par DLFP est mort . En réponse au journal Microsoft n'a pas changé. Évalué à 1.
Tu n'as juste rien compris. La page est là pour expliquer pourquoi distribuer des dividendes n'est pas une bonne chose pour une entreprise technologique. Les valeurs absolues n'ont aussi aucun intérêt.
Enfin bon je note, Microsoft se fout de ses investisseurs.
Je lis souvent des bêtises de ta part, mais là…
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Base de données
Posté par DLFP est mort . En réponse à la dépêche Mandriva Linux et après ? Mageia !. Évalué à 0.
Donc il y avait bien un message d'erreur, je n'ai pas rêvé. Et il affichait la requête, ce qui rend le boulot du script kiddie super facile.
mysql_real_escape_string() ne peut pas être utilisé : il n'y *a pas* de base de données..
Que la base n'existe pas (ce qui n'était pas vrai quand j'ai essayé, cf. un de mes commentaires précédents : le premier message sans " a pas affiché d'erreur) je ne vois pas trop ce ça change : il y aura tout de même une connexion à MySQL, et ça permet de faire des trucs.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Toujours lesmêmesarguments
Posté par DLFP est mort . En réponse au journal Microsoft n'a pas changé. Évalué à 3.
LOL. Non sérieusement. L O L.
LOOOOOOOOOOOOOOOOOOOOOOOOL.
Moi je regardes les chiffres, et ces chiffres sont clairs, Hotmail est devant GMail.
En nombre de comptes ? En nombre de visites ? En nombre d'heures passées sur le site ?
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Base de données
Posté par DLFP est mort . En réponse à la dépêche Mandriva Linux et après ? Mageia !. Évalué à 1.
DLFP >> PCInpact > Numerama >> LinuxFr.org
# Ça, c'est un journal qui dénonce !
Posté par DLFP est mort . En réponse au journal Faut-il avoir confiance dans Digital-Network ?. Évalué à 0.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Base de données
Posté par DLFP est mort . En réponse à la dépêche Mandriva Linux et après ? Mageia !. Évalué à 1.
Enfin, ce n'est pas le reverse DNS d'un serveur, mais de mon accès ADSL, et je suis bien conscient de son non-anonymat total. Vu que je n'ai fait que constater, je n'ai pas grand-chose à me reprocher. En revanche tu devrais corriger ça rapidement parce que le premier script kiddie qui passe par là…
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Base de données
Posté par DLFP est mort . En réponse à la dépêche Mandriva Linux et après ? Mageia !. Évalué à 1.
J'ai envoyé sans ", ça passait. Je met des ", message d'erreur. Tu vas pas me dire que le code d'insertion dans une base MySQL est appelé uniquement quand je met un " dans un champ, non ? Après, j'y connais absolument rien en injections SQL, mais visiblement plus que toi…
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Base de données
Posté par DLFP est mort . En réponse à la dépêche Mandriva Linux et après ? Mageia !. Évalué à 4.
J'ai tapé des ", puis j'ai vu qu'il y avait des restrictions sur la longueur ou le format, donc j'ai remplacé par des mots jusqu'à ce que ça passe. Puis j'ai oublié pourquoi j'étais là.
Bref, je me remets à mon activité originelle, je remet des anus avec un " à la fin. Résultat ?
Erreur MySQL affichée en clair.
ON PEUT FAIRE DES INJECTIONS SQL ET SUPER FACILEMENT.
Ça me fait de mal de voir les tarifs que tu sembles pratiquer pour ton "expertise".
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Base de données
Posté par DLFP est mort . En réponse à la dépêche Mandriva Linux et après ? Mageia !. Évalué à 4.
Ce que j'attends d'une distribution, c'est le sérieux et la stabilité, pas le passage au dernier truc à la mode. Ma distribution est restée très longtemps sur MySQL 5.0, et ils avaient raison. MariaDB y est disponible par ailleurs — mais c'est un choix offert et pas imposé.
Par ailleurs, ce n'est pas la seule version différente de MySQL qui soit disponible, pourquoi celle-là gagnerait ?
DLFP >> PCInpact > Numerama >> LinuxFr.org