Accueil

Des failles à combler dans OpenSSL et ImageMagick

4 mai 2016 Sécurité

Une flopée de failles de sécurité, dont certaines sont catégorisées comme « très sévères », ont été publiées hier concernant OpenSSL. Pensez à mettre à jour rapidement. Vous retrouverez ici la liste et les explications. Résumé rapide :

  • La première est causée par deux bugs, et a été introduite par un correctif qui était censé corriger une autre faille. Elle offre une porte d’entrée à la mémoire de la machine hébergeant OpenSSL selon certaines conditions spécifiques ;
  • La deuxième a également été introduite par un autre correctif, et permet une attaque de type padding oracle couplée avec une attaque MITM. Au final, l’attaquant peut déchiffrer le trafic ;
  • Les trois autres sont considérées comme sévérité « basse », je vous laisse lire le document.

Et c’est pas tout. ImageMagick a également été touché par plusieurs failles critiques dont l’ensemble a été joliment nommé ImageTragick. Des failles assez sévère pour créer un site dédié, car une d’entre elles permet une exécution de code à distance. Pour rappel, ImageMagick est utilisé pour manipuler des images par PHP, Ruby, NodeJS, etc… (à condition que l’extension adéquate soit installée).

To blog or not to blog

29 avril 2016 Blog, Divers

Vous ne l’avez peut-être pas remarqué, mais ce blog a repris vie il y a peu après une pause de hum… deux années.

Pourquoi si longtemps ? Bonne question. J’écris cet article afin de vous raconter mon vécu, et dans la foulée vous donner des tuyaux pour ne pas reproduire les mêmes erreurs. Ne pas écrire, ne pas partager alors qu’on a l’envie, pour moi, c’est une erreur même pour ceux qui n’ont pas de blog.

Attention : cet article est issu de ma propre expérience, ‘le prenez pas pour argent comptant  😉 J’aurais également pu le nommer « 4 erreurs à ne pas faire en tant que bloggeur », mais de un : je ne me considère pas comme un bloggeur, et de deux : ça fait racoleur et je-sais-tout.

To blog or not to blog ?

Visualisez vos évènements DOM avec Visual Event

15 avril 2016 Javascript, Navigateurs web

Je suis certain que, lors de vos développements d’interface web et de charte graphique, vous aviez voulu à un moment ou à un autre rapidement lister l’ensemble des évènements Javascript définis sur votre page, pour déboguer ou même pour optimiser ces derniers.

Mieux : vous aimeriez les afficher visuellement sur les éléments du DOM, afin de réellement voir où et pour quels types d’évènements ils sont définis. Et pourquoi pas voir également le code des callbacks associés (soyons fous).

Ne cherchez plus : j’ai trouvé, testé et approuvé pour vous un outil qui fait exactement ça. Il s’appelle Visual Event, il est open-source et se présente sous la forme d’un bookmarklet (et donc, sans installation d’extension navigateur). Ce n’est également pas n’importe qui qui l’a conçu : il s’agit du créateur de DataTables.

Pour l’installer, glissez et déposez le lien affiché sur la page officielle (vers le bas dans la section Install) dans votre barre de marque-pages. Puis allez sur un site, et cliquez simplement sur le marque-page fraîchement créé. Cela injectera un fichier Javascript dans la page courante et affichera un truc de ce style (cela peut prendre du temps s’il y a beaucoup d’éléments à traiter) :

Screenshot de Visuel Event

Ça claque non ? Ci-dessus un exemple sur DuckDuckGo où est affiché le détail des évènements de l’icône du menu principal en haut à droite : 4 évènements y sont attachés.

A noter que cela ne fonctionne pas pour les sites protégés par la Content Security Policy.