Wow... Titre du livre? :D

Pas pour l'informatique certes, mais pour caler une table bancale ?

Quitte à enlever la tranche et la couverture si elle est plastifiée, on peut aussi démarrer un barbecue... Où est-ce que je peux l'acheter ? Je ne me vois pas utiliser TOAP pour ça...

+42 : J'aimerais vraiment beaucoup connaître la source.

Il s'agirait de "L'Univers des codes secrets: De l'antiquité à Internet" (d'après une ptite recherche Google)

(et non, encore une fois, ce n'est pas comme ça qu'on a la médaille du voyageur galactique impatient X) )

dans un sens ce n'est pas faux à partir du moment où on reste uniquement sur du HTML donc c'est toi le PEBKAC :p

Une page uniquement en HTML qui demande un mot de passe?
Quand ça arrive, c'est le serveur qui le demande, donc c'est pas visible. Exemple du livre faux.

Dans un sens c'est pas totalement faux. Avec des outils comme "l'outil de développement" sur Chrome permettent de faire apparaître en clair le mot de passe entré en changeant le type "password" par "text"... C'est peut être ce qu'ils voulaient dire... même si c'était dit de manière bancale...

Euh... j'ai déjà vu des sites qui demandaient un mot de passe en JS, faisaient un test d'égalité avec le mot de passe attendu en clair dans le code, puis changeaient la valeur de location vers la page principale « sécurisée. »

Ah mais la table bancale est un problème récurrent en informatique. Dans ce cas, le livre peut être considéré comme étant utile pour l'informatique.

Après, pour l'allumage de barbecue, j'ai un peu plus de mal à faire un lien assez direct avec l'informatique, donc je dirais plus que dans ce cas on peut parler de livre de barbecue.

Donc ça contient du javascript en plus. Pas seulement du HTML.

C'est explicite : "directement dans le code source"

J'ai jamais lu un ramassis d'ineptie pareil par contre, c'est quoi le livre?

Ta théorie ne tient pas. L'auteur dit que ce livre n'est pas utile pour l'informatique ; dans l'hypothèse où caler une table bancale est un problème utile à l'informatique, ce livre ne peut servir à ça. Je cherche alors d'autres applications, qui n'ont forcément aucun rapport avec l'informatique.

Mmmh... Je crois que je devrais sortir, non ? Boarf, il fait meilleur à l'intérieur.

L'Univers des codes secrets: De l'antiquité à Internet
Par Hervé Lehning

https://www.google.fr/search?q=9782875151568&btnG&tbm=bks&[...]

@Acné : je doute que le site du Pentagone présente ce type de vulnérabilité.

C'est bien ça. Le livre est très bon à propos de la cryptographie par contre.

Le paragraphe est assez explicite, il insinue qu'aucun mot de passe ne peut être contourné sur internet.
En plus le "certains prétendent" me fait penser à quelqu'un qui a déjà été contredit pas mal de fois sur le sujet.

Déjà parler d'exécuter du HTML moi ça me choque, c'est une langage de balisage (comme son nom l'indique) pas de programmation.

Et tous ceux qui ont fait du xlts diront "heureusement" !

Pfff, c'est n'importe quoi. Tout le monde sait bien que pour chiffrer efficacement un mot de passe, il faut le mettre en EBCDIC !

xslt*

Je sais, je l'avais déjà testé ^^. C'était juste pour ne pas mettre +1.

L'auteur a-t-il déjà un peu entendu parler du PHP (par exemple) ?

AMHA, lisez plutôt "Histoire des codes secrets" de Simon Singh...

@ROB : c'est dans un fichier .html, donc c'est de l'HTML pour ce genre de personnes.

@Ash_Crow : je ne pense pas que ce genre de personnes sait ce qu'est un certificat d'authentification, par exemple.

Ma remarque n'est pas une explication du pourquoi ça marcherait, mais du genre de dégats qu'ils sont capables de provoquer sur l'interweb... Je suis très loin de cautionner ce genre de choses, mais il m'arrive d'en voir au boulot, commis par des gens qui sont dans le domaine, du moins dans leur CV.

EDIT : j'ajouterais que c'est pour ça que j'ai mis le mot sécurisée entre guillemets. C'était pour railler ce genre de sécurité.

Les gars c'est juste un exemple. Son but n'est pas de vous expliquer le web de A à Z.
Ca vous dit quelque chose la «vulgarisation» ?

L'exemple est faux. C'est pas de la vulgarisation, c'est une énormité.

Ce n'est pas du tout ce qu'il insinue. Ca c'est ce que tu as compris de l'illustration.
L'indiscrétion fait référence a la lecture du code source d'une page web. Tu pourras toujours y accéder. Certains contredisent se fait.
Si quelqu'un y met un mot de passe, tu l'auras aussi (en js - coté client).
Habituellement, c'est le générateur de page web qui attend un mot de passe, pas la page elle-même.

Le gars il t'explique que la sécurité ne doit pas uniquement reposer sur la clef et que la sécurité par l'obscurité n'est pas une. Même noyer le secret dans du texte aussi obscur qu'il soit. Ou sinon personne ne doit savoir qu'il y a un secret (stéganographie).

Hum le seul pebkac que je vois c'est que certains mots sont mal choisis comme : le mot "exécuter" j'aurai mis "interprété" par le navigateur.
Le seul truc ancien c'est dans cette norme html est la première ligne ...

@ROB : Ben ce n'est pas un exemple mais une illustration, le titre du livre n'est pas «sécuriser ces applications Web». Je t'assure tu peux regarder le code source d'une page web, même celle de la NSA. Mais heureusement ils ne mettent pas de secret dans la page d'accueil ;)

Je te mets au défis d'expliquer la même chose dans le petit cadre en parlant pour un néophyte du Web, J2EE, TLS, ...
Surtout que c'est inutile, car ce n'est pas ce qu'il veut expliquer.

Oui, certains mots sont mal choisis, mais l'idée est là : on peut toujours voir la page reçue et interprétée par la navigateur, fut-elle générée par du PHP ou un script CGI (mais là, je vous parle d'un temps que les moins de 20 ans…)
D'ailleurs, depuis au moins 6 ou 7 ans, j'ai dans l'idée d'écrire un livre de vulgarisation (c'est pas un gros mot) sur toutes ces choses (pas si) cachées d'Internet et qui sont, à mon avis, très utiles à connaître. : les sources des pages Web, pour récupérer par exemple les URL des fichiers MP3 lus par le lecteur « embedded » dans la page Web ; les commandes SMTP ou POP pour tester en Telnet le bon fonctionnement des serveurs. Ce sont deux exemples, mais j'ai d'autres idées.

Ah mon avis c'est des trolls qui l'ont écrit (commis ?).


...


Ou alors des Kévins aka chui tro 1akeur tavu

L'auteur serai dans le vrai si c'était pour expliquer pourquoi cette méthode n'existe pas. Mais visiblement... Il a pas tout compris au web.

ça aurait été moins choquant pour un ouvrage édité autour de 1995.

A l'époque PHP était un gadget minable un poil plus abordable que les cgi (ah bon il l'est toujours ? </troll>), la plupart des hébergeurs bas de gamme ne proposaient que du contenu statique à Mme Michu pour faire sa maison-page.

Il était courant de bloquer le clic droit avec un JS pour empêcher les vilains pirates de voler ton superbe design de site web bleu sur fond jaune, et pour protéger l'accès a une ressource on lui donnait un nom secret et on demandait au visiteur de remplir un formulaire qui le redirigerait vers le bon fichier en tapant le bon mot de passe.

Mais en 2012, sérieusement ?

La tournure est maladroite, les références dépassées, mais tout n'est pas absolument faux :
« Par exemple, si la page demande un mot de passe, ce qui est attendu peut se lire directement dans le code source »
→ l'auteur veut sans doute parler du champ input type="password". Par "ce qui est attendu", je pense qu'il veut dire le fait que l'on attende un mot de passe (et non la teneur de ce mot de passe).
C'est tordu comme façon de s'exprimer, mais je pense que l'auteur voulait dire ça (du moins je l'espère fortement).

« Normalement, un clic droit de la souris suffit pour faire apparaître le code source de la page que vous visitez »
→ Le clic droit peut-être désactivé... cela dit ce n'est pas la seule façon d'afficher le code-source d'un site.

Maintenant, la façon dont il tourne tout ceci laisse entendre au lecteur non averti qu'on peu pirater le site du Pentagone et récupérer les mots de passe en allant regarder le code source de leur page...
Quand on écrit un livre qui n'est pas une œuvre de fiction, la moindre des choses est de se renseigner correctement et de ne pas déformer les choses en les présentant de façon maladroite. Juste pour ça, il mérite un PEBKAC.

@Artemis : Tu en es sûr ? C'est peut être vrai, mais vu les approximations sur quelque chose d'aussi simple que le HTML, je n'ose imaginer ce qui pourrait être écrit sur une matière plus complexe.

Et partant du principe que si je lis ce livre pour apprendre des choses sur la cryptographie, c'est que j'en sais moins que l'auteur, et que je suis donc particulièrement vulnérable à d'autres énormes approximations, cette fois quasiment indétectable pour moi car ne relevant pas de ma spécialité.

Donc, peut être que c'est vrai et qu'il est très bon, mais pour le coup, je ne lui accorde pas ma confiance.

C'est vrai, mais d'après ce que j'ai pu lire que je connaissais déjà, le livre est très clair et est exact.
Le domaine a beau être plus complexe, l'auteur y est probablement bien plus à l'aise.

Je m'attendais à ce que ce livre date des balbutiements de l'Internet, avant l'existence des mécanismes d'authentification standard, pour justifier ctlp. Mais en fait, il est paru le 12/06/2012, ce qui élève ce pebkac à la puissance 42 finalement. Du coup il passe dans mes favoris. Écrire ça, de nos jours, ils ont pas honte...