Myriad Blog 1.3.0 Tuesday, Sep 26th, 2017 at 04:22am 

Technical Thursday, Dec 17th, 2015 at 05:10pm
Attaque SQL

 
Ce matin, vers 6h50, un petit malin utilisant une adresse IP Turque (rien ne dit qu'il soit physiquement là-bas) a lancé une attaque de type "injection de code SQL" sur un de nos scripts, celui qui permet à nos utilisateurs de demander une recherche manuelle de leurs codes dans nos fichiers clients.
 
Nous n'utilisons pas SQL sur notre site, donc cette attaque n'avait aucune chance de réussir. Mais à chaque essai d'intrusion, un e-mail a été envoyé par le script à Sylvie, qui s'occupe de traiter les demandes.
 
Résultat : en 4 minutes, 1600 e-mails sont arrivés sur sa boîte, menaçant de la saturer.
 
Nous avons pu déterminer l'outil qui avait été utilisé pour cette attaque. Il s'agit d'un "scanneur de vulnérabilité", destiné à l'"usage exclusif des webmasters". Bien sûr. Nous avons donc inclus un niveau de protection supplémentaire sur l'ensemble de notre site, qui empêche tout accès depuis des outils que nous considérons comme douteux.
 
Nous avons contacté la société qui édite cet outil, en leur expliquant que si, honnêtement, ils ne voulaient pas que les hackers utilisent leur produit, il suffisait d'un système opt-in (par exemple un fichier présent à la racine du site) qui prouve que l'utilisateur possède bien le site testé. Ils ont répondu quasi instantanément, ce qui nous a surpris. Ils ont invoqué le fait que les scanneurs concurrents n'avaient rien mis en place de tel ; un tapage en touche qui, lui, nous a beaucoup moins surpris
by Olivier Guillion

Technical Thursday, Dec 3rd, 2015 at 05:12pm
Et bing ! (encore)

 
Tout a commencé il y a quelques jours, lorsque nous avons reçu à tort des e-mails provenant du robot de Galerie, notre logiciel sur Mac qui permet de créer des galeries de photos sur le Web.
 
En plus des galeries de photos, ce logiciel peut ajouter aux pages web un système de commentaires, qui est géré sur nos serveurs. Le fonctionnement, que nous ne détaillerons pas ici en profondeur, en est assez complexe. La chose importante est que ce système de commentaire, installé sur les pages de l'utilisateur, génère du Javascript, qui utilise la valeur document.location.href pour savoir sur quelle page il est, et donc à quelle galerie de photos se rapporte le commentaire.
 
Et là, nous avons commencé à recevoir des avis de tentatives d'accès à ces commentaires depuis des pages yahoo, tripadvisor, des forums japonais, etc. Tout et n'importe quoi, en masse.
Des tas de pages qui ne contenaient ni galerie de photos, ni champ de commentaires géré par nous, dans des langues diverses.
 
Tout laissait à penser qu'un programme ou un navigateur lisait une page contenant une galerie de photos, mais qu'au moment d'exécuter les scripts présents sur cette page, ne fournissait pas la bonne valeur lorsque ces derniers demandaient document.location.href
 
Nous avons donc examiné de plus près l'origine de ces accès, et avons extrait les données suivantes:
Adresse IP: 40.77.167.41
Navigateur: Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)

 
Il s'agit donc d'un gros problème dans les robots d'exploration de Bing, le moteur de recherche de Microsoft, qui se mélange les pinceaux entre les pages qu'il examine, et nous indique l'adresse des autres pages qu'il est en train d'explorer au même moment. Un sacré problème de cloisonnement ! Espérons qu'ils l'ont mieux géré dans les parties sécurisées de leurs programmes (Microsoft live, etc). Cela me gênerait un peu que quelqu'un d'autre puisse accéder à mes données personnelles s'il se connecte en même temps que moi
 
Pour notre part, nous allons donc bannir de Galerie tous les navigateurs qui se signalent comme "bingbot", et tout devrait rentrer dans l'ordre.
 
À noter que nous avions déjà détecté une grosse irrégularité (pas encore corrigée à ce jour) dans la manière dont les robots de Bing explorent les sites Web.
 
Une de plus, donc...
by Olivier Guillion

Technical Tuesday, Dec 1st, 2015 at 05:05pm
¤¤¤

 
 
Afin de faciliter les opérations de règlement des licences, nous sommes en train de mettre en place quelques améliorations dans notre système de paiement sécurisé par carte bancaire.
 
Elles ne sont pour l'instant pas visibles sur le site, car il faut tester ce type de modifications un peu plus sérieusement que n'importe quel autre. Rien de pire, sur un site, que d'avoir un problème, une page inconnue ou une déconnexion juste après avoir entré son numéro de carte
 
Donc, la procédure est :
- modifications
- tests en local
- mise en place temporaire sur une page cachée du site global et test de bout en bout d'une opération de paiement, suivi du remboursement de l'opération de test
- enfin, mise en place sur les pages publiques, et re-test d'opération
- surveillance approfondie des premiers achats qui suivent
by Olivier Guillion


Full view
Reduced view
Most recent first
Oldest first
All
Didier Guillion
Olivier Guillion
Sylvie Ricard
All
Dev News
Technical
Mood
Memories
Myriad Life
To be seen
30 previous days
Apr 2006
May 2006
Jun 2006
Jul 2006
Aug 2006
Sep 2006
Oct 2006
Nov 2006
Dec 2006
Jan 2007
Feb 2007
Mar 2007
Apr 2007
May 2007
Jun 2007
Jul 2007
Aug 2007
Sep 2007
Oct 2007
Nov 2007
Dec 2007
Jan 2008
Feb 2008
Mar 2008
Apr 2008
May 2008
Jun 2008
Jul 2008
Aug 2008
Sep 2008
Oct 2008
Nov 2008
Dec 2008
Jan 2009
Feb 2009
Mar 2009
Apr 2009
May 2009
Jun 2009
Jul 2009
Aug 2009
Sep 2009
Oct 2009
Nov 2009
Dec 2009
Jan 2010
Feb 2010
Mar 2010
Apr 2010
May 2010
Jun 2010
Jul 2010
Aug 2010
Sep 2010
Oct 2010
Nov 2010
Dec 2010
Jan 2011
Feb 2011
Mar 2011
Apr 2011
May 2011
Jun 2011
Jul 2011
Aug 2011
Sep 2011
Oct 2011
Nov 2011
Dec 2011
Jan 2012
Feb 2012
Mar 2012
Apr 2012
May 2012
Jun 2012
Jul 2012
Aug 2012
Sep 2012
Oct 2012
Nov 2012
Dec 2012
Jan 2013
Feb 2013
Mar 2013
Apr 2013
May 2013
Jun 2013
Jul 2013
Aug 2013
Sep 2013
Oct 2013
Nov 2013
Dec 2013
Jan 2014
Feb 2014
Mar 2014
Apr 2014
May 2014
Jun 2014
Jul 2014
Aug 2014
Sep 2014
Oct 2014
Nov 2014
Dec 2014
Jan 2015
Feb 2015
Mar 2015
Apr 2015
May 2015
Jun 2015
Jul 2015
Aug 2015
Sep 2015
Oct 2015
Nov 2015
Dec 2015
Jan 2016
Feb 2016
Mar 2016
Apr 2016
May 2016
Jun 2016
Jul 2016
Aug 2016
Sep 2016
Oct 2016
Nov 2016
Dec 2016
Jan 2017
Feb 2017
Mar 2017
Apr 2017
May 2017
Jun 2017
Jul 2017
Aug 2017
Sep 2017
Sep 25th, 2017 at 04:57pm 
Article from Didier Guillion
Harmony 9.7 étape 120
Sep 22nd, 2017 at 06:05pm 
Comment from Antoine Bautista
à compléter....
Sep 22nd, 2017 at 05:04pm 
Article from Olivier Guillion
Des nouvelles de Linux -2-
Sep 22nd, 2017 at 05:04pm 
Article from Olivier Guillion
Des nouvelles de Linux -2-
Sep 21st, 2017 at 04:54pm 
Article from Didier Guillion
Harmony 9.7 étape 119
Sep 20th, 2017 at 06:07pm 
Comment from bubu42
Sep 20th, 2017 at 05:23pm 
Article from Olivier Guillion
Des nouvelles de Linux
Sep 20th, 2017 at 05:23pm 
Article from Olivier Guillion
Des nouvelles de Linux
Sep 19th, 2017 at 05:07pm 
Article from Didier Guillion
Harmony 9.7 étape 118
Sep 18th, 2017 at 05:02pm 
Article from Olivier Guillion
Harmony Assistant 9.7.2 Beta 1

Top of page
Legal information Last update:  (c) Myriad