En 10 minutes, j'ai trouvé des failles évidentes chez fuzz, tapemoi et blogmarks. J'aurais bien regardé scoopeo, mais il m'affiche un joli Application error (Rails) laconique. Bref, les 3 sites ont été contactés, on va voir combien de temps ils vont mettre pour réagir. En attendant, je prépare un mini article sur la sécurité dans les applications web, parceque c'est vraiment désolant de voir des failles aussi simples que ca trainer sur ces sites ou ailleurs.
Edit:
- Ce qui est important dans ce genre de choses, c'est la réactivité, blogmarks gagne un point sur le coup, c'est déjà corrigé chez eux.
- tapemoi semble avoir corrigé, aussi
- J'ai eu une réponse de fuzz, mais 36 heures après la faille est toujours présente, elle est pourtant simple à corriger...
Commentaires
Waow, être cité à côté de Fuzz, quel honneur, merci.
Je considère la faille que tu as reporté comme assez mineure. Je viens de la corriger.
Pour le choix des sites, c'est du hasard hein, je voulais blogmarker un truc quand j'ai trouvé les failles sur fuzz et tapemoi, et donc je me suis dit que j'allais quand meme tester blogmarks aussi
Sinon la faille n'etait pas si mineure que ca, justement: comme tous les XSS, elle apparait comme inoffensive, mais comme la plupart des XSS, elle permet de voler une session / le compte, effectuer diverses actions à la place de l'utilisateur... Bref, moi je prends ca très au sérieux. Les différents exploits suites aux failles XSS chez myspace montrent qu'on peut faire des trucs vraiment tordus...
Bravo pour la correction rapide en tout cas, je n'ai toujours pas eu de réponse de tapemoi, et j'ai un mail de fuzz mais pas de correction pour le moment.
Juste pour poster un ptit lien (en complément de cet article) vers Wikipedia qui décrit relativement bien les causes et conséquences d'une erreur de programmation pas si mineure que ça.
fr.wikipedia.org/wiki/XSS...
J'étais un peu fatigué en postant ce billet, je pensais justement avoir lié Wikipedia
Ah lala...
Et moi qui essaye de convaincre mes étudiants qu'il faut faire attention à la sécurité. S'ils lisent que les blogs majeur sont des gruyères alors je n'aurais plus beaucoup d'arguments...
PS: coucou a vous deux.