Journal Petit bilan à l'occasion des 11 ans du site

• # Commentaire supprimé

  Posté par Anonyme le 13 juillet 2009 à 16:22. Évalué à 1.

  

  Ce commentaire a été supprimé par l’équipe de modération.

  • [^] # Re: Mais aussi ...

    Posté par Benoît Sibaud (site web personnel) le 13 juillet 2009 à 17:47. Évalué à 3.

    

    Avait été laissé par rapport à quoi ? À quand ? La dernière modification sur le sujet date du 5 novembre 2005 (message de commit « Check referer when posting on the board »).
    
    On avait juste laissé la possibilité de passer si le champ REFERER était absent (ou si le champ validait une regexp), parce qu'à l'époque des moules avaient râlé (comme d'hab') que ça les gênait. Depuis aujourd'hui il faut absolument un champ REFERER qui valide une regexp (à cause d'un boulet, qui a perdu ses accès du coup).
    
    Pour bloquer les boulets à venir, il faudrait ajouter un « nonce » ( http://en.wikipedia.org/wiki/Cryptographic_nonce ) et cela casserait tous les clients hors navigateur pour la tribune.

    • [^] # Re: Mais aussi ...

      Posté par Christophe --- le 13 juillet 2009 à 19:30. Évalué à 2.

      

      Et sinon, juste pour ma curiosité personnelle, y aurait moyen d'avoir un peu plus d'information sur cette histoire? Des explications, des liens, sur ce qui s'est passé, sur le comment, ...

      • [^] # Re: Mais aussi ...

        Posté par grid le 13 juillet 2009 à 19:40. Évalué à 4.

        

        Rien de bien méchant.
        
        Un plaisantin a appris qu'un REFERER vide permettait de poster. Il a créer une page qui faisait un post un XmlHttpRequest sur la tribune avec l'url en question.
        
        du coup, les lurkers clicouillaient sur l'url et revoilà le virus de la tribune.
        
        Les seuls conséquences, c'est environ 100 à 200 posts de plus en 24h. Rien de mortel en soit.
        
        Il y a eu par le passé plusieurs virus de ce type. Le plus connu étant http://kadreg.free.fr/perso/virus.html.

        • [^] # Re: Mais aussi ...

          Posté par Dabowl_92 le 15 juillet 2009 à 15:31. Évalué à -1.

          

          il semblerait que l'antivirus de free ait supprimé la page --> 404

          • [^] # Re: Mais aussi ...

            Posté par Jérôme Nègre (site web personnel) le 15 juillet 2009 à 15:42. Évalué à 3.

            

            Enlève le point de l'url : http://kadreg.free.fr/perso/virus.html

    • [^] # Re: Mais aussi ...

      Posté par grid le 13 juillet 2009 à 19:35. Évalué à 7.

      

      Bon, ca va faire lèche botte, mais tant pis.
      
      Merci du temps que vous passez tous. Rédacteurs, Admins, modéro, relecteur, femme de ménage, et lecteur.
      
      Je ne connais aucun site qui rassemble autant la communauté du libre.
      
      Ps: Tu vois, les moules ne font pas que râler.
      Ps2: Il faut surement mieux des gens qui testent les limites du site "juste for fun" et à ma connaissance sans aucun dégat. Ca bouche les trous pour les gens mal intentionnés qui viendraient ;-)

    • [^] # Commentaire supprimé

      Posté par Anonyme le 13 juillet 2009 à 21:45. Évalué à 4.

      

      Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Re: Mais aussi ...

        Posté par patrick_g (site web personnel) le 13 juillet 2009 à 22:29. Évalué à 3.

        

        >>> P.S. : au passage, quand on fait un prévisualisation du commentaire avant de le poster, des entités HTML apparaissent au lieu des caractères respectifs, en l'occurrence pour ce commentaire, des entités symboliques "quot" apparaissent.
        
        Oui c'est très chiant ça. C'est apparu il y a quelques semaines non ?

        • [^] # Re: Mais aussi ...

          Posté par claudex le 14 juillet 2009 à 00:10. Évalué à 4.

          

          Il y a une entrée dans le système de suivi depuis le 28 avril.
          
          (Tu y a d'ailleurs fais 2 commentaires le 14 mai).

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Mais aussi ...

            Posté par patrick_g (site web personnel) le 14 juillet 2009 à 09:55. Évalué à 2.

            

            Purée t'a raison.
            Bon ben plus de doute je dois avoir un Alzheimer....

    • [^] # Re: Mais aussi ...

      Posté par 못 옷 홋 ♨ (site web personnel) le 14 juillet 2009 à 13:31. Évalué à 2.

      

      Je ne voudrais pas prendre parti, mais j'ai du mal à comprendre ce qu'apporterait ce nonce par rapport à la bête vérification du referer. Et j'ai du mal à comprendre à quoi sert une vérification du referer faite à moitié, aussi (en autorisant le referer vide).
      
      Mais bon, ça fera un bon prétexte pour renforcer la politique sécuritaire de linuxfr vis-à-vis de la tribune.

      • [^] # Re: Mais aussi ...

        Posté par zerchauve le 14 juillet 2009 à 13:35. Évalué à -3.

        

        Praise the lord, he's alive.

      • [^] # Re: Mais aussi ...

        Posté par Benoît Sibaud (site web personnel) le 14 juillet 2009 à 22:04. Évalué à 5.

        

        > Je ne voudrais pas prendre parti, mais j'ai du mal à comprendre ce qu'apporterait ce nonce par rapport à la bête vérification du referer.
        
        Très simple. La faille passe par le navigateur de la victime qui quasiment tout le temps envoie au serveur LinuxFr.org un REFERER (sauf privoxy, proxy, etc.), bref ça suffisait à bloquer la très grande partie des cas. Et la présence d'un bon REFERER aurait pu être systématique si on n'avait pas suivi les demandes des moules à l'époque.
        
        Quand à la « politique sécuritaire » (sic), on en reparlera quand tu sauras faire la différence entre trouver un bug et le remonter pour correction, et trouver un bug et l'exploiter sans prévenir jusqu'à ce que ce tu te fasses taper sur les doigts. Clairement, il y a plus utile à faire pour le site que devoir intervenir sur les gamineries d'un type qui contribue très peu en contenus (pas de dépêches et juste 2 journaux) : le système de suivi contient suffisamment de tâches à prendre, y a suffisamment d'actus à rédiger en dépêches, le site est en cours de réécriture en RoR, etc. bref j'aimerai autant utiliser mon temps dispo pour LinuxFr.org plus intelligemment.

        • [^] # Re: Mais aussi ...

          Posté par 2PetitsVerres le 14 juillet 2009 à 22:24. Évalué à 4.

          

          Moi je compte une 20aine de journaux, mais évidement on ne doit pas compter la même chose. Et see.*< est aussi un grand animateur de tribune, c'est au moins aussi important que les dépêches !

          Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

        • [^] # Re: Mais aussi ...

          Posté par 못 옷 홋 ♨ (site web personnel) le 15 juillet 2009 à 02:43. Évalué à 9.

          

          Ta première réponse n'explique en rien ce qu'apporte un nonce par rapport à la vérification du referer, il ne fait que confirmer le fait que la vérification du referer doit être faite complètement ou pas du tout, mais la faire à moitié ne sert à rien. Un nonce, tout en étant relativement chiant à implémenter sur un coincoin, ne boucherait aucune faille puisqu'il n'y en a pas, tant qu'on ne fait pas les choses à moitié.
          
          
          Quant à la remontée de bugs et la soumission de contenu, on peut noter ce bug que j'ai soumis il y a quelques jours : https://linuxfr.org/tracker/1022.html mais surtout celui-ci : https://linuxfr.org/tracker/621.html que j'ai soumis il y a maintenant deux ans, troisième dans le classement par note, pour lequel je me suis cassé le cul à lire le code de templeet, pour lequel j'ai posté, pas un vrai patch effectivement, parce que je ne me sens pas assez expert pour modifier le code moi-même, mais une indication relativement claire des modifications à faire, et pour lequel je n'ai aucune réponse, aucune réaction.
          
          J'ai compris il y a bien longtemps que les évolutions ici n'avaient lieu que lorsqu'un événement dérange les administrateurs, ou leur donne une bonne raison de censurer.
          
          
          Les journaux, j'en ai fait 24 si j'ai bien compté, la plupart avant le système de notation des journaux, mais tous avec une moyenne des notes de commentaires largement positive. Entre ceci et mon activité sur la tribune (voir la liste des moules bavardes sur DLFP chez khapin [http://khapin.ssz.fr/dlfp/bavards.rhtml] au cours du temps), je pense avoir contribué, modestement certes, mais certainement, à la vie de LinuxFR.

          • [^] # Re: Mais aussi ...

            Posté par Benoît Sibaud (site web personnel) le 15 juillet 2009 à 11:17. Évalué à 1.

            

            Concernant le referer, la possibilité de laisser passer sans était une demande des moules, car les clients dédiés à la tribune n'avaient pas la fonctionnalité. Le souci est que le test obligatoire du referer aurait dû être imposé par la suite (après avoir laissé un temps raisonnables aux clients de tribune de se mettre à jour). En attendant les navigateurs web étaient protégés, mais pas les clients de tribune qui n'avaient pas activé le renseignement du referer.
            
            D'un autre côté le nonce traite le problème différemment et peut servir dans tous les formulaires pour éviter tout envoi direct vers la soumission sans passer le formulaire (par contre il faut modifier les clients dédiés, comme les clients de tribune, les clients de soumission de dépêches, etc.). Le test du nonce côté serveur est beaucoup plus strict que le test de referer qui est juste un champ renvoyé par le client (potentiellement modifiable).
            
            Concernant la remontée de bugs, je répète ce n'est pas en ne le remontant pas qu'il sera corrigé (et merci pour ceux remontés). Ensuite une fois remonté, la correction peut être bien plus compliquée que l'utilisateur ne le pense, et on a largement plus d'entrées à traiter que de gens motivés pour le faire.
            
            > J'ai compris il y a bien longtemps que les évolutions ici n'avaient lieu que lorsqu'un événement dérange les administrateurs, ou leur donne une bonne raison de censurer.
            
            C'est effarant de mauvaise foi, de non-reconnaissance du boulot fait, et par ailleurs et surtout très contre-productif. Mais bref passons, il y aura toujours des gens pour ne pas savoir discuter...
            
            Concernant tes journaux, ta page https://linuxfr.org/~see/ (utilisateur See) en dénombre 2. Après les multis...

            • [^] # Re: Mais aussi ...

              Posté par Sten Spårvagnhög (site web personnel) le 15 juillet 2009 à 14:43. Évalué à 10.

              

              Concernant le referer, la possibilité de laisser passer sans était une demande des moules, car les clients dédiés à la tribune n'avaient pas la fonctionnalité. Le souci est que le test obligatoire du referer aurait dû être imposé par la suite
              
              Je ne mets pas en doute ta bonne foi là-dessus mais cela m'étonne grandement, parce que justement les clients se sont adaptés très vite, et d'ailleurs j'étais pour ma part persuadé que le check était toujours actif. Wmcc et pycc l'ont implémenté aussitôt à l'époque, tout comme les c² plus récents tels que gcc et olcc.
              
              Quant à la râlerie des moules bien entendu ça ne m'étonne pas :-) ce qui m'étonne en revanche c'est le retour arrière en réaction à cette râlerie. La tribune dlfp est tout de même celle qui a le plus bougé au cours du temps et a eu le plus de particularités, loin devant tous les autres moteurs de tribune, entre les changements dans le backend, les balises particulières, l'encodage qui change, etc. A chaque fois les coincoins étaient plus ou moins gravement impactés, à chaque fois bien sûr les moules ont râlé (pas forcément contre dlfp d'ailleurs, surtout par dépit de voir leur joujou cassé), mais à chaque fois les clients se sont adaptés - et c'est bien normal, a priori c'est leur rôle en tant que clients.
              
              Maintenant, concernant le "virus" en particulier. Je ne me rends peut-être pas compte de toutes les implications, mais je vois mal en quoi celui-ci posait un réel problème. Son potentiel de nuisance était limité, en ce qu'il requérait un clic explicite d'un utilisateur pour fonctionner. Bien sûr cela a engendré de la pollution sur la tribune, mais je crois pouvoir dire que les moules sont capables de pollution manuelle équivalente voire bien pire en temps normal.
              Le surcroît de charge pour le serveur me paraît inexistant, et les premiers embêtés sont les moules elles-mêmes qui vont donc, après avoir certes joué un temps, se lasser très vite et cesser de propager l'url.
              Enfin, d'expérience, ce genre de truc meurt de lui-même très rapidement. Gle< avait fait un virus semblable qui poste sur la tribune bouchot.org, qui doit être encore fonctionnel, et dont on doit croiser l'url au grand maximum une fois tous les 6 mois...
              
              Encore une fois, il se peut que je mesure mal la nuisance réelle occasionnée. Je vois bien, toutefois, qu'en tant qu'utilisateur du site on ne se rend pas forcément toujours compte du fil à retordre qu'on peut donner aux admins et qu'on est plus prompts à se plaindre qu'à saluer le boulot effectué :-)
              Je finis donc en remerciant tous ceux qui prennent de leur temps pour administrer, développer, maintenir le site. Après tout, si on n'aimait pas ce qu'ils font, on ne serait pas autant à continuer à s'accrocher dessus (et à râler comme dans un vieux couple :-))

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.