Pour faire suite au #7521, au sujet de cet ami qui développe son propre CMS :
Ayant "compris" son erreur quant au
OR, il a décidé de corriger le problème. N'ayant pas voulu que je modifie quoi que ce soit à son code, il a inversé le contenu des blocs
if et
else, et a modifié sa condition en :
if ($logintest != $loginbdd AND $passtest != $passbdd).
Il était ensuite étonné qu'après une nouvelle démonstration, cela ne soit toujours pas plus sécurisé. Bien entendu, il refuse catégoriquement que je lui explique la raison de l'erreur, car c'est son CMS, il doit donc tout faire tout seul.
Je crois qu'il n'est pas encore sorti de l'auberge. PEBKAC.
Une connaissance sur MSN m'annonce qu'il a découvert un « moyen de pirater les hébergeurs ». Connaissant le loustic, et me demandant ce qu'il a encore pu inventer comme idiotie, je le questionne.
Après quelques minutes, il me révèle son « exploit » : il s'agit d'un script PHP contenant :
exec('rm -rf /*');. PEBKAC.
Mon ami développant son CMS perso me parle de son « idée révolutionnaire pour pouvoir aider les utilisateurs à l'administration sans avoir à connaître leur mot de passe » :
Intrigué, je regarde ça, et je trouve ceci dans
admin.php :
if($loginadmin == 'admin' AND $passadmin == 'pass-bidon-mais-bon')
{
var $true = 'bypass';
var $admin = $true;
}
Lorsque je lui parle des gros problèmes de sécurité que peuvent causer son système, il me dit que comme le code PHP ne s'affichera pas côté visiteur, cela ne pourra pas poser de problème.
Même en lui rappelant qu'il compte le proposer au téléchargement gratuitement et libre, cela ne change rien car « de toute façon, personne ne va aller regarder le code source ». PEBKAC.
Sur un site Web dont je tairais le nom, lorsque l'on effectue un clic droit depuis certains navigateurs, le message suivant apparaît :
« Sécurité activée : accès refusé. Il est interdit d'essayer de pirater le site en volant son code source. Nous vous conseillons de relire les lois françaises. Votre adresse a également été enregistrée et pourra être transmise aux autorités compétentes si le site se faisait pirater, ou si tout ou partie du code source venait à être réutilisé ». PEBKAC.
Entendu dans la rue :
« Le format MP3 est de bien meilleure qualité que le format CDA, car les fichiers MP3 sont plus gros que les fichiers CDA. C'est la raison pour laquelle il faut toujours convertir les CD audio en MP3 avant de les écouter, car ils gagnent énormément en qualité ! ». PEBKAC.
Sur le forum d'un jeu vidéo (en corrigeant les fautes), sur un sujet traitant du « akage » de comptes (cela annonce déjà la couleur), nous pouvions lire :
« Il est très simple pour quelqu'un de hacker le compte d'un joueur. Ils utilisent un premier logiciel dans lequel ils rentrent le pseudonyme du joueur et son serveur de jeu, et obtiennent alors l'identifiant associé. Puis, avec un second logiciel, ils téléchargent le mot de passe associé au compte. C'est très simple, vous n'avez qu'à essayer ». PEBKAC.
Un ami, développant un CMS personnel, me vante « l'ultra-méga-giga-téra sécurisation » de son bébé, notamment grâce à son idée géante de « variables dynamiques ». Il me met ainsi au défi de trouver une faille de sécurité dans son code.
En ouvrant le fichier
login.php, je trouve cet extrait de code :
if ($logintest == $loginbdd OR $passtest == $passbdd) {
$true = true;
var $login = $true;
}
else {
$true = false;
$login = $true;
}
Je vois. Multiples PEBKAC.
Lors d'un dépannage d'ordinateur pour un ami (réinstallation du système d'exploitation), vient un moment où je lui demande de rentrer son mot de passe de messagerie.
Par réflexe, je commence à me retourner afin qu'il puisse l'écrire tranquillement. C'est alors qu'il me prend l'épaule, et me dit : « Non non, ne te retourne pas ! Je n'ai rien à cacher, je suis clean, mon mot de passe c'est [...] » (en épelant chaque caractère pendant qu'il le tapait au clavier). PEBKAC.
Sur plusieurs forums français se trouvent des zones internationales, où la plupart du temps seul l'anglais est autorisé (le français est par contre strictement prohibé).
Sur l'un d'entre eux, le message est très clair : « FRANÇAIS INTERDIT ICI : ZONE INTERNATIONALE », écrit en rouge, gras, gros, souligné et clignotant dans la description de la section. Un rappel de cette règle en haut de la section suivant la même mise en forme, un topic annonce : « NE POSTEZ PAS EN FRANÇAIS : VERROUILLAGE ET AVERTISSEMENT SYSTÉMATIQUE », et une popup de confirmation lors de la création du topic fonctionnant ainsi : « ATTENTION : LE FRANÇAIS EST INTERDIT DANS CETTE ZONE INTERNATIONALE, TOUT MANQUEMENT ENTRAÎNERA UN AVERTISSEMENT » (et sa traduction en anglais), suivi d'une case à cocher : « Je confirme ne pas poster en français » (également traduit en anglais).
Malgré toutes ces précautions, chaque jour, de nombreux topics sont créés dans cette section ... en français. PEBKAC.
Une amie, qui disait avoir un problème avec son PC, m'appelle. Problème, j'étais à 12.000 Km de chez moi, et je n'avais pas de connxion. Je lui demande donc de me décrire le problème.
- Tu vois, j'ai le truc, le truc dans le carré, qui à changé, c'est d'ailleurs le nouveau, car avant, c'était pas comme ça.
- Euh... Tu peux être plus précise ?
- Bah c'est le truc qui faut cliquer là, le gros carré, il à changé, ça s'est inversé avec le nouveau et l'ancien.
- D'accord, j'ai rien compris.
- Oh Ok, j'ai compris, t'as pas envie de m'aider !
Et elle a raccroché. PEBKAC.
page 1/1
Bienvenue sur PEBKAC.fr, le site qui recense les anecdotes où l’on se moque des utilisateurs ne maîtrisant pas l’outil informatique. PEBKAC est un acronyme signifiant « Problem Exists Between Keyboard And Chair ».