PEBKAC #7045

Un site de vente en ligne doit nous fournir son catalogue produit. Ils placent le fichier sur leur serveur, et nous envoient l'URL du genre : « http://admin..com/fichier.csv ».

Nous récupérons le fichier, ça fonctionne, même s'il aurait été plus judicieux de le compresser. Puis, curieux, je supprime le nom du fichier dans l'URL et vois apparaître la page de connexion du back-office. Je pousse ma curiosité plus loin en tentant le classique « admin / admin ».

Bon, ça ne fonctionne pas, un message d'erreur apparaît. En revanche, l'URL devient « http://admin.[...].com/backend.php/ ». Cela me laisse de suite penser à un framework bien connu, je tente donc d'ouvrir « http://admin.[...].com/backend_dev.php/ ».
Et effectivement, je me retrouve sur la même page, avec en haut à droite la fameuse barre d'outils de Symfony, avec bien entendu toutes les données fort intéressantes qu'elle peut contenir.

Pour avoir placé un tel fichier de développement sur une machine en production : PEBKAC.

PEBKAC #7045 proposé par juu le 22/02/2013 | 25 commentaires | 👍🏽 👎🏽 +224

Ah tiens j'ai oublié [...] dans la première URL.

Commentaire #80443 écrit par juu le 22/02/2013 à 09h19 | 👍🏽 👎🏽

<mode type="boulet">Tes liens ne fonctionnent pas...</mode>

Commentaire #80448 écrit par Link le 22/02/2013 à 09h29 | 👍🏽 👎🏽

pour ne pas mettre de restriction d'ip sur ce fichier, pour avoir mit le catalogue dans la partie admin plutôt que sur le front, dans un mail ou sur un ftp...

Commentaire #80470 écrit par achille le 22/02/2013 à 10h53 | 👍🏽 👎🏽

C'est quoi une machine en production ?

Commentaire #80492 écrit par mini le 22/02/2013 à 12h53 | 👍🏽 👎🏽

Un conseil : même quand vous tombez sur de gros PEBKACs comme ça, ne farfouillez pas trop dans leurs serveurs : il me semble que ça peut être considéré comme une tentative de "piratage" (j'ai pas le terme légal en tête), poursuivi et condamné.

Bon faut vraiment tomber sur des gros cons si vous leur signalez la faille et qu'ils vous poursuivent pour ça, mais il me semble que c'est déjà arrivé (je vous chercherai des liens si vous y tenez).

Commentaire #80502 écrit par TuXiC69 le 22/02/2013 à 13h34 | 👍🏽 👎🏽

@TuXiC69. Oui c'est même un accès et maintien frauduleux dans un système informatique, potentiellement fortement sanctionné par la loi.

Commentaire #80503 écrit par Krogoth le 22/02/2013 à 13h35 | 👍🏽 👎🏽

Un serveur (ou une machine) en production est un serveur accessible à tous via Internet

Commentaire #80513 écrit par tony83 le 22/02/2013 à 15h37 | 👍🏽 👎🏽

@tony83 magnifique PEBKAC sur le coup...
Un serveur en production est un serveur qui fait tourner une ou des applications finies de manière opérationnelle.
Par opposition un serveur de dev est un serveur où tourne des versions en cours de développement ou en phase de test avant la mise en production.
Une machine de test peu très bien être accessible sur internet.
Tout comme un serveur de production peut être joignable uniquement sur l'intranet d'une société.

Commentaire #80518 écrit par DTL le 22/02/2013 à 17h08 | 👍🏽 👎🏽

Ce que je voulais dire c'est qu'un serveur accessible à tous via internet est forcément un serveur de prod.
Si ton serveur de dev est accessible à tous via Internet (j'entends par là les messages d'erreur explicites pour le debug par exemple, ou encore login/mdp qui traînent), je pense que c'est plutôt toi le PEBKAC...

Mais je me suis effectivement mal exprimé, un serveur de prod n'est pas forcément sur Internet

Commentaire #80540 écrit par tony83 le 22/02/2013 à 18h44 | 👍🏽 👎🏽

Pour info http://www.lexinter.net/JF/atteintes_aux_systemes_informatiques.htm

Tony83 Ce que je voulais dire c'est qu'un serveur accessible à tous via internet est forcément un serveur de prod combo de pebkac à mon taf j'ai bien un serveur de test accessible depuis le net et il ne contient aucune application encore en production.
C'est très pratique crois moi

Commentaire #80542 écrit par Quelqu'un le 22/02/2013 à 19h07 | 👍🏽 👎🏽

Quel est l'abruti qui a moinssé une personne qui pose une question (ici mini, en l'occurrence) ? Le but de ce site étant justement de se moquer de ceux qui préfèrent faire des conneries plutôt que de se renseigner...

D'autant plus que les réponses ont démontrer que la solution n'est pas si évidente que cela !

Commentaire #80548 écrit par Aaargh!!! le 22/02/2013 à 19h40 | 👍🏽 👎🏽

Effectivement, bien plus sévèrement condamné qu'un braquage par exemple... Cela est écœurant !

Commentaire #80549 écrit par Aaargh!!! le 22/02/2013 à 19h42 | 👍🏽 👎🏽

Moi je plussois DTL, tu peux très bien mettre un serveur de dev sur internet accessible a tous, l'important c'est qu'il n'y est pas de données sensibles .(a noter que le site en lui-même peut etre une donnée sensible)

Commentaire #80554 écrit par aaa le 22/02/2013 à 20h27 | 👍🏽 👎🏽

Probablement le même qui t'a moinssé. A croire que certains s'amusent à mettre des -1 comme ça au hasard (ou sur des pseudos qu'ils n'aiment pas ?).

Commentaire #80580 écrit par Acorah le 23/02/2013 à 00h11 | 👍🏽 👎🏽

Alors si le mec a fait mumuse je comprends. Je croyais qu'il s'agissait d'une action délibéré, pas d'un gosse.

Commentaire #80588 écrit par Aaargh!!! le 23/02/2013 à 09h14 | 👍🏽 👎🏽

Moi, je ne comprends pas. Ou plutôt, je ne l'accepte pas. Un mec à qui le concept exact du PEBKAC passe au-dessus de la tête peut se trouver utile, une fois de temps à autres. Les petits rigolos qui s'amusent à moinsser arbitrairement n'apportent rien.

Commentaire #80591 écrit par Geist le 23/02/2013 à 10h12 | 👍🏽 👎🏽

Successfull troll is successfull /o/

Non, vous croyiez vraiment que la question était sérieuse ? XD
Je me mettais à la place de celui qui s'occupe du serveur, visiblement incapable de faire la différence.

Commentaire #80596 écrit par mini le 23/02/2013 à 12h07 | 👍🏽 👎🏽

Surtout quand l'auteur de la question tend un bâton gros comme [insérez objet long et dur ici] et que vous tombez tous dans le panneau :p
Cf plus haut.

Commentaire #80597 écrit par mini le 23/02/2013 à 12h08 | 👍🏽 👎🏽

En effet, on pourrait citer par exemple le cas de Serge Humpich

http://fr.wikipedia.org/wiki/Serge_Humpich

Commentaire #80600 écrit par check_ca le 23/02/2013 à 12h56 | 👍🏽 👎🏽

Ah ! Ben, on pouvait pas deviner.

Commentaire #80617 écrit par Aaargh!!! le 23/02/2013 à 19h48 | 👍🏽 👎🏽

J'admets qu'on ne peut pas se souvenir de tout le monde.
Mais quand même, je poste partout, et mes PEBKAC laissent clairement entendre que l'info est mon boulot ... ;)

Commentaire #80624 écrit par mini le 24/02/2013 à 00h33 | 👍🏽 👎🏽

La question est donc, à partir de quand le bug devient tellement évident et gros que cela n'est même plus une intrusion frauduleuse ?
Quand tu ne fermes pas ta porte à clé ? Quand tu la laisses ouverte ? Quand tu laisses tes possessions sur le trottoir avec un écriteau "servez-vous" ?

Commentaire #80625 écrit par mini le 24/02/2013 à 00h36 | 👍🏽 👎🏽

Comment t'avouer... je ne lis pas forcément le nom de l'auteur d'un message ici, surtout quand il s'agit d'une demande légitime ;) Cela pourrait relever d'un pebkac. Cela peut également ne pas en être un, en prenant en compte un certain ordre des priorités de lecture d'un message. Mais j'avoue que je regarde peu (probablement une habitude de la V1, quand tlm pouvait prendre tous les pseudos, et que donc seul le texte permettait -parfois- d'en deviner l'auteur réel).

Commentaire #80631 écrit par Aaargh!!! le 24/02/2013 à 10h34 | 👍🏽 👎🏽

A ceux qui m'ont moinssé : je suis sérieux ! A moins que vous n'ayez des preuves contraires à me montrer...

Commentaire #80632 écrit par Aaargh!!! le 24/02/2013 à 10h35 | 👍🏽 👎🏽

Même là, le viol de propriété est établi. On n'entre pas dans la maison du voisin. Il faut y être convié. Et encore, il y a la ruse, qui est aussi interdite.

C'est comme ça qu'ils ont dû procéder dans les tribunaux.

Cependant, l'analogie entre un site et une maison me semble franchement foireuse ! Surtout ici...

Commentaire #80633 écrit par Aaargh!!! le 24/02/2013 à 10h37 | 👍🏽 👎🏽