News

le 30/09/2007 à 18:56
CrawlTrack 2.3.0
Le référencement d'un site internet est un sujet très important comme le suivi de son positionnement, et de connaitre les différents passages sur votre site par des robots.
La nouvelle version de CrawlTrack vous permet d'obtenir ce genre d'informations, mais repèrent aussi les "mauvais robots" qui peuvent être utiliser par les hackers.
Bien sur, Crawltrack permet de repérer les tentatives de piratage et aussi de les bloquer avant de subir les premiers dommages.

- Site de Crawltrack
- Télécharger CrawlTrack 2.3.0
le 30/09/2007 à 18:54
PRO-PHP du 27 septembre 2007
Le bulletin d'informations en Podcast de ProPHP propose
les actualités discutées pour le mois de septembre :
- PHP Quebec
- addslashes vs mysql escape string (prise sans scrupule du blog de Paul)
- Pourquoi le codage des caractères
- Zend Recherche Lucene (VIEILLE ALERTE de NOUVELLES de *AHEM*)
- Ouvrir Komodo
- Nouvel Realease pour phpMyAdmin
- Pourquoi PHP bat Ruby
- Pourquoi est-ce que je devrais contribuer ?
- Rejoindre la Team de PHP Doc
- PHP Code Sniffer
- Genius Y! Employée à Bangaliore
- PHP Podcasts

- Pro PHP du 27 septembre 2007
Deux articles intéressants, signalé par Chris Shiflett, traitent des problèmes de sécurité qui dépassent l'utilisation de mysql_escape_string. On l'aborde aussi dans le livre 'Sécurité PHP 5 et MySQL 5'. En bref, la fonction de protection n'est pas suffisante pour pallier à tous les problèmes.

En fait, certains caractères spéciaux ne sont pas protégés par cette fonction. C'est le cas des % et _, qui sont utilisés dans les expressions LIKE. Certaines clauses utilisent simplement des nombres, ou encore des parenthèses.

L'article de webappsec propose d'ailleurs une liste de vecteurs d'injections intéressants pour vos propres tests d'intrusion.

- addslashes() vs mysql_escape_string()
- The Unexpected SQL Injection
- The Unexpected SQL Injection (Chris Shiflett)
- addslashes() Versus mysql_real_escape_string()
le 28/09/2007 à 21:55
Être vulnérable aux CSRF
Note de l'auteur :

En lisant ce blogue, j'ai reconnu la conversation classique : avant de pouvoir expliquer ce qu'est une CSRF, il faut mettre en scène l'ensemble (la victime, le site vulnérable aux XSS, l'internaute innocent), puis expliquer aussi les XSS. Au final, si l'interlocuteur ne comprend que la moitié du schéma, il écarte le tout du revers de la main, et dis : "bah, j'ai mis des filtres, donc pas de XSS chez moi."

En fait, être vulnérable aux CSRF est distinct de la XSS. Il faut se poser la question : "Quelles sont les opérations sur mon site qui peuvent être simulées entièrement en JavaScript ou bien avec une URL seule.". Par exemple, si vous pouvez effacer des billets de votre blogue avec une URL du type 'http://www.site.net/efface.php?id=10", alors vous êtes vulnérables aux CSRF. L'utilisation de JavaScript permet ici de dépasser le stade de la simple URL, et de faire des POST, ou d'autres manipulations complexes, comme des enchaînements de pages.

Le danger vient donc du fait que les opérations sur votre site peuvent être exécutées de manière automatisées, sans intervention de l'utilisateur. Ce sera donc le vecteur de l'attaque CSRF. Il reste maintenant à trouver un site ayant une XSS (le site victime final ou bien un autre, cela n'a pas d'importance. Piochez chez xssed pour avoir de belles listes de sites populaires), et un utilisateur ayant suffisamment de droits.

C'est exactement le problème qui a été rapporté sur GMail récemment : une fonction anodine, l'ajout de filtre, peut être scriptée. On peut donc pousser un utilisateur ayant un compte GMail à installer un filtre automatique qui transmet les messages à une autre adresse.

Lorsque vous testerez la sécurité du site, demandez-vous si vous ne pourriez pas écrire un script JavaScript pour automatiser les opérations critiques. Si c'est le cas, vous avez votre vecteur. Pour les bloquer, il faut passer par des informatiques auxquelles JavaScript n'a pas acces, comme une demande de mot de passe, des captcha, ou des technologies connexes (images, animations, confirm(), etc).

- One more reason why CSRF sucks hard
- Google GMail E-mail Hijack Technique
Microsoft confirme aujourd'hui, par voie de communiqué de presse, la prolongation de la disponibilité de Windows XP sur le marché OEM. Initialement, Microsoft prévoyait de cesser la commercialisation de Windows XP au 31 janvier 2008. Aujourd'hui, le géant des logiciels nous informe qu'il accorde cinq mois supplémentaire à ses partenaires. La commercialisation de Windows XP auprès des fabricants d'ordinateurs se poursuivra donc jusqu'au 30 juin 2008.

Pour certains, cette annonce sonne bien sûr comme un cinglant désaveu, preuve supplémentaire du succès mitigé rencontré par Windows Vista. Plusieurs analystes américains font en effet état de chiffres de vente inférieurs pour les premiers mois de commercialisation de Windows Vista face à son prédécesseur. Pire alors que nombre de fabricants d'ordinateurs, Dell en tête, avaient remplacé Windows XP sur toutes leurs machines par Windows Vista, ils ont déjà dû faire marche arrière face à la grogne, notamment, des clients professionnels. Le taux de déploiement de Windows Vista dans le monde de l'entreprise est en effet assez faible, le flou entretenu autour du Service Pack 1 ayant pas mal refroidit les ardeurs des plus téméraires.

Dans un entretien, Microsoft justifie cette annonce en expliquant avoir été trop ambitieux tout en précisant que ce choix est rendu nécessaire par les performances trop limitées des configurations matérielles vendues dans les pays émergents, celles-ci ne pouvant pas faire tourner Windows Vista correctement.
La consolidation se poursuit parmi les équipementiers. Après le rachat de LinkSys ou plus récemment de Latigent par Cisco, ceux de Redback et Marconi par Ericsson sans oublier les fusions entre Alcatel et Lucent ou Nokia Networks et Siemens, c'est désormais au tour de l'américain 3Com d'être racheté.

Pionnier des réseaux IP, 3Com fait en effet l'objet d'une offre de rachat d'environ 2,2 milliards de dollars, menée par un consortium réunissant le fonds d'investissement Bain Capital Partners et le groupe chinois Huawei Technologies, particulièrement dynamique sur le plan technologique mais qui démontre ainsi également ses ambitions financières et commerciales sur le marché nord américain.

Sur le plan financier, les actionnaires de 3Com devraient recevoir 5,30 dollars pour chacun de leurs titres, soit une prime de 44% sur le cours de clôture de jeudi. (3,68 dollars). Côté au Nasdaq, le cours de l'action 3com affichait une hausse spectaculaire de +35% en cours de journée.
le 27/09/2007 à 22:51
LIMIT est plus lent que JOIN
La clause LIMIT sert à réaliser ces barres de navigation, en découpant un résultat en plusieurs pages. Mais si elle est prodigieusement utile dans cette situation, elle est à l'origine d'un sérieux gâchis d'octets et de lignes. Pour dépasser l'utilisation traditionnelle de LIMIT, vous pouvez appeler à la rescousse les bonnes vieilles JOINTURES.

Au passage, vous verrez la conversion de LIMIT en JOIN, la création d'une table d'assistance, comment numéroter des lignes dans une table, mysqlslap, les variables MySQL, et les insertions de masse. Bonne lecture.

- Mon JOIN est plus rapide que ton LIMIT
10 situations qui tuent un site. Littéralement.
- Le lien d'identification caché
- Pop-ups pour présentation.
- Tirer au lieu de naviguer
- Les liens invisibles
- Bruit visuel
- L'impasse
- Les contenus se bloquent les uns les autres
- Navigation dynamique
- Menus déroulants
- Images clignotantes

- 10 Usability Nightmares You Should Be Aware Of
Alors que les dernières analyses d'audience confirment l'écrasante supériorité de Google dans le domaine de la recherche en ligne, Microsoft annonce ce jeudi le lancement prochain d'une nouvelle version de Windows Live Search, son propre moteur. Lancé dans le courant de la semaine prochaine aux Etats-Unis puis déployé dans le monde entier tout au long du mois d'octobre, ce nouveau moteur intègrera au sein d'une même page de résultats des contenus texte, images ou vidéo.

De nouveaux algorithmes de traitement des requêtes devraient également être mis en place, de façon à améliorer la pertinence des liens retournés par le moteur. Ainsi, une recherche sur un nom de vedette privilégierait des pages contenant des actualités, des photos ou des vidéos, tandis qu'une requête portant sur un produit retournerait de préférence des liens pointant vers des tests, des comparateurs de prix ou des fiches techniques.

Avec 11,3% des recherches effectuées par les internautes américains sur le mois d'août 2007 d'après Comscore, Windows Live Search ne se place qu'en troisième position aux Etats-Unis, derrière Yahoo (23,3%) et Google, qui fédère plus de 56% des requêtes.

"Google a pris de l'avance sur nous, mais nous pensons que cette nouvelle version nous permet de nous rattraper et que nous pouvons maintenant rivaliser avec eux en termes de qualité de recherche" explique Satya Nadella, responsable de la division Recherche et publicité chez Microsoft depuis la création de cette dernière. L'éditeur de Redmond évoque entre autres choses un index multiplié par quatre, une nouvelle application de recherche locale sur mobile ou des capacités d'analyse sémantique de façon à interpréter les questions.

En France, Google reste le leader incontesté de la recherche en ligne, avec 85,8% des recherches effectuées par les internautes sur le mois de juillet 2007.
Petko Petkov, un chercheur britannique expose cette semaine les conséquences que pourraient avoir une faille de sécurité découverte dans le service de messagerie Gmail de Google, utilisé par près de 50 millions de personnes dans le monde. Cette vulnérabilité permettrait à un attaquant malintentionné de se procurer un accès au compte d'un internaute en amenant ce dernier à naviguer sur une page infectée. L'exploitation de cette faille passe par la méthode dite du Cross-Site Request Forgeries.

Comme d'autres services en ligne, Gmail laisse ouverte la session d'un internaute après qu'il a consulté ses messages de façon à ce que celui-ci n'ait pas à saisir à nouveau ses identifiants s'il décide de retourner consulter sa boite de réception. Les identifiants sont alors stockés dans ce que l'on appelle un "cookie".

Pour exploiter la faille dont il est question ici, il suffirait d'amener l'internaute à visiter une page infectée d'un code capable de profiter de cette passerelle ouverte vers le compte Gmail. A l'aide de ce code, il serait par exemple possible de demander à Gmail d'opérer une redirection permanente vers le mail de son choix. Ainsi, un pirate se verrait adresser tous les messages de sa victime sans que cette dernière soit au courant. L'intérêt d'une telle attaque est qu'elle reste valable tant que la victime ne modifie pas les paramètres de redirection, même si Google comble la faille ayant permis cette intrusion.

Comme le souligne Petkov, il est bien plus efficace pour un pirate d'obtenir un accès permanent aux messages de sa victime plutôt que de forcer une seule et unique fois l'accès à son compte. Pernicieuse, et plus fine, cette méthode permet un vol d'informations sur le long terme, à l'insu de la cible. Google, prévenu avant la publication de ces informations, ne s'est pas encore exprimé sur le sujet. Précisons pour finir qu'il est a priori inutile de s'inquiéter pour le moment puisque le code ayant permis de démonter l'existence de cette faille n'a pas été rendu public. Fermer sa session avant de reprendre son surf devrait permettre de se prémunir de ce type d'attaque.
LoadingChargement en cours