Le 23 août 2015 à 13:06:56 marinboss a écrit :
Changer un mot de passe pour une faille comme ca faut être parano Et alors le changer sur les autres sites si on a le même
non simple principe de précaution en informatique
Suite aux attaques de ce jour, nous lançons un audit sur notre vulnérabilité. Encore une fois, toutes nos excuses pour la gêne occasionnée.
Du coup avec la deuxième faille, faut encore que je change de mdp ?
Le 23 août 2015 à 17:50:22 superpanda a écrit :
Suite aux attaques de ce jour, nous lançons un audit sur notre vulnérabilité. Encore une fois, toutes nos excuses pour la gêne occasionnée.
En soit, c'est pas la vulnérabilité le gros problème, c'est plutôt votre réaction.
Le site aurait du être mis en maintenance quand il y avait la faille
Il aurait du le rester plusieurs heures pendant que la faille soit complètement vérifiée.
C'est inacceptable que le site reste ouvert alors que plusieurs pages populaires du site redirigent vers des images pédopornographiques.
C'est encore plus inacceptable que quelques heures après la correction de la première faille, de nouvelles failles soient trouvées. Le site devrait être FERME jusqu'à que le code responsable de la faille soit complètement vérifié, et qu'il soit ré-ouvert quand tout est corrigé.
Vous réagissez comme un site amateur.
Je me rappelle être tombé sur un écran blanc, puis un rouge un peu après (sans jamais avoir été sur les news par exemple). Ça fait quoi ?
Le 23 août 2015 à 18:04:51 Abyss_Calibur a écrit :
Je me rappelle être tombé sur un écran blanc, puis un rouge un peu après (sans jamais avoir été sur les news par exemple). Ça fait quoi ?
C'était juste une propriété css, style html {display:none} ou backgroud:red, etc, t'inquiète pas
Le 23 août 2015 à 18:06:49 Jysix- a écrit :
Le 23 août 2015 à 18:04:51 Abyss_Calibur a écrit :
Je me rappelle être tombé sur un écran blanc, puis un rouge un peu après (sans jamais avoir été sur les news par exemple). Ça fait quoi ?C'était juste une propriété css, style html {display:none} ou backgroud:red, etc, t'inquiète pas
Je peux prendre le risque de ne pas changer mon mot de passe alors ?
(Ouais franchement, j'ai pas trop envie de le changer, et je sais pas quoi mettre )
J'applaudis la compétence de JVC.
Pour ban pour des motifs de merde ou pour faire des news à clique y a du monde, mais pour faire un site sécurisé y a plus personne.
heureusement que je n'étais pas là hier alors
Une autre précaution serait de recommander l'installation d'une extension pour navigateur du même type que NoScript pour Firefox. Il me semble que NoScript peut vous prémunir des failles XSS, en plus d'être vraiment utile. En tout cas, j'ai eu très peu de problèmes chez moi, voire rien du tout.
superpanda :
Suite aux attaques de ce jour, nous lançons un audit sur notre vulnérabilité. Encore une fois, toutes nos excuses pour la gêne occasionnée.
Ouf.
Ce que je trouve assez étrange c'est que le site n'ait pas été mis en maintenance ou bloqué d'une quelconque manière. Parce que pendant de longues heures les gens qui débarquaient pour suivre l'actu des news (et qui ne sont pas forcément sur les forums ou Twitter), pouvaient tomber sur des images porno (voire pire apparemment, mais je ne m'avance pas puisque j'ai eu la chance de ne pas tomber dessus).
C'est impossible techniquement de rendre le site inaccessible, ou alors vous ne vouliez tout simplement pas le faire ?
Encore que le site se fasse pirater ça se comprend, ça arrive aux plus grands (coucou Sony ), mais après même si vous avez su réagir assez vite pour réparer, il y avait derrière des internautes qui se sont fait avoir (oui ça m'a gavé de tomber sur une image de pénis à 9h du mat en cliquant sur une page...).
Le 23 août 2015 à 17:50:22 superpanda a écrit :
Suite aux attaques de ce jour, nous lançons un audit sur notre vulnérabilité. Encore une fois, toutes nos excuses pour la gêne occasionnée.
t'a de l'avenir si tu croit que ceux trouvant ici des failles vont vous les communiqué
généralement ce sont des script kiddies qui les utilisent
Le 23 août 2015 à 19:11:11 PommePhone a écrit :
Ce que je trouve assez étrange c'est que le site n'ait pas été mis en maintenance ou bloqué d'une quelconque manière. Parce que pendant de longues heures les gens qui débarquaient pour suivre l'actu des news (et qui ne sont pas forcément sur les forums ou Twitter), pouvaient tomber sur des images porno (voire pire apparemment, mais je ne m'avance pas puisque j'ai eu la chance de ne pas tomber dessus).C'est impossible techniquement de rendre le site inaccessible, ou alors vous ne vouliez tout simplement pas le faire ?
Encore que le site se fasse pirater ça se comprend, ça arrive aux plus grands (coucou Sony ), mais après même si vous avez su réagir assez vite pour réparer, il y avait derrière des internautes qui se sont fait avoir (oui ça m'a gavé de tomber sur une image de pénis à 9h du mat en cliquant sur une page...).
Je suis totalement d'accord avec ça.
Je trouve que c'est l'erreur de jvc dans cette affaire (jvc qui est victime rappelons le).
Pourquoi avez vous laissé le site ouvert plutôt que de simplement mettre un message de maintenance qui aurait fortement limité la casse ? Y a une raison ? Car vous étiez forcément au courant de la situation et rien ne justifiait le faire de laisser le site dans cet état vu qu'il était impossible de lire la moindre news ou test.
Car les images sur lesquelles on tombait n'étaient pas très catholique...
Si vous pouviez répondre svp.
Et good luck quand-même pour la suite
Le 23 août 2015 à 19:11:11 PommePhone a écrit :
C'est impossible techniquement de rendre le site inaccessible, ou alors vous ne vouliez tout simplement pas le faire ?
C'est tout à fait possible. Au pire il suffit de créer un bête htaccess à la racine du site qui demande un mot de passe. Sauf qu'en faisant ça, ça n'aurait généré aucun clic de toute la journée, donc pas de pub vue, donc pas de profit. 3% du chiffre mensuel qui fout le camp, ça doit représenter quelques milliers d'euros. Quelques gosses choqués par des images dégueulasses pour préserver le business, c'est rentable j'imagine.
Je comprends mieux pourquoi mon pseudo était deco alors qu'habituellement je laisse la session active
Ce petit pirate m'aura bien fait stressé quand même, j'avais oublié mon mot de passe (à moins que le pirate l'ait modifié) et j'me souvenais plus du mdp de ma boite mail, jolie mémoire...
J'ai du bataillé 15 bonnes minutes pour trouver un moyen de recup' tout ça.
pourquoi vous n en faites pas une news ? CAr tout le monde traîne pas sur les forums
Trop de flemme
pourquoi vous n en faites pas une news ? CAr tout le monde traîne pas sur les forums
Ce sont des lâches et ils ont honte.
Cependant, par mesure de précaution, nous invitons toutes les personnes s'étant connecté entre le 21/08 vers 18h et le 23/08 vers 12h à réinitialiser leur mot de passe.
Et si nous étions parti en vacances durant tout ce temps mais que nous ne nous sommes pas déconnecté, faut-il le faire tout de même au cas où ?
Gnap_Gnap :
nous allons prendre le temps qu'il faudra
Pourquoi j'ai toujours peur quand jvc sort cette phrase ?