dimanche 12 juillet 2009

Linfo.re, les commentaires et la guillotine.

Mais quelle mouche a piqué le site d'information linfo.re ?

En regardant les résultats de la 15ème journée de D1P (football - championnat de division 1 promotionnelle - île de la Réunion), je remarque un peu par hasard que les champs "nom" et "email" du formulaire d'envoi de commentaires sont pré-remplis.

Il m'est arrivé de commenter 1 ou 2 articles sur ce site, donc rien d'étonnant, sûrement des informations stockées dans un cookie.

Oui .... mais non ... car en y regardant de plus près, je me rends compte que les valeurs indiquées sont "guillotine" pour le nom et "argent__at__runnet.com" pour l'adresse email. Je n'ai jamais utilisé de tels identifiants !!


Mon ordinateur personnel est protégé par mot de passe, verrouille ma session automatiquement après quelques dizaines de secondes d'inactivité et les deux seules personnes qui auraient pu avoir accès à mon ordinateur sont dignes de confiance (et ne l'utilisent jamais). De plus, je suis sous GNU/Linux, j'ai un mot de passe que je considère comme d'un (très) bon niveau de sécurité pour accéder à ma session et j'ai quand même vérifié par excès de paranoïa les derniers accès à ma machine sans déceler quelque chose de suspect.
Enfin, aucun cookie sur ma machine avec ces informations, ni dans les données stockées par mon navigateur (Firefox). OK, là je me suis enlevé tous les doutes, non, personne n'a envoyé un commentaire avec mon ordinateur.

Je retourne sur linfo.re, les valeurs apparaissent toujours. Donc si ce n'est pas des informations stockées localement, ce sont des informations envoyées par le serveur de linfo.re. Vérifications faites, voici ce que l'on retrouve dans le code source de la page retournée par le serveur :

OK, donc ce sont bien les valeurs par défaut des champs de formulaire qui sont affichées.

Mais ils ont fumé quoi chez linfo.re ?

Plusieurs théories :
  1. Le serveur délire complètement sur les sessions (je ne sais même pas si c'est possible)
  2. C'est involontaire (un copié-collé de code de formulaire malencontreux ?)
  3. C'est volontaire, dans ce cas le pourquoi du comment m'échappe complètement.
Je penche fortement pour pour la théorie numéro 1, car en cherchant un peu dans les commentaires des derniers articles, il y a en effet une personne (ou plusieurs !? à la vue du problème ...) qui est intervenue plusieurs fois avec le nom "guillotine".

Mais impossible de l'affirmer avec certitude.

Dans tous les cas ça ne fait pas sérieux, au niveau sécurité, ça craint ... je déconseille fortement d'utiliser une véritable adresse email sur linfo.re


EDIT : Confirmé, les valeurs par défaut changent au gré des derniers commentaires postés par les utilisateurs , même si ça me semble assez aléatoire (par moment j'ai bien des champs de formulaire vides) ! Quelle horreur !
L'erreur est humaine, mais j'espère qu'elle sera très vite corrigée, j'envoie de suite un mail à la rédaction.
Publié par Mickael H. à 22:05
Libellés : , ,
Inscription à : Publier les commentaires (Atom)