Bug sécurité grave sur cafzone

En bidouillant un peu, il doit être assez facile de pirater le compte de qq1 qui lis les messages du forum.
Un exemple vaut mieux qu’un long discours : Voir ce thread

[quote]Quand je dis que le mec qui code Xforum code comme un porc parfois…

Tain mon PREMIER site en PHP j’avais mis une verification pour pas qu’on puisse bidouiller les cookies… pffff[/quote]Rien à voir, je suis sûr que ton site, on peut accéder aux cookies, à l’aide de javascript. On peut pas l’empêcher de toutes manières.
Non, le bug ne vient pas des cookies ici, il vient de la gestion des bbcode.

Quand je dis que le mec qui code Xforum code comme un porc parfois…

Tain mon PREMIER site en PHP j’avais mis une verification pour pas qu’on puisse bidouiller les cookies… pffff

[quote]Mmmmmh, si tu trouves un bug de sécurité graaaave sur la CafZone, pourquoi ne l’as-tu pas mailé à Caf’ au lieu de le montrer sur place publique ??? Je sais pas moi, ca m’aurait semblé plus naturel :pleure:[/quote]Moui, c’est vrai.
En tout cas j’ai signalé ce message à caf, donc il a dans tous les cas reçu un email à ce sujet. S’il avait partagé ton avis, il me semble qu’il m’aurait corrigé (cad qu’il aurait effacé le thread et m’en aurais parlé par messagerie privée). Chose qu’il n’a pas faite, faute de temps peut-être, je sais pas.

Mmmmmh, si tu trouves un bug de sécurité graaaave sur la CafZone, pourquoi ne l’as-tu pas mailé à Caf’ au lieu de le montrer sur place publique ??? Je sais pas moi, ca m’aurait semblé plus naturel :pleure:

[Edit après la réponse de Freddy]
Comme ca, il en aurait parlé avec toi, et les grands pontes du site, et après avoir trouvé la solution, on explique le bug ;)). Ca a déjà été fait par de nombreuses personnes ici, je sais de quoi je parle :wink:

[Edité le 17/10/2002 par xentyr]

[quote]Baaaaaaaah de toutes façons tout le monde sait que Caf ne sait pas coder et qu’il exploite une poignée de pauvres geeks pour faire le sale boulot à sa place! ;)[/quote]Justement, qu’il exploite :pleure:

Baaaaaaaah de toutes façons tout le monde sait que Caf ne sait pas coder et qu’il exploite une poignée de pauvres geeks pour faire le sale boulot à sa place! :pleure:
.
.
.
.
.
.
Noooooooooooon pas taper! pas sur la teeeeeeeeeeeeeeeeete!!! :wink:

Hum… tout le monde s’en fout qu’il y ait un bug de sécurité sur cafzone ? :pleure:

[quote]je crois que GloP avait déjà trouvé un chti pb similaire, le HTML avait été viré pour ca !! Aurait tu trouvé une autre faille ???[/quote]apparemment, oui. Etant donné que les cookies contiennent l’identifiant de section, il suffit de faire poster ses cookies au mec, puis on change son cookie pour mettre l’identifiant de section, et hop (reste à vérifier que le système de sessions ne checke pas l’ip, auquel cas c’est moins grave car la manip n’aura aucun effet, mais bon, quand même…)

Une seule solution : virez tous les tags !!!

Non je déconne…

[quote]As tu néanmoins signaler ton message à Cafeine ? il aura un mail dès son reveil…[/quote]non, je l’avais pas fait, mais now c’est bon

je crois que GloP avait déjà trouvé un chti pb similaire, le HTML avait été viré pour ca !! Aurait tu trouvé une autre faille ???
As tu néanmoins signaler ton message à Cafeine ? il aura un mail dès son reveil…

C’est assez allarmant comme truc…