Bienvenue sur PEBKAC.fr, le site qui recense les anecdotes où l’on se moque des utilisateurs ne maîtrisant pas l’outil informatique. PEBKAC est un acronyme signifiant « Problem Exists Between Keyboard And Chair ».
Le problème se situe entre la chaise et le clavier : soumettez vos histoires, donnez votre avis !
Ce site n'est pas le site original pebkac.fr. Je publie ici la liste des PEBKAC que j'ai pu sauvegarder avant que le site original ne soit mis hors ligne.
Aujourd'hui, un étudiant a réussi à faire un segfault sur un de mes serveurs Apache, en envoyant un cookie malformé. Le problème vient du module de single sign-on (authentification) développé par le service IT de l'école (faculté d'informatique plutôt réputée regroupant 8000 étudiants).
Je signale le problème à l'équipe de développement, et leur demande comment mitiger le problème. Ils m'ont répondu : "Bah... Il n'y a qu'à pas envoyer de cookies malformés !...".
Merci pour cette réponse très utile. PEBKAC.
PEBKAC #6036 proposé par b0fh le 02/11/2012 | 22 commentaires | 👍🏽 👎🏽 +236
ho le jolie PEBKAC. Quand une équipe de dev ne veut pas résoudre ses bugs, là on dépasse le niveau du PEBKAC, ça devient de l'idiotie suprême.
Réglons le problème à la source, flinguons les.
Commentaire #64342 écrit par Cartman34 le 02/11/2012 à 12h45 | 👍🏽 👎🏽
t'as une url de bugzilla, ou de forum, ... ?
Commentaire #64344 écrit par Alfred456654 le 02/11/2012 à 12h59 | 👍🏽 👎🏽
A part planter le programme en cours, un segfault peut t'il modifier d'autres données? par exemple, en écrivant à une autre adresse?

Après comme dirait mon ancien prof de maths : MIMO, Merde In, Merde Out
Commentaire #64347 écrit par Link le 02/11/2012 à 13h03 | 👍🏽 👎🏽
Si le processus en qui a fait la segfault modifiait d'autres données, celles-ci peuvent être corrompues.
Commentaire #64350 écrit par BSK le 02/11/2012 à 13h07 | 👍🏽 👎🏽
C'est comme pour les ceintures de sécurité: c'est pas la peine d'en mettre, il n'y a qu'à pas avoir d'accident!
Commentaire #64352 écrit par Shirluban le 02/11/2012 à 13h10 | 👍🏽 👎🏽
En faisant un cookie malformé "au bol", y'a peu de chance. Maintenant, en faisant un cookie malformé dans le but d'exploiter la faille, y'a plein de trucs sympas à faire ;)
Commentaire #64354 écrit par BOF le 02/11/2012 à 13h27 | 👍🏽 👎🏽
Tu peux aussi lui dire "t'as qu'à pas répondre des phrases de m*rde" pour qu'il évite de recevoir un coup de ton pied dans ses c*illes !
Commentaire #64357 écrit par Aaargh!!! le 02/11/2012 à 13h35 | 👍🏽 👎🏽
(Lisez ceci avec la voix de Daniel Prevost)
- Heu, Bernard, comment on faut pour un joint de culasse pété ?
- Ben tu le remplaces par un joint de culasse qu'est pas pété
Commentaire #64358 écrit par Bourriks le 02/11/2012 à 13h55 | 👍🏽 👎🏽
"Je signale le problème à l'équipe de développement, et leur demande comment mitiger le problème."

"comment régler le problème" éventuellement ... "mitiger le problème" ça fait juste la grosse tâche qui traduit à coups de Google trad ...
Commentaire #64366 écrit par Freudo le 02/11/2012 à 15h05 | 👍🏽 👎🏽
<HS>
Bonjour à tous. Je m'adresse à vous car je me suis lancé dans l'auto-hébergement d'un site internet sur un Raspberry Pi (www.raspberrypi.org/faqs pour ceux qui connaissent pas) configuré en serveur web, et j'ai besoin d'aide pour tester sa robustesse. (attention pas de tentative de hack, je veux juste savoir à combien de connexions il crash)
Alors pour ceux qui veulent bien et qui n'ont rien prévu de mieux samedi à 17h, vous pouvez venir à l'adresse http://rpi.informotics.fr (et vous aurez un cookie).
Merci et désolé pour le HS.
</HS>
Commentaire #64367 écrit par Muphins le 02/11/2012 à 15h05 | 👍🏽 👎🏽
Cadeau :
https://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service#Outils
Commentaire #64371 écrit par 1138 le 02/11/2012 à 16h43 | 👍🏽 👎🏽
while true ; do wget -O /dev/null rpi.informotics.fr & done
Commentaire #64375 écrit par BSK le 02/11/2012 à 17h34 | 👍🏽 👎🏽
Non, pas forcément...

Dans le monde réel, il n'est pas toujours possible de corriger les problèmes rapidement et de façon satisfaisante. C'est comme ça.

Par contre, il existe peut-être une solution rapide pour contourner le problème. Je pense par exemple à l'adaptation des filtres qui existent certainement déjà sur le réseau pour bloquer le motif qui déclenche la faille. Le problème n'est pas corrigé, mais les risques sont très fortement réduits.

Note, une des déifnitions de mitiger selon le TLFi est :
Rendre quelque chose moins pénible, moins douloureux pour quelqu'un.
Commentaire #64376 écrit par Acné le 02/11/2012 à 17h44 | 👍🏽 👎🏽
C'est le principe même des attaques par buffer overflow...
Commentaire #64377 écrit par palu le 02/11/2012 à 17h58 | 👍🏽 👎🏽
Never trust user input n'est pas un vain concept.
Commentaire #64378 écrit par mini le 02/11/2012 à 18h06 | 👍🏽 👎🏽
Les images sont longues à charger, c'est hébergé chez toi avec un débit digne du Cantal? Si oui ta connexion va rendre l'âme avant le raspberry...
Commentaire #64388 écrit par Link le 02/11/2012 à 18h57 | 👍🏽 👎🏽
@Freudo : tache*, merci.
Commentaire #64391 écrit par Astalaseven le 02/11/2012 à 19h50 | 👍🏽 👎🏽
Ah oui effectivement ma connexion est assez lente. Bah on verra bien, au pire c'est pas très grave si ça met longtemps à charger xD
Commentaire #64395 écrit par Muphins le 02/11/2012 à 20h37 | 👍🏽 👎🏽
Acné l'a bien compris, il n'était pas question de mettre en production du code corrigé a l'arrache, donc par mitiger j'entendais bien diminuer l'impact de la faille, par des changements de configuration, quitte a sacrifier les fonctionnalités ou la performance, en attendant qu'ils puissent tester une vraie solution.

Et non je ne filerai pas d'URL ni de noms, mais si vous pensez savoir de quelle institution il s'agit, ils ont sorti le 15 octobre une nouvelle version de leur module qui corrige (entre autres) un déréférencement de pointeur nul. Et sans nous créditer, ces salauds.

PS: editorial fail, c'est l'école entière qui compte 8k étudiants, pas la fac d'informatique.
Commentaire #64399 écrit par b0fh le 02/11/2012 à 21h46 | 👍🏽 👎🏽
microsoft fait du module apache maintenant ???
Commentaire #64408 écrit par achille2 le 03/11/2012 à 07h49 | 👍🏽 👎🏽
Finalement, Aaargh !!! reste plutôt modéré à ne proposer que des baffes.
Commentaire #64514 écrit par Loki le 05/11/2012 à 00h03 | 👍🏽 👎🏽
Surtout qu'il me semble qu'il existe déjà un module équivalent open source.
Mais j'ai parfois l'impression que certaines personnes réinventent la roue en moins rond ;)
Commentaire #64526 écrit par but2ene le 05/11/2012 à 08h00 | 👍🏽 👎🏽