Les petites boulettes du web - Page 15

Ha oui la c'est une autre histoire, ce sont des capas qui changent de claiver M2

#loin#

Ce sont des incapas, surtout !

https://www.theguardian.com/australia-news/2016/aug/10/computer-says-no-australian-census-shambles-explanation-depends-on-who-you-ask

Analysis from trusted source of trusted source. Someone's getting fired. I'm a fucking journo and I'm not this dumb: pic.twitter.com/gyQajFDQcQ

— Patrick Gray (@riskybusiness) August 10, 2016

Lol

Apparemment la grosse boulette n'a pas suffi, ils continuent sur Twitter :
http://www.theregister.co.uk/2016/08/03/oz_stats_bureau_deploys_a_bot_to_harvest_twitter_ids/

#tricon#

https://dev.to/phishing
Dangereux, ça !

C'est pas connu et protégé depuis des lustres, ce type de vulnérabilité ?

Apparemment non, j'ai testé et ça marche avec la version courante de Firefox.

Ah oui, tiens...

Idem firefox android.

testé comment parce que la page la ne fait rien..

Clique sur le lien du post ./429 : si ça marche, en plus d'ouvrir le lien dans un nouvel onglet, ça charge aussi le lien dans la page d'origine.
(ici ça marche avec un clic gauche, mais pas avec un clic molette)

Ha ben ca marche pas si on force l'ouverture dans une autre fenetre/onglet (comme j'ouvre systematiquement comme ca.. )

Corrigé, merci pour le lien

Pour ceux qui arrivent en retard comme moi, ils ont fait un petit article accessible ici où ils expliquent avoir créé un compte Instagram comportant la vulnérabilité en guise d'exemple.
C'est une faille impressionnante de simplicité. Il suffit de quelques liens créés dans le profil de gros sites vulnérables et on peut aisément faire un phishing à base de "Veuillez vous reconnecter" ou "Vos informations bancaires ont expiré, veuillez les remplir de nouveau". Je crois que je pourrais tomber dans le panneau.

Zeph -> c'était dur à corriger ?
Comment ça se fait que ce ne soit pas plus connu et plus sécurisé que ça, de la part des développeurs ? Personne ne s'était rendu compte de rien auparavant ?

Folco (./437) :
Zeph -> c'était dur à corriger ?

Non, il suffit d'indiquer au navigateur qu'on ne veut pas de ce comportement dans la balise qui va bien (c'est indiqué sur la page du gars) ; Zeph a juste ajouté le tag rel="nofollow noopener noreferrer" (j'imagine que nofollow était déjà là avant ?).

Ce qui est dommage est que ce ne soit pas le comportement par défaut. Mais je ne sais pas si c'est Fx qui est en cause, ou les specs du W3C.

Yup, sur le principe ça paraissait simple, mais l'implanter peut être une autre histoire.

Ce n'est pas si simple, il s'agit d'un comportement attendu de javascript pour communiquer d'une fenêtre à l'autre "à l'époque où" on ouvrait des popups comme UI complémentaire plutôt que des modales comme aujourd'hui.
L'accès à la page appelante : yN utilise un système similaire pour insérer des smileys depuis un popup vers la page d'origine
Le changement d'URL : un vieux truc JS très utilisé
Les deux ensembles : Chocapic !

On ne peut pas interdire par ce biais à une nouvelle fenêtre de changer/charger celle d'origine, certains sites attendent un comportement de ce genre. Mais on peut activement l'empêcher par ces tags pour 1) empêcher tout changement de page depuis l'extérieur, ou 2) limiter les changements de pages que depuis des pages qui partagent la même adresse racine.
Par ailleurs on considère target="_blank" comme une mauvaise pratique de nos jours.

Meowcate (./440) :
On ne peut pas interdire par ce biais à une nouvelle fenêtre de changer/charger celle d'origine, certains sites attendent un comportement de ce genre. Mais on peut activement l'empêcher par ces tags pour 1) empêcher tout changement de page depuis l'extérieur, ou 2) limiter les changements de pages que depuis des pages qui partagent la même adresse racine.

L'interdire en cross domain me semble un minimum en fait (ou avoir un avertissement du navigateur)

Meowcate (./440) :
Par ailleurs on considère target="_blank" comme une mauvaise pratique de nos jours.

Oui, on a parlé du tag target je ne sais plus où (ici, peut-être ?)

Un avertissement en cas de cross domain ne serait pas du luxe, je veux bien l'admettre.

Folco (./439) :
Yup, sur le principe ça paraissait simple, mais l'implanter peut être une autre histoire.

faut retrouver toutes les pages avec target="_blank", je pense qu'il n'y en a pas beaucoup sur yN ^^

(mais c'est une nouvelle démonstration que faire un site web pourri est simplissime, mais faire un site web moderne et propre est très compliqué maintenant)

Zeph (./435) :
Corrigé, merci pour le lien

Tsss, c'est malin — je testais depuis cinq minutes en me demandant ce que c'était censé faire

flanker (./443) :
(mais c'est une nouvelle démonstration que faire un site web pourri est simplissime, mais faire un site web moderne et propre est très compliqué maintenant)

Je ne suis pas d'accord. Pour exemple, on a conçu des outils et frameworks pour sécuriser des choses basiques mais essentielles comme les injections SQL ou failles XSS, qui nécessitait un travail supplémentaire de protection avant qu'on s'en charge par soi-même.
Le HTML5, tout en ajoutant de nouvelles possibilités, a aussi fait le ménage et simplifié les squelettes HTML.
En évoluant, le CSS3 a fusionné plusieurs concepts tout en pouvant se passer des préfixes avec l'évolution des navigateurs.

Je pense qu'en fait de "compliqué", le côté pénible du dev web est qu'il faut se tenir à jour et de temps en temps réapprendre les bases qui ont été simplifiées, mais qui perturbent nos vieilles habitudes.

Meowcate (./445) :
Je pense qu'en fait de "compliqué", le côté pénible du dev web est qu'il faut se tenir à jour et de temps en temps réapprendre les bases qui ont été simplifiées, mais qui perturbent nos vieilles habitudes.

C'est pareil pour tous les languages... Sauf Java, il n'y a pas de simplifications

Meowcate (./445) :

flanker (./443) :
(mais c'est une nouvelle démonstration que faire un site web pourri est simplissime, mais faire un site web moderne et propre est très compliqué maintenant)

Je ne suis pas d'accord. Pour exemple, on a conçu des outils et frameworks pour sécuriser des choses basiques mais essentielles comme les injections SQL ou failles XSS, qui nécessitait un travail supplémentaire de protection avant qu'on s'en charge par soi-même.
Le HTML5, tout en ajoutant de nouvelles possibilités, a aussi fait le ménage et simplifié les squelettes HTML.
En évoluant, le CSS3 a fusionné plusieurs concepts tout en pouvant se passer des préfixes avec l'évolution des navigateurs.
Je pense qu'en fait de "compliqué", le côté pénible du dev web est qu'il faut se tenir à jour et de temps en temps réapprendre les bases qui ont été simplifiées, mais qui perturbent nos vieilles habitudes.

Sauf qu'il faut avoir des CSS valables pour toutes les tailles d'écran. Puis tu te rends compte que pour être propre, il faut avoir des favicon adaptées pour chaque mobile (suffit de voir http://realfavicongenerator.net/ ).
Ah ? tu as plusieurs CSS ? bah il faut les fusionner. Idem pour le JS, d'ailleurs. Ça veut tout de suite dire utiliser npm et un des 150 outils disponibles.
Et comme tu utilises plusieurs icônes, il faut les fusionner en une seule et faire le tiling en CSS. Bien sûr, tu géreras le cache de façon correcte avec les 15 niveaux de cache possibles (navigateur, proxy, serveur, ...).

Moi je les virerais bien, tous ces liens avec target="_blank", parce que je trouve ça crado que yN décide à la place de l'utilisateur s'il faut ouvrir dans un nouvel onglet ou pas. Mais la dernière fois qu'on en a parlé ça a encore déclenché une levée de boucliers

Le seul que je trouve justifié, c'est les mini messages.

Oui parce que cette fonctionnalité requiert toujours une popup, mais j'aimerais bien la remplacer par une fenêtre interne un peu comme celle du mémo, quitte à pouvoir également l'ouvrir en pleine page si on ne veut afficher que les messages.