mercredi 28 février 2007
mardi 27 février 2007
lundi 26 février 2007
Loic Lemeur gro¦¦¦¦¦¦¦te
Loic a pas été cool avec le commentaire (positif en plus) que j'avais posté sur son blog, il l'a même effacé.
Et maintenant je suis blacklisté... pas cool.
dimanche 25 février 2007
Trou géant à Guatemala City
Le trou béant d'une centaine de mètres de profondeur, qui s'est subitement ouvert en plein ville de Guatemala City engloutissant plusieurs personnes dans la nuit de vendredi, serait en fait dû à une canalisation d'égout bouchée...
vidéo
samedi 24 février 2007
Firefox : l'astuce du jour
Ca fait un moment que la connais celle-là, et comme je la connais j'ai l'impression que tout le monde aussi pareil, donc je n'avais pas jugé utile de vous en parler, sauf que pas tout le monde finalement en fait alors voilà [1] :
avec Firefox, si vous voulez vous débarrasser d'un mot resté en mémoire dans vos formulaires web ou dans la barre d'adresses du navigateur (contrairement à IE, même les adresses erronnées restent en mémoire dans Firefox), vous faites juste un petit Shift+Suppr et hop l'intrus dégage.
Ne me remerciez pas, je deviens généreux à l'approche du week-end.
[1] Si c'est pas de la bonne phrase bien tournée en bon français ça.
via Lifehacker
vendredi 23 février 2007
Mes vrais amis les gens
Ahlala ! J'en peux plus de lire le blog de Nelly Nos amis les people...
Aïe Aïe Britney qui redevient cooompétement fooolle !
Justin Timberlake est avec Jennifer Hudson, Justin Timberlake, Sienna Miller et Jamie Burk sont ensembles et Hayden Christensen aussi... Toutes ces infos, j'en peux plus !
nosamislespeople.com
Chansons pour les candidats
Sarko Oh Oh!, L'hymne officiel de Nicolas Sarkozy par Nicolas Luciani.
Cramer La Boulette (Sarko Demago) Diam's feat. Bacalao.
Cet homme, la nouvelle chanson anti-Sarko d'Onsfoudkilao (Aprés le Sarko Skanking).
Tiens ta femme et tu tiendras la France, Joey Starr.
Pleins de chansons à la gloire du candidat de l'UMP sur Sarkotusors.org (Nicolas Police, Sarkoland,...)
Le S.A.R.K.O, Dégage ! et Le Ségolène Royal Mix par les gars de la Royal.
Ségolène & Nicolas par Kalifa.
Ségolène, façon zouk par le groupe martiniquais Classe affaires.
La Royale par Le Kaduk.
Ségolène par William Berg.
La Chanson pour Ségolène Royal (myspace.com/lachansonpoursegoleneroyal).
T'auras mon vote Bayrou
"Tous Tous Ensemble on est pour Nicolas, Ségolène, François, Jean-Marie, Marie-George, etc..." sur Capytol.com.
Cramer La Boulette (Sarko Demago) Diam's feat. Bacalao.
Cet homme, la nouvelle chanson anti-Sarko d'Onsfoudkilao (Aprés le Sarko Skanking).
Tiens ta femme et tu tiendras la France, Joey Starr.
Pleins de chansons à la gloire du candidat de l'UMP sur Sarkotusors.org (Nicolas Police, Sarkoland,...)
Le S.A.R.K.O, Dégage ! et Le Ségolène Royal Mix par les gars de la Royal.
Ségolène & Nicolas par Kalifa.
Ségolène, façon zouk par le groupe martiniquais Classe affaires.
La Royale par Le Kaduk.
Ségolène par William Berg.
La Chanson pour Ségolène Royal (myspace.com/lachansonpoursegoleneroyal).
T'auras mon vote Bayrou
"Tous Tous Ensemble on est pour Nicolas, Ségolène, François, Jean-Marie, Marie-George, etc..." sur Capytol.com.
jeudi 22 février 2007
mercredi 21 février 2007
mardi 20 février 2007
lundi 19 février 2007
dimanche 18 février 2007
samedi 17 février 2007
Britney Spears la boule à Z
Hier soir, la star en visite chez le tatoueur a subitement entreprit de se raser elle-même le crâne devant un parterre de photographes médusés... Toutes les photos.
via Digg.
vendredi 16 février 2007
Plus de raccourcis clavier dans Google
Ce script Greasemonkey rajoute des numéros aux liens contenus dans les articles affichés par Google Reader. via Lifehacker.
Et celui-ci fait de même dans les résultats du moteur de recherche (avec quelques autres fonctions supplémentaires), via GOS.
Ionut a d'ailleurs rassemblé tous les raccourcis clavier Gmail, Google Agenda, Reader, Local et Vidéo sur cet unique Notebook.
Et celui-ci fait de même dans les résultats du moteur de recherche (avec quelques autres fonctions supplémentaires), via GOS.
Ionut a d'ailleurs rassemblé tous les raccourcis clavier Gmail, Google Agenda, Reader, Local et Vidéo sur cet unique Notebook.
jeudi 15 février 2007
mercredi 14 février 2007
mardi 13 février 2007
Accident de parachutisme
Michael Holmes un parachutiste néo-zélandais impacte à 140 km/h après une chute de 3600 mètres alors que son parachute est en torche et... survit avec "seulement" un poumon perforé et une hanche brisée.
Lui et son copain trouvent même le temps de filmer la scène...
via The Mail On Sunday
dimanche 11 février 2007
Gmail Colored Contacts
Moktoipas modifie encore la manière d'appréhender l'interface de notre webmail préféré en nous offrant un moyen simple d'ajouter des codes couleurs aux noms des contacts Gmail.
samedi 10 février 2007
vendredi 9 février 2007
J'aime, le premier single de Clara Morgane
J'aime, le premier single de Clara Morgane, en duo avec le rappeur Lord Kossity, tiré de son album "Déclarations".
iMacros automatise Firefox
jeudi 8 février 2007
mercredi 7 février 2007
Utiliser Quicksilver comme rappel
lundi 5 février 2007
Votez pour la meilleure pub du Super Bowl
Si vous avez un trou dans votre emploi du temps vous pouvez toujours voter sur YouTube pour le meilleur des 49 écrans publicitaires diffusés durant le Super Bowl.
Sinon le résultat des votes sera affiché demain sur la page d'accueil du site.
1. But He Has Bud Light
2. Reception (Bud Light)
3. Class Mencia (Bud Light)
4. Nationwide (avec Kevin Federline)
5. Autograph (Foot Locker)
6. Garmin
7. Taco Bell
9. GoDaddy avec Kevin Rose (Digg.com)
9. Toyota Tundra
10. Rock Paper Scissors (Bud Light)
dimanche 4 février 2007
1 édition intégrale de Vista à gagner
SuchABlog organise un petit concours cette semaine; à gagner : une édition intégrale du nouveau systéme d'exploitation de Microsoft.
[Edit]
C'est Nicolas qui a gagné et il explique comment il a fait.
Netvibes hacké !
Ce blogueur (site supprimé) nous expliquait comment, en créant un module Netvibes, il a réussi à s'introduire dans l'arrière boutique du site et a avoir accès aux identifiants des utilisateurs :
Bonjour,
Tout d'abord, mon but n'est pas de nuire à Netvibes, ni à ses employés et ni à ses utilisateurs.
Mon but est de démontrer que de nombreuses applications web 2.0 dont Netvibes ne protègent pas assez les données personnelles des utilisateurs.
Je suis un utilisateur de Netvibes depuis ces débuts et j'adore cette application. C'est une sorte de bureau sur le web qui permet de regrouper dans une interface ses mails, ses flux rss préférés, son calendrier perso, des post-it, et beaucoup d'autres choses : c'est une petite partie de sa vie privée auquelle on peut accéder depuis n'importe quel ordinateur (et téléphone depuis peu...) relié au web.
Je me suis donc posé la question : "Est-ce que toutes mes données sont réellement en sécurité sur Netvibes ?".
Et la réponse est NON !
Pour être bref, j'ai eu accès aux données personnelles de plusieurs milliers d'utilisateurs, leurs mot des passes, à leur compte Google, ... et pour finir, j'ai aussi eu accès au site utilisé par l'équipe de Netvibes pour développer notre site favori.
Je vais vous avouer que le premier soir où j'ai découvert tout ça, j'ai eu beaucoup de mal à trouvé le sommeil. Car si mon intention n'est pas d'exploiter ces données, ce n'est pas le cas de tout le monde sur le web. Donc si j'ai pu accéder à toutes ces données, pourquoi pas d'autres ?
Je vais donc vous décrire comment j'ai pu accéder à ces données, mais sans rentrer dans les détails, ni donner d'informations techniques afin que personne ne puisse nuire aux utilisateurs avant que Netvibes prenne des mesures nécessaire pour résoudre ces problème de sécurité.
- Etape 1 :
Cette étape de validation doit sûrement leur servir à vérifier que le module n'affiche pas de contenus illicites, ou qu'il ne gêne pas le bon fonctionnement de Netvibes.
Le premier problème que j'ai constaté est que le module peut être totalement remodifié par son développeur sans aucune étape de revalidation de la part de Netvibes...
- Etape 2 :
Je suis même capable avec mon module "modifié" de supprimé tout les flux rss et les modules de l'utilisateur ou de remplacer certains modules par d'autres, de modifier le titre de sa page personnelle,... => Je peux donc complètement "hacké" la page d'un utilisateur ayant ajouté mon module.
A cette étape, je n'ai pas encore trouvé le moyen de récupérer le mot de passe utilisé pour se connecter à son compte Netvibes (ça va venir un peu plus loin...).
Les données que j'ai pu récupérer à ce stade sont :
- Les emails des utilisateurs utilisés pour se connecter à leur compte Netvibes => je pourrais utiliser cette liste d'emails pour spammer.
- La liste de tous leurs flux rss affichés dans Netvibes => je pourrais donc spammer les utilisateurs en fonction de leurs loisirs, intérêts personnels, leurs sites préférés...
- La liste de tous leurs calendriers, même personnel utilisés dans les modules Ical, ou Google Calendar.
- Les libellés des mails GMail (je n'ai pas essayé avec les autres mais ça doit aussi marcher) issu du flux https://mail.google.com/mail/feed/atom
- Tous les paramètres de configuration des modules. C'est particulièrement dangereux dans le cas de ce module par exemple : http://eco.netvibes.com/modules/14557/my-google-adsense
Il permet d'afficher son compte adsense dans Netvibes. Il m'est donc possible d'avoir les comptes d'accès à Adsense de ces personnes. Il en ait de même pour tout les modules accédant à des sites tiers ayant besoin de s'authentifier et où les logins d'accès sont paramétrés dans les modules.
- Les notes saisies dans les bloc-notes ("Webnote"). On n'imagine même pas tout ce que peuvent noter les utilisateurs : login/mot de passe d'accès à divers comptes sites.
Bon, à ce stade, j'arrive à récupérer une multitude d'informations personnelles, ainsi que des logins vers des sites tels que Google Adsense et autres...
- Etape 3 :
Soit je contacte Netvibes, je leur signale les problèmes, ils corrigent et personne n'en entend parler... Et les utilisateurs continueront de ne pas se soucier de leurs données personnelles.
Soit je crée ce blog pour essayer modestement à mon niveau de faire changer les choses :
- les utilisateurs doivent être beaucoup plus prudents sur leurs données personnelles.
- les développeurs des nouveaux sites dits "web 2.0" tels que Netvibes doivent mettre la sécurité en première place dans leur liste de priorités.
J'ai choisis la deuxième solution.
Donc à ce stade, je décide de créer ce blog. Et là, je me pose une question : "N'y aurait-il pas quelqu'un de l'équipe Netvibes dont j'aurais récupérer les infos ?"
- Etape 4 :
Donc je regarde et je vois qu'il utilise lui aussi des Webnotes comme nous tous, dans lequel il note des choses dont je n'aurais jamais pensé trouver : ces logins d'accès au site de développement et au wiki utilisés par les développeurs de Netvibes, ainsi qu'un login d'accès vers une base de données de sauvegarde où se trouve toutes les données des utilisateurs!!!
Non, vous ne rêvez pas! Moi aussi, j'ai eu du mal à le croire quand j'ai découvert ça !
- Etape 5 :
- version mobile de Netvibes
- intégration des widgets Google
- partenariat avec de grande marques (Google, Aol, Skype, ...)
- création d'une communauté Netvibes avec gestion de profils et amis
J'ai de plus accès à toutes les sources des programmes php de Netvibes, ce qui pourrait me permettre de trouver encore plus de failles de sécurité !
Et enfin, j'ai accès à une base de données de sauvegarde qui contient login/mot de passe des utilisateurs. Les mots de passes sont codés en MD5 mais de nombreux sites tels que http://md5.c.la permettent de décoder certains de ces mots de passes. J'ai essayé, il y a environ un mot de passe sur cinq que j'arrive à décoder...
Le pire là dedans, c'est que la plupart des utilisateurs utilisent comme login et mot de passe Netvibes celui de leur compte mail Google ou autre (tout comme moi d'ailleurs!).
Bon, arrivé à ce stade en a peine quelques jours, je suis cette fois convaincu que mes données ne sont pas du tout en sécurité sur Netvibes et je vais aller changer immédiatement le mot de passe de mon compte Google !!!
Donc en résumé, voici la liste impensable des données que je suis capable de récupérer :
- emails / mot de passe de connexion à Netvibes
- liste des flux rss utilisés
- accès au compte mail si le login/mot de passe est le même que celui de Netvibes
- accès aux sources php de Netvibes
- Conclusion
Je le répète, mon intention n'est pas de nuire à Netvibes, ni aux utilisateurs. Je veux juste que les internautes se rendent compte que leurs données personnelles ne sont pas forcément en sécurité. Et il faut que les développeurs de ces nouveaux sites "web 2.0" se préoccupe en priorité de la sécurité des données de leurs utilisateurs.
Après la lecture de cet article, je conseille donc :
- à Netvibes :
- de former les développeurs sur la sécurité
- de supprimer tout leurs "Webnote" contenant des données confidentielles
- de bloquer tout les modules qui enregistre des logins et mot de passe de sites tiers tel que celui-ci : http://eco.netvibes.com/modules/14557/my-google-adsense
- de demander à tous leurs utilisateurs de changer le mot de passe de leur compte Netvibes, ainsi que leur compte email s'il est identique
- de me contacter afin que je leur donne la faille que j'ai utilisé afin de sécuriser Netvibes
- aux utilisateurs :
- de ne pas saisir de données confidentielles dans leurs "Webnotes"
- de se montrer plus prudents sur ces nouveaux sites "Web 2.0", même aussi populaires que Netvibes, qui sont merveilleux à utiliser mais qui ne vous protègent pas tous encore contre le vol de données personnelles par des personnes malintentionnées...
J'espère que cet article va faire du "bruit" et qu'il contribuera à faire changer les choses. Je compte sur vous tous pour relayer l'information.
A Web 2.0 user...
Clubic compare les sites de blog
Clubic nous propose un comparatif des 9 solutions de blog gratuites les plus utilisées :
- Windows Live Spaces
- Skyblog
- OverBlog
- MySpace
- Hautetfort
- Vox
- Blogger
- Wordpress
- Dotclear
C'est vrai que les sites de blog gratuit proposent de plus en plus de services en concurrence directe avec les solutions payantes et ce n'est pas forcément facile de bien choisir...
Chez Blogger par exemple, on peut en quelques minutes ouvrir un blog à un enfant de 5 ans avec une interface en français, une partie privée, un design et un nom de domaine personnalisé; on pourra même filtrer les commentaires qu'il reçoit et contrôler les articles qu'il publie de manière totalement transparente depuis sa boite mail, le tout sans pub et sans avoir à s'occuper ni de la gestion d'un serveur ou à payer les frais de bande passante.
via Scoopéo
vendredi 2 février 2007
Ouvrir une voiture avec une balle de tennis
Une méthode de déverrouillage de la fermeture centralisée (réservée aux jeunes filles innocentes évidement).
1. Prenez une balle de tennis.
2. Percez un trou dedans.
3. Alignez le trou en face de celui de la serrure.
4. Appliquez une forte pression sur la balle.
Inscription à :
Articles (Atom)