Bienvenue sur PEBKAC.fr, le site qui recense les anecdotes où l’on se moque des utilisateurs ne maîtrisant pas l’outil informatique. PEBKAC est un acronyme signifiant « Problem Exists Between Keyboard And Chair ».
Le problème se situe entre la chaise et le clavier : soumettez vos histoires, donnez votre avis !
Ce site n'est pas le site original pebkac.fr. Je publie ici la liste des PEBKAC que j'ai pu sauvegarder avant que le site original ne soit mis hors ligne.
Se connecter | Aléatoire | Soumettre
Mon amie et moi (même cursus universitaire) étions en recherche de stage, et nous avions l'habitude de nous envoyer mutuellement les annonces qui pouvaient être intéressantes.
En ouvrant un lien d'un de ces e-mails, je trouve bien une annonce mais je me retrouve aussi logué sur son compte. Surpris, je me dis qu'elle s'est connectée récemment sur son compte avec mon PC. Je me déconnecte, du compte et re-clique sur l'annonce. J'étais à nouveau connecté sur son compte, et je pouvais changer toutes ses informations personnelles.

D'un élan généreux, je cherche le contact du webmaster et lui envoie un e-mail l'informant de cette grosse faille de sécurité. Il m'a répondu qu'il était au courant, et qu'il travaillait dessus...

Six mois plus tard, en recherche d'emploi cette fois, je repense à cette histoire. Je recherche le vieil e-mail que j'avais conservé, et retente l'opération... Et vous aurez deviné que le bug n'avait toujours pas été corrigé. PEBKAC.
PEBKAC #6778 proposé par Sa3k le 27/01/2013 | 8 commentaires | 👍🏽 👎🏽 +264
C'est plus un bug à ce niveau... c'est voulu là.
On ne peut pas faire ça sans avoir préciser la session en paramètre GET...

Si ça se trouve le bug a été corrigé, le site ne génère plus ce genre de lien, après bon... ils sont toujours acceptés.
Y'a toujours des clients pour nous demander qu'on soit connecté en cliquant sur le lien, ce qui est irréalisable en maintenant une sécurité minimum (et sans demander son mot de passe à l'utilisateur).
Commentaire #75932 écrit par Cartman34 le 27/01/2013 à 09h13 | 👍🏽 👎🏽
J'pense pas que ce soit voulu, c'est plutôt une conf de PHP pourrie.

Les options :
`
php_flag session.use_trans_sid [on/off]
php_flag session.use_only_cookies [on/off]
`
sont parfois mal configurées par défaut chez certains hébergeurs. L'effet ? Plutôt que de transmettre l'identifiant de session par cookie, il est transmis en paramètre GET (un des plus jolis vomitif ue je connaisse).
Commentaire #75936 écrit par cGuille le 27/01/2013 à 09h37 | 👍🏽 👎🏽
ou alors il y a carrément les login et pass dans l'url.
Rigolez pas ca existait à une époque et ca doit bien se trouver encore ...
Commentaire #75939 écrit par achille le 27/01/2013 à 09h56 | 👍🏽 👎🏽
Pourquoi faire compliqué?

Une url du genre index.php?idUser=42 et basta. Qui aurait l'idée de la modifier?
Commentaire #75941 écrit par Link le 27/01/2013 à 10h00 | 👍🏽 👎🏽
Depuis que 99% descomptes perso de ma prepa ont tous le même mdp plus rien ne me fait peur...
Au moins toi l'admin ne ta pas snobé XD.
Commentaire #75947 écrit par les1% le 27/01/2013 à 10h43 | 👍🏽 👎🏽
Avec idUser ? Beaucoup de gens aurait l'idée de la modifier ... au moins pour "voir ce que ça fait"
Commentaire #75977 écrit par Fred le 27/01/2013 à 13h49 | 👍🏽 👎🏽
dans le même genre, le site "copains d'avant" a longtemps eu les infos d'authentification dans l'url
Commentaire #76798 écrit par pote_de_jadis le 31/01/2013 à 16h01 | 👍🏽 👎🏽
Je me souviens que y'avait un soucis de ce genre également avec laposte.net, mais y'a eu plusieurs refontes depuis, je sais pas si c'est toujours le cas.
Commentaire #111672 écrit par ROB le 18/09/2013 à 08h50 | 👍🏽 👎🏽