Sécurité web - Page 9

Merci à tous pour vos éclaircissements.

Effectivement, ayant un smf qui traine ailleurs, une recherche a confirmé la présence de ces fichiers dans dossierforum/themes/nomtheme/images/
C'est des boutons + / -

Aucun intérêt de chercher ces fichiers à la racine du domaine...

Reste le pourquoi

Un spambot (éventuellement bogué) qui cherche à trouver la racine de ton forum pour envoyer des requêtes automatiques (dans le but de spammer ton forum)?

Bon, au moins les passwords des utilisateurs devraient être safes suffisamment longtemps
Surtout quand on sait qu'il y a des emails .gov et .mil.
Moi aussi j'<3 bCrypt

lol

J'aime comme le dev commence à sourire à la troisième case mais pas avant, ce petit moment où l'on s'imagine qu'il pense "Ah, ouf, il ne parle pas d'avoir trouvé mon compte dans la liste".

C'est pas vraiment une question de sécurité, mais je pense que ce topic est le meilleur endroit pour en parler :
http://thenextweb.com/insider/2015/09/07/this-hilarious-cisco-fail-is-a-network-engineers-worst-nightmare/

^ 999999999999999999999999999999

Oh, mais les c*** !

Oh ben les heures de casse-tête que ça a dû provoquer, ça a dû être quelque chjose ^^

joli

Meow: Oui ils sont couillons

C'est pas pour rien que d'habitude le bouton pour revenir au réglage usine doit s'appuyer avec un objet pointu.

C'est vrai sur certain type de maths, le matis réseau et rackable c'est moins vrai, c'est pas le genre de maths que tu déplacé ou triture tous les jours.
C'est vrai sur certain type de matos, mais le matos réseau et autre trucs rackable c'est moins vrai, c'est pas le genre de truc que tu déplace ou triture tous les jours, et un bouton reset un peu plus en profondeur pour éviter d’être appuyé par erreur, oui, mais devoir utiliser un trombone ou autre objet pointue ca serait vite l'horreur

je crois que le correcteur orthographique de ton iPhone veut ta mort.

Oui je crois aussi

Pas un prob de sécurité aussi, mais il fallait que je partage cela. Je suis en train de faire des correctifs sur un vieux vieux site d'un client (pas réalisé par nous), et pour un bloc à fond rouge où le texte "Étape 1" apparaît centré dans ce bloc, voici ce que je trouve dans le code :
<td width="79%" height="60px" background="images/bandeau_rouge.png" ><label class="Style1">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Etape 1 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;</label></td>
Ce site est vraiment, vraiment mal codé, mais là les mots me manquent...


Et Ashley Madison n'en cesse pas d'alimenter des polémiques. Rapport au CommitStrip que j'ai posté plus tôt, de nouvelles infos... Si vous n'avez pas besoin qu'on vous explique le contexte de piratage du site, sautez directement au deuxième titre d'article.
http://www.nextinpact.com/news/96497-ashley-madison-mots-passe-navrants-banalite.htm

En résumé, la bagatelle de 15 millions de comptes n'étaient pas en bcrypt, mais en MD5 (peut-être que l'utilisation de bcrypt fut récente ?). De plus, AM transformait les majuscules en minuscules avant cryptage (grands dieux mais POURQUOI ?).
Cela a permis de décoder des millions de mots de passe. Partant de là, on tombe de nouveau sur les éternels mots de passe constamment utilisés, et de longs mots de passe "phrases" amusants ("correcthorsebatterystaple" n'est pas une bonne sécurité au final).

nbsp, c'est non-breakable space j'imagine ? Ca veut dire que le gars a centré avec des espaces, comme s'il centrait un message d'accueil dans un terminal à largeur fixe ??

Exactement

Bon c'est moche, mais au moins ce n'est pas un problème de sécurité.

L'alignement a coup de &nbsp; est un classique du projet pourri dont on a récupéré la maintenance. Par endroits les gens se sont a moitié rendu compte qu'il faisaient de la merde, donc on a droit a des :

for i=0 to 80
   write "nbsp;"
next

J'arrive pas à juger, je connais pas ce langage (js c'est ça ?) ni le dev en entreprise. Je sais donc pas s'il y a une vraie raison derrière, de l'incompétence inexcusable, ou juste un petit manque de finesse pas bien grave.

Non HTML la pas de JS

J'avoue, j'ai parfois utilisé un nbsp ou un br pour séparer deux éléments
J'utilise parfois même la balise center. Non, ne me punissez pas !

C'est du vieil ASP donc du code Visual Basic qui va générer du HTML. Au final on arrive au même résultat que Meowcate: on génère une série d'espace, c'est juste qu'ils ont utilisé une boucle pour faire ça.

Yep, comme j'ai dit ce n'est pas un soucis de sécu, mais je ne savais pas où le placer
Les espaces insécables sont ici nécessaires à une propriété propre à HTML : pour que le code HTML puisse avoir des retours chariot, des espacements et des indentations dans son code sans que cela ne se remarque à l'affichage, ce dernier élimine tous les espaces non-nécessaires (comprendre : tous les espaces avant et après du texte, tous les espaces successifs sont remplacés par un espace unique, et les retours à la ligne sont ignorés à moins d'utiliser la balise dédiée <br>).

Mais il y a encore plus con à mon sens : la cellule de tableau (<td>) dans laquelle il se trouvait a une largeur spécifiée (width="79%"). Si mon prédécesseur a voulu ajouter des espaces avant le titre pour le centrer (parce qu'il ignorait "text-align: center"), il en a rajouté après, ce qui n'a aucun intérêt sauf s'il n'avait effectivement pas précisé la largeur de sa cellule.
Je passe aussi sur l'utilisation de <label> pour le texte qu'il a à afficher. Pour donner une vague idée de ce n'importe quoi à ceux qui ne connaissent pas le HTML, c'est un peu comme si vous déclariez une variable de type float pour stocker un entier booléen 0/1. C'est possible, mais c'est totalement inadéquat.

Nil: je préfère largement l'utilisation de la balise <center> alors. Et même plus : ce code est si vieux qu'à l'époque cela devait être encore très utilisé.

Nil (./266) :
J'avoue, j'ai parfois utilisé un nbsp ou un br pour séparer deux éléments J'utilise parfois même la balise center. Non, ne me punissez pas !

j'ai fait pareil...

et quand au bout d'une demi heure sur une CSS qui fait pas ce que tu as écrit, bah tu fous un espace non sécable et basta. (et tu te demandes ensuite pourquoi tu t'es fait chier à essayer de tuner un css qui ne marche pas pareil entre deux clients)

Attention, je ne dis pas que les &nbsp; sont à proscrire, ils sont bien souvent utiles. Mais il y a quand même des limites.