tyoup a écrit 308 commentaires

Je ne saurai que te suggérer d'aller à la conférence, ainsi tu sauras tout de go.

et si elles sont performantes appelons les des fermetures éclair :)

On ne peut pas ne pas tenir compte de tinyurl sinon c'est la porte ouverte à n'importe quoi ! Ce n'est pas normal qu'un navigateur soit sensible à ce genre d'attaque, c'est là mon propos.

et bah non... ce n'est pas un lien direct : Tinyurl cache l'url par une redirection http donc : crossdomain.

et si j'ai bien lu il était question de vol de session... j'ose espérer que sans session en cours l'exploit ne soit pas possible.

GET /5dzzw HTTP/1.1
Host: tinyurl.com

HTTP/1.1 301 Moved Permanently
X-Powered-By: PHP/5.2.12
Location: http://linuxfr.org
Content-type: text/html
Content-Length: 0
Connection: close
Date: Mon, 19 Apr 2010 20:34:29 GMT
Server: TinyURL/1.6

là il faut un peu d'imagination et imaginer que tinyurl renvoie un lien sur jira avec les paramètres qui vont bien pour exécuter un action dans la session de l'admin qui exploite une faille gzeusseusseu. j'avoue l'attaquant aurait pu balancer direct le lien vers jira mais bon ça aurait été un chouïa suspect, non ?

si le navigateur avait fait son boulot, il n'aurait pas transmis les cookies, jira aurait envoyé bouler le navigateur de l'admin et l'attaquant n'aurait pas profité de la session de l'admin.

je n'ai pas la moindre idée de ce que je lis et ce que je raconte !

pourquoi se faire $*@# à écrire le même pattern encore, encore, encore et encore ?

pourquoi générer du code ? c'est perdre de l'information, la dévaloriser !

pourquoi abuser du copier/coller ? à moins d'en vouloir aux gens qui vont relire...

le but d'un langage c'est quand même d'avoir le maximum d'information tout en ayant le minimum à exprimer

Sans Spring on ne peut pas arriver au même résultat ?

Bah mange du @ZeroPourcentDeXml

tsss faut écrire :
titi = toto == 1 ? 2 : 3; // soleil
et indenter son code et ne pas oublier les commentaires

et je peux accepter des tant de compilation bien plus long sans problème
c'est l'hôpital que se fout de la charité

Bah si ça vient d'une autre machine puisqu'il est question de tinyurl... du coup ça ressemble à du CSRF plutôt qu'à du XSS à moins que ce soit un combo.

la page fournie par tinyurl n'aurait jamais dû pouvoir faire quoi que ce soit sur l'application JIRA (transmettre le cookie de session de l'admin en tout cas). D'ailleurs dans la spec des cookies, il est stipulé que les cookies ne doivent pas être transmis en cas de cross domain... mais visiblement tout le monde s'en fout !!!!

Excel c'est quand même mieux, ça permet de faire des applications de type CRUD beaucoup plus flexibles et de manière beaucoup plus simple.

s/Firefox/Internet Explorer/

et on remplace tous les http:// par des spdy:// ?

*pas

désolé pour le bug mais je ne peux pas remonter dans le temps

meuh non tout le monde sait que le téléphone ne fonctionne avec TCP/IP.

avec -opera-column-* et -ie8-column-* ?

Splitted-Desktop Systems ? C'est une blague ?

Combien de versions avant la 3.0 ?

Mon souvenir du camel book (programming perl chez o'reilly) est vraiment excellent. Je te le conseille vivement.

... sous firefox, selon son humeur :)

Serait-il possible d'intégrer un cerveau à ubuntu ? car j'en aurais bien besoin.

Merci de votre compréhension.

je n'imagine même pas un jour programmer en Perl6
c'est fini :'(

cherche pas ça marche pas encore sous linux

me père noël a un drôle de nez quand même

en gros pour pallier *le* manque