Dotclear blog - Annonces de failles de sécurité - Commentaires

Annonces de failles de sécurité - Seb/ecrire

Seb/ecrire — Sun, 22 Jul 2007 15:10:01 +0200

Quand on parle de problèmes de sécurité, je pense à la phrase de Wargames : "Vous avez complexifié et il nous a repiraté".
On ne va pas s'en sortir si vous continuez à coder des systèmes trop complexes. Il faut (parfois) rester simple, sinon vos usines à gaz vont vous exploser à la figure.
Quand je vois comment les injections sont faites à partir des URL, je trouve qu'on marche vraiment sur la tête !

Annonces de failles de sécurité - Herbivor

Herbivor — Sun, 22 Jul 2007 10:16:14 +0200

Heureusement que j'ai lu cet article, je ne savais pas qu'il ne fallait pas mettre de lien vers l'administration en fa�ade, c'est ce que j'avais fait !

Annonces de failles de sécurité - Philippe

Philippe — Wed, 11 Jul 2007 23:09:15 +0200

Personne ne se déchire pour des questions d'ego chez dotclear, et ce n'est pas comme si JoeGuillian faisait partie d'une quelconque communauté, si tant est que celle de dotclear existe, hein...

Et Wordpress n'est pas un concurrent avec qui il faudrait engager une guerre économique pour se piquer les utilisateurs, donc oui, que ceux à qui l'ambiance ne plait pas ici aillent chez les collègues ;)

Annonces de failles de sécurité - Wordpress

Wordpress — Wed, 11 Jul 2007 19:37:53 +0200

Jeez toujours la même ambiance sur ce superbe outil. Si j'utiise PHP 6 est ce que ça corrige le problème ? Autrement y'a la solution "Best viewed with Wordpress" la communauté là bas à e mérite de pas se déchirer pour des soucis d'égos...

Annonces de failles de sécurité - Violette Rossignol

Violette Rossignol — Wed, 11 Jul 2007 19:17:07 +0200

Ah oui, celle-la elle est encore pire que tous les autres.

Annonces de failles de sécurité - JoeGuillian

JoeGuillian — Wed, 11 Jul 2007 15:35:37 +0200

J’ai signalé cette faille sur une partie de votre forum dont s’est précisément le but ...
Quand on leur a dit qu’il y avait des failles dans leur application, les gens de chez DotClear m’ont raillé, m’ont assimilé de facto à un incompétent ou à un menteur qui « veut se faire mousser », puis ils ont demandé des preuves. Alors je leur les ai données ces preuves, mais ils trouvent encore le moyen de ne pas être contents et de produire un article dans lequel il médisse de moi pour me remercier de avoir aidés à améliorer leur produit.
Cette Amélie Poulain (alias kozlika) qui utilise 27 pseudos pour dire ce qu’elle a dire sait bien de quoi je parle.

Annonces de failles de sécurité - Amélie Poulain

Amélie Poulain — Wed, 11 Jul 2007 11:44:16 +0200

Oh oui, moi aussi je trouve que les dev de Dotclear sont très méchants et toussa, parce que PsychoGun est vraiment un altruiste qui ne pense qu'au bien des blogueurs en danger et voilà comment on le maltraite.

Et pourtant il signale cette faille publiquement alors qu'il aurait pu n'en faire profiter que les dev et en plus gratuitement, à titre exceptionnel car d'habitude il demande très cher.

http://actu.abondance.com/2007-09/f...

Vraiment gonflés oui.

Annonces de failles de sécurité - Hadrien.eu

Hadrien.eu — Wed, 11 Jul 2007 10:21:52 +0200

Je trouve ça gonflé de votre part de dénigrer les découvertes de PsychoGun et surtout d'afficher un tel mépris envers l'importance de ces failles. Les solutions que vous donnez sont ridicules et montrent vraiment un manque total de professionnalisme. J'aurais grandement préféré un peu plus d'humilité et des excuses. Car les "script kiddiez" dont vous parlez n'en sont pas du tout ! Ce sont des armes de choix et de rêves pour les spammeurs.

Annonces de failles de sécurité - JoeGuillian

JoeGuillian — Wed, 11 Jul 2007 04:37:43 +0200

Des idées de solutions efficaces j’en ai déjà données.^^

Annonces de failles de sécurité - Alexandre P.

Alexandre P. — Wed, 11 Jul 2007 01:36:42 +0200

En effet, renommer un répertoire ne colmate en rien le trou de sécurité, il ne fait que cacher temporairement le problème. Le message de Xave ne laisse pas entendre que le problème est totalement réglé, il indique que c'est le meilleur moyen, à l'heure actuelle, de se prémunir contre les problèmes en question et contre les script-kiddies. On rafistole, mais ce n'est pas une solution durable. Plutôt que de simplement "dénoncer" un moyen de mettre un peu plus à l'abri, de manière temporaire, les informations de l'utilisateur, il serait grandement préférable de collaborer avec l'équipe de développement pour trouver une solution efficace.

Annonces de failles de sécurité - JoeGuillian

JoeGuillian — Tue, 10 Jul 2007 18:29:24 +0200

Kozlika,

Je ne sais pas ce que tu essaies de me faire comprendre avec ton allusion aux pompiers, mais sache que je trouve que ce n’est pas très sympathique de faire croire aux utilisateurs de DotClear qu’ils seront à l’abri des attaques usant cette faille en renommant des répertoires.
Cette bidouille ne colmate en rien ces trous de sécurité qui résultent d’une erreur grossière.

Annonces de failles de sécurité - Nicolas Krebs

Nicolas Krebs — Tue, 10 Jul 2007 18:17:43 +0200

Serait il possible d'ajouter http://www.dotclear.net/log/ aux sites web référencés par http://www.dotclear.net/planet/ ?

Annonces de failles de sécurité - JoeGuillian

JoeGuillian — Tue, 10 Jul 2007 17:53:21 +0200

Le monsieur en question c'est moi. Je vous ai déjà expliqué que cette bidouille n’était pas fiable et que le blog restait tout de même une proie facile. Pourquoi faites vous croire à vos utilisateurs qu’ils seront à l’abri du danger alors que c’est absolument faux?

Annonces de failles de sécurité - Conjugaison

Conjugaison — Tue, 10 Jul 2007 17:36:18 +0200

Merci de la correction et encore bravo pour ce soft génial.