Dernières infos :

mise à jour (version 1.5.3)

samedi 12 juin 2010 [18:44:20]

Modification dans les modèles au niveau du marquage des éléments dom des pages pour une personalisation des css (chaque page a un id)

lien permanent

Mise à jour (version 1.5.2)

dimanche 16 mai 2010 [11:13:07]

j'ai ajouté un nouveau modèle associant l'affichage pèle mèle des articles (genre de block qu'on peut déplacer avec la souris) avec le menu arborescent. C'est assez intéressant pour une présentation rapide et ludique d'informations.

lien permanent

Injection xss via le bouton "Like" / "J'aime" Facebook ?

lundi 3 mai 2010 [17:41:02]

Injection xss via le bouton "Like" / "J'aime" Facebook ?

Petite mise au point: le bouton Like / J'aime de facebook n'a rien d'exceptionnel, il s'agit d'une application de type cross-site scripting dont l'objectif est de recueillir des informations sur la navigation de l'utilisateur. Rien de plus simple en vérité car en intégrant un code iframe dans le code html, on intégre en fait une page toute entière (avec ses cookies), à l'origine les frames (cadres) ont été conçues pour ça, pour permettre de regrouper plusieurs pages d'origines diverses (url distinctes) sur une même page html. Ainsi on peut tromper l'utilisateur sur l'url de la page, faire croire qu'on se trouve par exemple sur http://www.barbie.com alors qu'on se trouve en réalité sur https://www.cia.gov, rien de plus simple, c'est un jeu d'enfant.

Cette pratique à toujours été découragée par les netiquettes, en particulier à cause des risques de failles, de sécurité ou de malveillance etc. Il y a même des scripts anti-frames utilisés par les webmasters pour contrer ce genre de désagréments. Ce qui est surprenant ce n'est pas la technique car elle est aussi vieille que le web mais son recyclage en toute impunité par un réseau social de première importance comme facebook.

Il y a quelques années une telle pratique aurait provoqué l'indignation voire le ridicule, ce genre d'astuce était juste digne des sites pornos ou de casinos en ligne, aujourd'hui la plupart des médias encensent et utilisent largement cette application (bouton Like / J'aime de facebook) et la saluent comme une formidable extension du web social etc. Alors qu'en fait il ne s'agit que d'un vulgaire cross-site scripting (logiciel espion), à quand la célébration du phishing social ? du spam social ? Cynisme ou candeur extrème ?

Mais à quoi ça sert ? A chaque fois que nous voyons le bouton "Like / J'aime" sur une autre site que facebook nous sommes automatiquement détectée par facebook ce qui permet à facebook de nous suivre à la trace même en dehors de facebook. Ce qu'ils font des informations ainsi recueillies ? tout simplement facebook affine nos profils (sociaux, économiques, politiques, psychologiques, sexuels) et constitue un fichage en profondeur de chacun de ses membres. Quelles seraient les conséquence si un fichier pareil tombait entre les mains de votre patron, de vos proches, d'une entreprise tierce ? je n'en sait rien, par contre il faut bien se douter que ces fichiers sont déjà disponibles (à la vente)...

Une page du web a bien été tournée (détournée), le WWW n'a plus rien de World, ni de Wide, il ne reste plus que le WEB c'est à dire cette toile d'araignée où nous nous débattrons comme des moucherons avant de servir de déjeuner...

PS. si vous désirez supprimer les boutons Like sur les sites que vous visitez pour garantir votre sécurité ajoutez la règle http://www.facebook.com/plugins/like.php dans l'addon Adblock Plus de firefox.

lien permanent

Mise à jour (version 1.5.1)

samedi 1 mai 2010 [19:27:13]

nombreuses optimisations du code et de l'interface ainsi que l'ajout d'un champ affichage pour les commentaires dans la base sql afin de permettre la modération des commentaires.

lien permanent

Mise à jour version (1.5.0)

vendredi 26 février 2010 [12:03:34]

Avec cette version j'ai réorganisé le logz et ses plugins, désormais il y a une version complète avec la plupart des plugins et des minis applications, une version de base avec un minimum de plugins et enfin un version simplifiée avec juste ce qu'il faut de menus pour administrer un site simple.

j'ai aussi ajouté un modèle combinant les vignettes et le menu arborescent.

lien permanent

pages 1 2 (3) 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19