Je pense quand même que le terme « script kiddie » qui est péjoratif n'a pas sa
place ici.
Il n'y a pas eu de tentative de piratage, pankkake a admis ne pas connaître les
injections SQL, c'était juste un test trivial dans l'unique but, j'imagine, de
voir si une boite qui fait de la sécurité informatique sécurise bien son propre
système d'information (et il s'est avéré que non).
Cf la définition Wikipédia :
Script kiddie ou encore lammer est un terme péjoratif désignant les pirates
informatiques néophytes qui, dépourvus des principales compétences en matière de
gestion de la sécurité informatique, passent l'essentiel de leur temps à essayer
d'infiltrer des systèmes, en utilisant des scripts ou programmes mis au point
par d'autres.
Aucun script n'a été utilisé, aucune tentative d'infiltration, juste la
découverte d'une faille et le report *immédiat* (CF le commentaire de pankkake)
de celle-ci.
Sachant que je n'avais pas non plus accès à ton site, tu viens une fois de plus
de mentir.
En outre, si jamais tu avais réellement blacklisté pankkake<, cela signifierait
que tu jugeais ses agissements comme une menace, donc qu'une faille existait
bel et bien.
Évidement, entre temps, le site est de nouveau up.
Lors de mes tests pour tenter de reproduire le problème, je constate que c'est
plus grave ce que je pensais :
− Lorsqu'on entre un " à la fin de juste l'adresse email, on tombe sur une page
vierge qui contient juste le message « mal joué »
— Lorsqu'on met un " à la fin de tous les messages, par contre, bizarrement, on
tombe *encore* sur une erreur SQL. Évidement, en tentant de faire davantage,
j'ai découvert que sa mesure de sécurité a été de… supprimer tout caractères
spéciaux des messages. Ainsi, en entrant « "'); SELECT * FROM digital_contact » :
Erreur dans l'exécution de la requete MySQL 'INSERT INTO digital_contact
(raison_sociale,adresse,code_postal,ville,nom_contact,prenom_contact,fonction,telephone,fax,email,act_principale,act_secondaire,message)
values ('','b','b','b','b','b','b','b\\' SELECT FROM digitalcontact','','pla@pla.prg','SSII','','__blah')'.Erreur MySQL retournée :
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'SELECT FROM
digitalcontact','','pla@pla.prg','SSII','','__blah')' at line 1
À la vue de ceci, je me permets d'être plus que dubitatif concernant l'expertise
qu'il peut apporter à de tels tarifs.
> Cashback n'existe plus, nos parts continuent de monter.
> Et pourtant si, alors qu'ils sont recents
> La XBox c'est pas tres important, XBox Live est l'element important, et ca ca
> va rester longtemps.
C'est facile de balancer des informations comme ça sans sources.
> Qui vivra verra, ca fait un petit moment que les parts de marche des
> navigateurs stagnent, IE8 a arrete la saignee, et IE9 est bien meilleur que
> IE8
On note que tu as largement omis de comparer avec la concurrence.
> Oh ca je sais pas, ce que je sais par contre c'est qu'ils sont tout aussi
> interessants que ce qu'on trouve chez Google, Apple et autres et ont tout
> autant de clients sinon plus (Hotmail, Live Messenger, ...).
Hotmail/MSN ça a surtout bien marché en Europe, et c'est historique. Moi je
constate au contraire une montée (chez les individus lambda) d'adresses gmail
face aux adresses hotmail. Ceci pour la simple et bonne raison que les adresses
hotmail ont été créées à la base pour dialoguer sur MSN, et que maintenant les
gens passent par Facebook pour la discussion instantanée. Du coup pour le mail
ils préfèrent utiliser GMail qui est quand même moins une daube que hotmail.
> Le concept terminal vs serveur ne me choquerait pas si on avait de vrais terminaux (à 100%) et de vrais serveurs
Bah, c'est en passe de devenir le cas, puisque maintenant un ordinateur
familiale n'a plus beaucoup d'applications qui ne soient pas utilisées dans un
navigateur.
Et il me semble que c'est le but de Google avec son futur-peut-être Google OS ?
> en plus parce que FT c'est un vrai dinosaure. L'organisation est assez hermétique au changement et ca met des mois a bouger. Le contraire de Google et Apple quoi...
Ne t'inquiètes pas, une purge est faite actuellement pour renouveler le
personnel qui n'aura plus les habitudes des administrations publiques.
> - Si un groupe de développeurs ne suit pas les libs concernées, à un moment
> donné il va y avoir un problème de version dans le paquet. Inclure les libs
> permet de se passer de ce genre de problème, qui peut être bloquant, sans que
> rien d'autre que le numéro de version n'ait changé pour le groupe en question
>
> - Pour la sécurité, j'ose imaginer que l'équipe qui fait le projet sait d'où
> vient ce qu'elle y a inclus , et est capable de s'abonner aux avis et en tenir
> compte.
En fait, tu dis que c'est chiant pour les développeurs de suivre les nouvelles
versions des libs qu'ils utilisent, mais que c'est moins chiant qu'ils
s'abonnent aux avis de sécurité sur les libs qu'ils utilisent ?
Ça n'a absolument aucun sens.
> - La mémoire, c'est uniquement la place du binaire sur le disque dur. Rien ne
> change à l'usage, quand tu fais un #include 'toto.h" ou un #include
> "/usr/lib/toto.h" si les deux libs sont identiques. Et même s'il faut y
> réfléchir, c'est quoi , 300ko de + , lorsque le To est à 70€ ? le soupçon de
> sérénité ?
Heu je pense que t'as pas compris. Un header contient juste en théorie les
prototypes des fonctions et les déclarations de types, en gros c'est utile qu'au
moment de la compilation et on s'en cogne.
En revanche, le linkage statique va inclure toute la lib dans l'executable, et
donc va l'alourdir, là où le linkage dynamique permet de charger la lib au
moment de l'exécution, et donc elle n'est présente sur le système qu'une seule
fois.
> - La collaboration, c'est si possible, et si on modifie la lib de façon
> conforme aux objectifs. Quand je vois que le paquet Epiphany inclue Gecko ,
> c'est à dire Firefox en entier sous FreeBSD, je me dis que quelque fois, les
> libs, ça pourrait être mieux géré. Si je devais faire un navigateur utilisant
> Gecko, crois moi, je prendrait tout ce qui concerne Gecko dans Firefox, mais
> ça serait du rm de tout le reste, et pas de remontées, peut -etre une énieme
> libGecko qui sera plus à jour à la prochaine update de firefox. ( à côté,
> webkit est dispo beaucoup plus facilement :s )
Bah dans ce cas là, la solution c'est qu'une libgecko développée upstream et
utilisée par Firefox soit bien faite, pas de pomper le code et de l'inclure dans
ton soft. Qu'est-ce que tu fais pour merger les modifs upstream de gecko après ?
> Quant à sqlite, en même temps, ce truc est fait pour être inclus dans les
> programmes . Sinon, faut travailler avec du lourd.
Heu j'ai peur de pas comprendre ce que tu veux dire.
> Ce qui serait pas mal c'est que tout le monde cherche à travailler ensemble,
> et la, je jette la pierre à Google qui me semble (je ne connais pas assez pour
> être sûr) fournit un gros truc énorme "démerdez-vous". Ce n'est certes pas
> obligatoire dans le libre, mais c'est dommage. Bon, pour leur défense, vu le
> monde que ça leur apporterait de consacrer du temps à faire les choses
> propres, je peux les comprendre. Bref pas tout le monde noir, mais pas blanc
> non plus.
Que lise-je ?? Zenitram qui dit qu'il faudrait que les acteurs du libres
devraient collaborer entre eux ? Pourtant la GPL ne l'oblige pas.
Je pense que pendant ses quelques jours d'absence il a été enfermé dans une
pièce sans eau ni nourriture ni déodorant avec RMS.
> D'un autre coté, je doute fortement que fork() ou équivalent n'existe pas sous
> les systèmes d'exploitations DOS / Windows, parce que ça impliquerait qu'en
> dehors du processus d'init, aucun autre programme ne pourrait jamais être
> lancé, hors il me semble pouvoir affirmer que ce n'est pas le cas.
Bah, suffit que START soit bloquant, du coup le processus père ne fait rien tant
que le processus fils est lancé.
Du coup, avec un tel comportement, le code batch en question n'est pas une fork
bomb, mais plutôt un programme récursif.
Bah là l'idée c'est quelqu'un habitué à azerty en France qui, expatrié aux USA,
peut remettre sur le clavier qwerty la disposition azerty. Du coup, c'est la
même keymap, il n'a donc pas besoin de regarder son clavier.
> Tu ne fais pas partie des trolleurs de ce fil, donc c'est raté :-)
Par manque de temps, et aussi parce que Zenitram< répète continuellement la même
chose et qu'il est inutile de continuer à troller avec lui.
En somme, je me demande si il n'exploite pas des petits chinois pour (mal ?)
coder MediaInfo pendant qu'il occupe le plus clair de ses journées à ressasser
les mêmes choses afin de se donner le rôle d'un quelconque rebelle.
Effectivement, en l'occurrence celui qui s'extasie devant ces informations
people sans aucun intérêt ne doit même pas avoir un joli petit cul baisable pour
compenser.
J'imagine bien trois filles allongées sur une plage chic de Méditerranée à se
faire dorer la pilule, l'une sur le dos les seins à l'air en train de regarder
le grand brin musclé à l'horizon, la seconde sur le ventre à envoyer un SMS à
son amant parisien, pensant à celui de Nice tout en ondulant des fesses sur la
serviette mouillée, et la troisième lisant un magazine à la couverture ornée de
couleurs jaunes et noirs présentant des photos d'un d'homme à lunettes d'une
bonne quarantaine, au dessus duquel le titre en lettres grasses « Exclusif !
Linus est maintenant un VRAI Américain ! », succède au nom du magazine : LWN.
[^] # Re: spam
Posté par tesiruna . En réponse au journal Faut-il avoir confiance dans Digital-Network ?. Évalué à 2.
place ici.
Il n'y a pas eu de tentative de piratage, pankkake a admis ne pas connaître les
injections SQL, c'était juste un test trivial dans l'unique but, j'imagine, de
voir si une boite qui fait de la sécurité informatique sécurise bien son propre
système d'information (et il s'est avéré que non).
Cf la définition Wikipédia :
Script kiddie ou encore lammer est un terme péjoratif désignant les pirates
informatiques néophytes qui, dépourvus des principales compétences en matière de
gestion de la sécurité informatique, passent l'essentiel de leur temps à essayer
d'infiltrer des systèmes, en utilisant des scripts ou programmes mis au point
par d'autres.
Aucun script n'a été utilisé, aucune tentative d'infiltration, juste la
découverte d'une faille et le report *immédiat* (CF le commentaire de pankkake)
de celle-ci.
[^] # Re: Base dedonnées
Posté par tesiruna . En réponse à la dépêche Mandriva Linux et après ? Mageia !. Évalué à -2.
de mentir.
En outre, si jamais tu avais réellement blacklisté pankkake<, cela signifierait
que tu jugeais ses agissements comme une menace, donc qu'une faille existait
bel et bien.
[^] # Re: Base dedonnées
Posté par tesiruna . En réponse à la dépêche Mandriva Linux et après ? Mageia !. Évalué à -3.
# Ho
Posté par tesiruna . En réponse au journal Faut-il avoir confiance dans Digital-Network ?. Évalué à 1.
Lors de mes tests pour tenter de reproduire le problème, je constate que c'est
plus grave ce que je pensais :
− Lorsqu'on entre un " à la fin de juste l'adresse email, on tombe sur une page
vierge qui contient juste le message « mal joué »
— Lorsqu'on met un " à la fin de tous les messages, par contre, bizarrement, on
tombe *encore* sur une erreur SQL. Évidement, en tentant de faire davantage,
j'ai découvert que sa mesure de sécurité a été de… supprimer tout caractères
spéciaux des messages. Ainsi, en entrant « "'); SELECT * FROM digital_contact » :
Erreur dans l'exécution de la requete MySQL 'INSERT INTO digital_contact
(raison_sociale,adresse,code_postal,ville,nom_contact,prenom_contact,fonction,telephone,fax,email,act_principale,act_secondaire,message)
values ('','b','b','b','b','b','b','b\\' SELECT FROM digitalcontact','','pla@pla.prg','SSII','','__blah')'.Erreur MySQL retournée :
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'SELECT FROM
digitalcontact','','pla@pla.prg','SSII','','__blah')' at line 1
À la vue de ceci, je me permets d'être plus que dubitatif concernant l'expertise
qu'il peut apporter à de tels tarifs.
[^] # Re: le feuilleton en multi langues: "Ils fourchent Mandriva"
Posté par tesiruna . En réponse à la dépêche Mandriva Linux et après ? Mageia !. Évalué à 4.
Carnet de route d’un hacker (Christophe Casalegno aka Brain 0verride)
« hacker » et « Brain 0verride », ahahah. Cf http://linuxfr.org/~tesiruna/30187.html
[^] # Re: Toujours lesmêmesarguments
Posté par tesiruna . En réponse au journal Microsoft n'a pas changé. Évalué à 3.
> Et pourtant si, alors qu'ils sont recents
> La XBox c'est pas tres important, XBox Live est l'element important, et ca ca
> va rester longtemps.
C'est facile de balancer des informations comme ça sans sources.
> Qui vivra verra, ca fait un petit moment que les parts de marche des
> navigateurs stagnent, IE8 a arrete la saignee, et IE9 est bien meilleur que
> IE8
On note que tu as largement omis de comparer avec la concurrence.
> Oh ca je sais pas, ce que je sais par contre c'est qu'ils sont tout aussi
> interessants que ce qu'on trouve chez Google, Apple et autres et ont tout
> autant de clients sinon plus (Hotmail, Live Messenger, ...).
Hotmail/MSN ça a surtout bien marché en Europe, et c'est historique. Moi je
constate au contraire une montée (chez les individus lambda) d'adresses gmail
face aux adresses hotmail. Ceci pour la simple et bonne raison que les adresses
hotmail ont été créées à la base pour dialoguer sur MSN, et que maintenant les
gens passent par Facebook pour la discussion instantanée. Du coup pour le mail
ils préfèrent utiliser GMail qui est quand même moins une daube que hotmail.
[^] # Re: Minitel 2.0
Posté par tesiruna . En réponse au journal Orange veut son propre système d'exploitation. Évalué à 4.
Bah, c'est en passe de devenir le cas, puisque maintenant un ordinateur
familiale n'a plus beaucoup d'applications qui ne soient pas utilisées dans un
navigateur.
Et il me semble que c'est le but de Google avec son futur-peut-être Google OS ?
[^] # Re: Je commence
Posté par tesiruna . En réponse au journal Pour l'été, faites vous enfler.. Évalué à 8.
> se met à vibrer maintenant, ça n'arrange pas mon mal de crâne.
Comment peut-elle se mettre à vibrer alors que tu n'as que l'option « Internet
Illimité » sans MSN ? Poire (à) Live ment ?
[^] # Re: aucune chance
Posté par tesiruna . En réponse au journal Orange veut son propre système d'exploitation. Évalué à 3.
Ne t'inquiètes pas, une purge est faite actuellement pour renouveler le
personnel qui n'aura plus les habitudes des administrations publiques.
[^] # Re:Libération du code source de la chaise électrique
Posté par tesiruna . En réponse à la dépêche Diaspora publié sur GitHub et une alpha annoncée pour octobre. Évalué à 1.
# What?
Posté par tesiruna . En réponse au journal Le projet FusionInventory est fier de vous présenter la version 2.1 de son agent. Évalué à 10.
[^] # Re: Debian a raison
Posté par tesiruna . En réponse à la dépêche Pas de Chromium pour Debian Squeeze. Évalué à 2.
> donné il va y avoir un problème de version dans le paquet. Inclure les libs
> permet de se passer de ce genre de problème, qui peut être bloquant, sans que
> rien d'autre que le numéro de version n'ait changé pour le groupe en question
>
> - Pour la sécurité, j'ose imaginer que l'équipe qui fait le projet sait d'où
> vient ce qu'elle y a inclus , et est capable de s'abonner aux avis et en tenir
> compte.
En fait, tu dis que c'est chiant pour les développeurs de suivre les nouvelles
versions des libs qu'ils utilisent, mais que c'est moins chiant qu'ils
s'abonnent aux avis de sécurité sur les libs qu'ils utilisent ?
Ça n'a absolument aucun sens.
> - La mémoire, c'est uniquement la place du binaire sur le disque dur. Rien ne
> change à l'usage, quand tu fais un #include 'toto.h" ou un #include
> "/usr/lib/toto.h" si les deux libs sont identiques. Et même s'il faut y
> réfléchir, c'est quoi , 300ko de + , lorsque le To est à 70€ ? le soupçon de
> sérénité ?
Heu je pense que t'as pas compris. Un header contient juste en théorie les
prototypes des fonctions et les déclarations de types, en gros c'est utile qu'au
moment de la compilation et on s'en cogne.
En revanche, le linkage statique va inclure toute la lib dans l'executable, et
donc va l'alourdir, là où le linkage dynamique permet de charger la lib au
moment de l'exécution, et donc elle n'est présente sur le système qu'une seule
fois.
> - La collaboration, c'est si possible, et si on modifie la lib de façon
> conforme aux objectifs. Quand je vois que le paquet Epiphany inclue Gecko ,
> c'est à dire Firefox en entier sous FreeBSD, je me dis que quelque fois, les
> libs, ça pourrait être mieux géré. Si je devais faire un navigateur utilisant
> Gecko, crois moi, je prendrait tout ce qui concerne Gecko dans Firefox, mais
> ça serait du rm de tout le reste, et pas de remontées, peut -etre une énieme
> libGecko qui sera plus à jour à la prochaine update de firefox. ( à côté,
> webkit est dispo beaucoup plus facilement :s )
Bah dans ce cas là, la solution c'est qu'une libgecko développée upstream et
utilisée par Firefox soit bien faite, pas de pomper le code et de l'inclure dans
ton soft. Qu'est-ce que tu fais pour merger les modifs upstream de gecko après ?
> Quant à sqlite, en même temps, ce truc est fait pour être inclus dans les
> programmes . Sinon, faut travailler avec du lourd.
Heu j'ai peur de pas comprendre ce que tu veux dire.
[^] # Re: Raisons
Posté par tesiruna . En réponse à la dépêche Pas de Chromium pour Debian Squeeze. Évalué à 2.
[^] # Re:Où est le problème?
Posté par tesiruna . En réponse au journal Mark Shuttleworth au sujet des contributions d'Ubuntu. Évalué à 5.
¹ https://linuxfr.org/comments/1161836.html#1161836
[^] # Re: Letroisièmetruc...
Posté par tesiruna . En réponse au journal Stargate Atlantis et la programmation. Évalué à 6.
[^] # Re:Ça ne mérite pas une dépêche.
Posté par tesiruna . En réponse à la dépêche Pas de Chromium pour Debian Squeeze. Évalué à 2.
Mais bon ce sont des cas isolés, il faut que ce soit prévu par la distribution,
du coup c'est limité.
[^] # Re: Raisons
Posté par tesiruna . En réponse à la dépêche Pas de Chromium pour Debian Squeeze. Évalué à 2.
> et la, je jette la pierre à Google qui me semble (je ne connais pas assez pour
> être sûr) fournit un gros truc énorme "démerdez-vous". Ce n'est certes pas
> obligatoire dans le libre, mais c'est dommage. Bon, pour leur défense, vu le
> monde que ça leur apporterait de consacrer du temps à faire les choses
> propres, je peux les comprendre. Bref pas tout le monde noir, mais pas blanc
> non plus.
Que lise-je ?? Zenitram qui dit qu'il faudrait que les acteurs du libres
devraient collaborer entre eux ? Pourtant la GPL ne l'oblige pas.
Je pense que pendant ses quelques jours d'absence il a été enfermé dans une
pièce sans eau ni nourriture ni déodorant avec RMS.
[^] # Re: Rigolo
Posté par tesiruna . En réponse au journal Stargate Atlantis et la programmation. Évalué à 2.
> les systèmes d'exploitations DOS / Windows, parce que ça impliquerait qu'en
> dehors du processus d'init, aucun autre programme ne pourrait jamais être
> lancé, hors il me semble pouvoir affirmer que ce n'est pas le cas.
Bah, suffit que START soit bloquant, du coup le processus père ne fait rien tant
que le processus fils est lancé.
Du coup, avec un tel comportement, le code batch en question n'est pas une fork
bomb, mais plutôt un programme récursif.
[^] # Ça ne méritaitpas un commentaire
Posté par tesiruna . En réponse à la dépêche Pas de Chromium pour Debian Squeeze. Évalué à 10.
[^] # Re:requête
Posté par tesiruna . En réponse au journal Il est bien ce gars la. Évalué à 2.
peut remettre sur le clavier qwerty la disposition azerty. Du coup, c'est la
même keymap, il n'a donc pas besoin de regarder son clavier.
[^] # Re:requête
Posté par tesiruna . En réponse au journal Il est bien ce gars la. Évalué à 4.
[^] # Re: Pour un app store GNU/Linux multi distro
Posté par tesiruna . En réponse à la dépêche Nouveau projet Debian CUT. Évalué à 5.
Par manque de temps, et aussi parce que Zenitram< répète continuellement la même
chose et qu'il est inutile de continuer à troller avec lui.
En somme, je me demande si il n'exploite pas des petits chinois pour (mal ?)
coder MediaInfo pendant qu'il occupe le plus clair de ses journées à ressasser
les mêmes choses afin de se donner le rôle d'un quelconque rebelle.
[^] # Re: Acesaméricains....
Posté par tesiruna . En réponse au journal Il est bien ce gars la. Évalué à -3.
Effectivement, en l'occurrence celui qui s'extasie devant ces informations
people sans aucun intérêt ne doit même pas avoir un joli petit cul baisable pour
compenser.
[^] # Re: A cesaméricains....
Posté par tesiruna . En réponse au journal Il est bien ce gars la. Évalué à 5.
J'imagine bien trois filles allongées sur une plage chic de Méditerranée à se
faire dorer la pilule, l'une sur le dos les seins à l'air en train de regarder
le grand brin musclé à l'horizon, la seconde sur le ventre à envoyer un SMS à
son amant parisien, pensant à celui de Nice tout en ondulant des fesses sur la
serviette mouillée, et la troisième lisant un magazine à la couverture ornée de
couleurs jaunes et noirs présentant des photos d'un d'homme à lunettes d'une
bonne quarantaine, au dessus duquel le titre en lettres grasses « Exclusif !
Linus est maintenant un VRAI Américain ! », succède au nom du magazine : LWN.
[^] # Re: LLVM
Posté par tesiruna . En réponse au journal L'ouverture selon Apple : surtout du marketing. Évalué à 2.
> tentes de prendre la place du loup dominant pour donner le change?
Attaque en dessous de la ceinture, je crois que tu n'as plus rien à ajouter, tu
as atteint le fond.