Logo journal du hacker middle
  1. 1

    Juste une coquille dans son titre, l’outil s’appelle rustdeSk :) Sinon je valide, il fonctionne bien.

    1. 1

      J’aimerai votre avis sur le commentaire que je viens d’ajouter svp

      1. 1

        Et moi j’aimerais que Scarlett Johansson me demande en mariage. :o)

        1. 1

          Je pense qu’on peut introduire du code malveillant par continuité dans n’importe quel logiciel (temps + énergie + complexité + ingéniosité + confiance). La surface d’exploitation est toujours problématique : plus un système devient sécurisé moins il est pratique à utiliser. Il me semble qu’on ne cherche pas à protéger totalement son système mais on se protège de menaces identifiables. Donc, à minima, il me semble qu’il faut avoir des connaissances sur le fonctionnement des systèmes d’exploitation (et) ou se former en sécurité informatique. Aucune magie noire. Pour rappel, l’extrait de code Java le plus recopié sur Stack Exchange contenait un bogue mineur. Le logiciel mentionné a 154 fichiers .rs et 47 413 lignes.

      1. 2

        Bonjour.

        Je m’interroge beaucoup sur ce logiciel.

        Autant l’envie de virer Teamviewer et de hoster mon propre serveur de mise en relation me tente, autant installer un logiciel développé par des ressortissants chinois (si j’en crois leur noms et localisation sur Github), ben.. je suis pas chaud chaud.

        N’ayant aucune compétence en Rust, je ne me vois pas relire le code pour voir s’il y a des backdoors dedans, et, encore moins, compiler les sources pour ne pas prendre directement les binaires.

        Et vu qu’en plus c’est backupé par Lenovo, de sinistre mémoire quand il s’agit d’installer des backdoors et d’envoyer des informations en Chine, bof, bof…

        Suis-je trop parano ? Vous en pensez quoi ?

        JMS

        1. 1

          Le fait que le code soit d’origine chinoise te dérange plus que s’il venait des USA ?

          Tu as peur d’une forme d’espionnage ? Pourtant les plus grosses boîtes violants la vie privée viennent des USA… Après, il faudrait probablement un audit pour s’assurer un tant soit peu que le code est clean et fait ce qu’il est censé faire et pas plus…

        1. 2

          Si ça c’est pas meta :’-D !

          1. 1

            Haha c’est vrai que… :P

          1. 1

            J’avoue ne pas avoir lu la charte d’utilisation du site, mais les articles derrière paywall sont autorisés ?

            1. 1

              Salute,

              Il n’y a pas de charte d’utilisation, la marque “contenu payant” suffit en général à indiquer que les articles payants sont autorisés.

              Tcho !

            1. 2

              Donc “tout ce qu’il faut savoir” sur les tests d’intrusion, c’est qu’ils en vendent ?

              1. 1

                Bonjour, J’ai forcément un certain partie pris ayant rédigé l’article, mais j’ai l’impression qu’il parle de plus de chose que le fait que l’on en propose : type, méthodologie etc…

                Quelles informations vous semblent indispensables mais absente ?

              1. 1

                “Océane avoue qu’elle n’a pas pris des habitudes de protection suffisamment tôt et qu’il est aisé d’aller vers la facilité en restant ignorante.”

                Pour moi, tout est là.

                C’est le fait qu’“ils” aient fait tout ça dans le dos des gens, sans leur demander explicitement leur avis. Juste discrètement.

                1. 1

                  Si je peux me permettre d’en rajouter une couche sur prestashop, il n’est même pas, encore, compatible avec PHP 7.4 [0] !! La version courante étant la 1.7.7.2.

                  Nan, nan, nan. Ils étaient tout fiers de sortir leur version 1.7.7 le 2 décembre [1], enfin compatible avec PHP 7.3 !

                  Oui, c’est ça, juste avant que la maintenance de PHP 7.3 s’arrête, le 6 décembre… [2]

                  Mais apparemment ce n’est pas grave, parce que les “Prestashop Legends” ne sont pas choqué par l’utilisation de versions obsolètes. Certains se vante d’utiliser encore PHP4 (si si !) [3] “J’ai des applications en ligne qui sont encore en PHP4, et ça marche très bien.”

                  Je partage à 100% l’analyse de RichardDern, et j’ai suivi à peu près la même trajectoire de pensée : j’ai fait mon propre framework e-commerce, beaucoup plus simple, et beaucoup plus rapide (ah c’est sûr il téléphone pas à droite à gauche quand on s’en sert et fait vachement moins de choses. Mais pour ce qu’il est censé faire (vendre en ligne des produits) il suffit largement).

                  [0] : https://devdocs.prestashop.com/1.7/basics/installation/system-requirements/

                  [1] : https://github.com/PrestaShop/PrestaShop/issues/18647#issuecomment-737404506

                  [2] : https://www.php.net/supported-versions

                  [3] : https://www.prestashop.com/forums/topic/1031817-php-72-fin-de-vie-dans-2-mois/

                  1. 5

                    “Si vous parlez une langue européenne, quel intérêt de charger l’alphabet cyrillique ?”

                    Si vous n’allez pas utiliser le chat, quel intérêt de charger le chat (et lui bouffer de la data avec) ?

                    C’est bien le greenwashing à la limite du green shaming, mais faut être cohérent…

                    1. 1

                      Salute,

                      D’habitude je comprends l’ironie, l’humour, là j’ai pas du tout compris ta remarque. Tu peux expliquer ? Vraie question, je n’ai pas compris.

                      Tcho !

                      1. 2

                        Salut.

                        C’est en effet de l’ironie.

                        Je trouve juste un peu gonflé de se gargariser en expliquant qu’en optimisant un peu leur code il sont à la limite de sauver la planète, alors que, de ce que j’en vois, le code pour lancer le chat est téléchargé par TOUS les visiteurs, même ceux (et ce doit être la majorité) qui ne s’en serviront pas.

                        Sans ça, sans les 165KB forcés, c’est pas 50TB de bande passante que ça économiserait…

                        Ils chargent du JS. Soit. Plein d’autres sites le font tout aussi inutilement, sans parler de la pollution des trackers. Ils ont optimisé leur code, bravo. Ils donnent des leçons en expliquant que les développeurs ont “une « dette » vis-à-vis du monde qui vous entoure”, sous entendu “toi le dev qui n’optimise pas, la honte sur toi”, bullshit.

                        500 octets de JS pour ne télécharger leur chat que pour ceux qui en ont besoin, là oui, j’applaudirai des deux mains (j’ai jamais compris cette expression, pas facile d’applaudir avec une seule main…).

                        1. 1

                          Yo,

                          Ouais ok, je comprends mieux. Je te remercie.

                          Tcho !

                    1. 0

                      On en sait plus sur le mode de propagation (plus que ce communiqué laconique) ?

                      1. 1

                        Faut pas nous faire des trouilles comme ça, c’est le hack du mois dernier :-)

                        1. 1

                          oups pardon :D

                        1. 1

                          Alors là, comprend pas.

                          D’un côté on explique qu’intégrer des fonctionnalités pour des non-dev ça peut être compliqué (c’est vrai), de l’autre on dit vaut peut-être mieux un wordpress “peut être aussi rapide, sécurisé et pas chiant à entretenir”. Et là, je me marre…

                          Aussi rapide: non (sauf à lettre en place des outils de cache, donc pas plus adaptés aux non-dev) Sécurisé: là, on est en plein dans le portnawak (parce qu’on sait très bien où ça va : pour cette fonctionnalité, mets ce module, puis celui-là, puis celui-là…) Pas chiant à entretenir: toujours plus qu’un site statique. Et vite le bordel si y’a plein de modules.

                          Donc les jeunes non dev, si vous faites un wordpress, faites le CHEZ wordpress, au moins eux ils maintiennent les choses (plus) proprement.

                          1. 1

                            Si tu n’a pas de plugins et de thèmes mal foutu, même sans plugin de cache WordPress est quand même bien rapide.

                            Si tu choisit bien tes plugins et ton thème, que tu tient ton installation à jour, que tu as un bon mot de passe, tu évite 99% des attaques.

                            Pour l’entretient, c’est toujours plus chiant qu’un site statique, mais pas la mort si tu configure une sauvegarde automatique. Et si tu choisit bien ton thème et tes plugins, ça se passe bien.

                            Le gros du travail consiste à bien choisir son thème et ses plugins, être minimaliste, bien réfléchir si tu as vraiment besoin de cette fonctionnalité ou si c’est gadget, et comment tu l’intègre.

                            Ya pas vraiment de magie.

                            Si tu veux un site simple, tu as le site statique, mais ton site restera simple.

                            Si tu veux un site avec des fonctionnalités, il faut aller sur WordPress, et forcément plus tu as de fonctionnalités, plus c’est complexe, mais si tu respecte des bonnes pratiques, c’est loin d’être ingérable.

                            Je connais pas de solution qui te permette d’avoir un site complexe tout en étant ultra facile à gérer. La complexité est inhérente à ce que tu veux faire.

                            Mais j’explique ça dans les prochains articles du guides ;)

                            J’ai pas trop sondé l’option wordpress.com, je sais pas trop comment ça se passe niveau dépendance… c’est à voir.

                          1. 2

                            Pas pu lire sur mon téléphone au milieu des popups et des agressions de chat ou autre.

                            1. 1

                              Moi j’dis, le RSS ça suffit largement

                              1. 2

                                Merci d’avoir éclairé le point qui me chiffonnait avec cette histoire de programmation fonctionnelle, à savoir qu’il faut quand même utiliser d’autres techno autour.

                                J’avais du mal à imaginer (comme avec le LISP en fait) comment articuler tout un programme comme ça.

                                Bien sûr j’imagine qu’avec les langages dédiés il doit y avoir des moyens aussi de contourner, mais du coup ça permet de se dire qu’on peut aborder le concept en douceur.

                                1. 2

                                  3 ans… 3 ans pour être à peu près conforme à une loi entrée en application 3 ans plus tôt, et existant depuis 5 ans.

                                  Le pouvoir des lobbies de là pub fait froid dans le dos…

                                  Et l’écrasement de la CNIL devant ces dits lobbies fait pitié.

                                  1. 1

                                    Pourquoi ça ne m’étonne même pas…

                                    Gardé l’onglet ouvert pour voir la suite.

                                    C’est dommage de ne pas avoir sous la main un-e avocat-e pour entrer dans la danse…

                                    1. 1

                                      Fun fact: tout est envoyé sur les serveurs britanniques

                                      Non, en fait j’en sais rien, mais faire confiance à un outil développé par les services d’espionnage, bof…

                                      1. 2

                                        Le code est accessible sur leur github pour dissiper ce doute

                                        1. 1

                                          Pour ça, même pas besoin de lire le code, tu fais un petit proxy et regarde s’il y a des connexions externes. Mais ça m’étonnerait quand même.

                                        1. 2

                                          Bravo, super tuto bien détaillé où tout est expliqué sans assumer que le lecteur maîtrise déjà les 3/4 du sujet.

                                          C’est suffisamment rare pour être félicité !

                                          1. 4

                                            J’ai pas vu où et si le nom de l’hébergeur français était donné.

                                            Mais je suis vachement curieux de savoir qui a fait ça…

                                            1. 3

                                              Le plus délirant de l’histoire, c’est que ça privilégie les jeunes inexpérimentés qui sortent de l’école, et donc viennent de voir tout ça pendant 2 ou 3 ans.

                                              Et tant pis pour ceux qui n’ont pas fait ça depuis des années (des décennies mêmes pour certains (oui je pense à moi)) et ont des vrais compétences métier…

                                              1. 1

                                                Et difficile de trouver autant de temps que les jeunes pour reprendre nos vieux cours !