Méthylbro

Keyword - sécurité

Fil des billets - Fil des commentaires

vendredi 3 octobre 2008

AdopteUnMec - Informatique, rencontre et libertés ?

Par Méthylbro le vendredi 3 octobre 2008, 14:10

Souvent ; sur les sites web on trouves des erreurs bêtes, et tellement communes.

Aujourd'hui, je vais vous parler de adopteunmec.com.
Vous savez, ce site de rencontre au concept relativement novateur qui range les hommes au rang de produits de consommation pour ces dames.
Bon, je vous l'avoue. Sur les conseils de plusieurs personne je m'y suis inscrit. Mais bref là n'est pas la question.

Au travers de mes visites ; je me suis rendu compte d'un bug qui peut s'avérer gênant.
Gênant à la fois pour les utilisateurs du site, mais aussi pour la société qui administre ce dernier.

Ce bug permet à n'importe qui de consulter des images qui ont été normalement "supprimés" par un utilisateur.
Voire même encore plus drôle, ces même photographies illustrant un compte sont toujours consultables, même une fois le compte en question supprimé !

J'ai essayé de contacter par email la société à l'origine du site web, mais aucune réponses.
Je prend donc le risque de publié, même sans autorisation de leur part, une petite explication pour exploiter ce bug.

Tant pis pour eux, moi j'ai ma conscience pour moi.

Lire la suite...

un commentaire

dimanche 20 avril 2008

Dotclear, Multiblogs et Sécurité

Par Méthylbro le dimanche 20 avril 2008, 10:00 - Développement

Comme vous le savez ; notre plateforme de blogs utilise l’excellent moteur libre Dotclear. Multiutilisateurs ; multi blogs ; offrant la possibilité d’ouvrir au public les inscriptions avec un simple plugin. C’était pour nous le choix idéal.

En plus c’est Français. Et je soutiens toujours les produits issus le de l’hexagone. C’est comme ca ; je suis chauvin.

Bon ; voilà le problème qui m’est apparu (comme une révélation) cette semaine. En utilisant une telle architecture ; il était possible à n’importe qui de charger ; puis d’exécuter des fichiers PHP sur le serveur. C’est ennuyeux comme vous pouvez l’imaginer.

Je suis sur qu’a première vu ; vous vous dites « mais pourquoi l’équipe de Dotclear n’a pas interdit de charger des fichiers .php et etc ». Oui mais moi je veux pouvoir charger ce type de fichiers sur mon blog ! Je veux pouvoir proposer des fichiers .php à mes visiteurs. En lecture, sans qu’ils ne soient interprétés par le moteur PHP.

La solution c’est donc vite imposé. Il suffisait de dire à apache de compétemment désactiver le moteur php sur les répertoires publics des divers blogs utilisateurs.

Pour aller plus vite ; et pour être plus radical ; nous avons donc décidé de modifier notre httpd.conf (mais on pourrais utiliser des fichiers .htaccess pour désactiver php blog après blog) :

<Directory %blogspath%/*/public>
  php_value engine off
  AddType text/plain .php .phtml .php3 .php5 .phps .txt
</Directory>

4 commentaires