News WEB

Ecrire un commentaire
C'est aujourd'hui que DropBox, un service en ligne qui permet de stocker des fichiers à distance ouvre ses portes officiellement. Le service n'est effectivement plus réservé à certains utilisateurs triés sur le volet, mais se destine à Monsieur tout le monde, bien qu'encore en phase de beta test.

Associé à une application pour Mac OS X, Windows et Linux disponible depuis le site Getdropbox.com, ce service permet de profiter d'un espace de stockage accessible directement depuis son système d'exploitation. Pour cela, il suffit de télécharger l'application et de créer un compte gratuitement à l'aide de cette dernière. Un dossier (Dropbox) est ensuite créé sur votre ordinateur, ce dernier se synchronisera automatiquement avec l'espace de stockage distant. Bien entendu, vous avez aussi la possibilité d'effectuer des transferts de fichiers manuellement. En l'absence de son ordinateur, l'utilisateur pourra tout de même retrouver ses fichiers stockés en se connectant sur le site de Dropbox avec son login et son mot de passe.

A noter que Dropbox propose aussi des fonctions de partage de fichiers. Pour cela, un système d'invitation est mis en place. Il est également possible de partager des fichiers avec tout le monde en les plaçant dans le répertoire "Public" de Dropbox. En version de base gratuite, DropBox se limite toutefois à "seulement" 2 Go d'espace disque. L'offre payante se limite à 50 Go pour 9,99 dollars US par mois ou 99,99 dollars US par an.
Ecrire un commentaire
le 12/09/2008 à 23:22
XSS, un nouvel art
Gareth Heyes détaille son cheminement pour construire une attaque XSS qui passe les défenses de PHP-IDS. PHP-IDS est une bibliothèque de détection, qui surveille les entrées à l'aide de regex et d'une centrifugeuse : cet élément abscons compare des valeurs valides et des valeurs dangereuses avec l'entrée courante pour évaluer la dangerosité d'une valeur qui passerait les regex initiales.

Pour passer ces deux rideaux défensifs, il a fallu à Gareth éviter les +, concat et eval. Le vecteur final passe par un espace de noms, qui semble être bien mal protégé.

Lisez le tout, c'est édifiant, pour apprendre à construire une attaque. Qui peut résister à cela ?

- XSS IS ART
- PHP-IDS home
Ecrire un commentaire
TNC, l'éditeur coréen du service de blog TextCube vient d'annoncer son rachat par Google. Comme le logiciel Wordpress d'Automattic, TextCube est une plateforme en PHP à installer sur le serveur qui embarque aussi des fonctions de réseau communautaire.

En 2003, Google avait racheté le service de Blogger fondé par Pyra Labs en janvier 1999. Par ailleurs, la firme californienne possède déjà le réseau social Orkut officiellement lancé en octobre 2006 et particulièrement populaire en Amérique du Sud, ainsi que le service de micro-blogging Jaiku. Sur son blog, Chang Kim, co-fondateur de la compagnie, explique que le rachat de TNC est " une acquisition majeure de Google sur le territoire asiatique".Selon Chang Kim, le marché web coréen est principalement dominé par les gros portails tels que Yahoo! et cette acquisition permettrait donc à Google de développer ses activités dans le pays. Selon Kim, "l'industrie web de la Corée a besoin d'un acteur majeur qui puisse fournir plus d'options pour les utilisateurs et rendre le web plus ouvert. "

Aucune information n'a été révelée concernant le montant de cette transaction. A l'heure où nous écrivons ces lignes, le géant de Mountain View n'a publié aucune information officielle. Cependant, il serait légitime de s'interroger sur les motivations réelles de Google. Cette acquisition serait-elle strictement liée à ses activités en Corée ou Google envisage-t-il de proposer une alternative au logiciel open source d'Automattic ?
Ecrire un commentaire
le 12/09/2008 à 23:20
Alerte Scam: Barack Obama Sex Video
Depuis quelques jours des hackers profitent de l'engouement général autour des élections présidentielles américaines pour envoyer un email potentiellement nocif. Ce message est titré "Obama sex video!!!" et affiche infonews@obama.com sur la ligne d'expéditeur. Dans ce message figure un lien vers une soi-disante vidéo pornographique du candidat à la présidentielle Barack Obama avec de jeunes filles ukrainiennes. Les électeurs démocrates sont alors invités à reconsidérer leurs opinions. Lorsque l'utilisateur clique sur cet URL, le lecteur Windows Media Player démarre une vidéo en streaming et, pendant le visionnage, un cheval de Troie baptisé Mal/Hupig-D s'installe sur la machine afin de lire et de récupérer certaines données personnelles telles que les informations bancaires ou les mots de passe..

Graham Cluley, consultant technologique chez Sophos, invite les victimes dont la machine a été contaminée à se rendre sur cette page pour procéder à la suppression de ce malware.
Ecrire un commentaire
Les annonces InVideo de YouTube envahissent la France ! Déjà en place sur les versions américaines et anglaises du service de partage de vidéo, ce procédé superpose un bandeau publicitaire sur la vidéo pendant 15 secondes. Un clic sur celui-ci peut mener directement à une adresse Internet ou bien une vidéo ou annonce en Flash peut s'afficher en incrustation. La visualisation de la vidéo en cours s'interrompt automatiquement le cas échéant, et peut reprendre au même endroit après l'interruption publicitaire.

Toutefois, pour qu'un tel bandeau apparaisse sur la vidéo d'un contributeur, il faut qu'il l'ai expressément autorisé. Pour pouvoir en tirer des revenus, il doit avoir postulé et avoir été sélectionné au Programme partenaire. Celui-ci regroupe des créateurs de vidéos indépendants et des sociétés de médias qui répondent à certains critères (originalité, détention des droits et audience importante) et qui touchent une part des recettes publicitaires du service de Google. Les contributeurs ne peuvent pas choisir les publicités qui s'affichent sur leurs vidéos mais pas d'inquiétude, les annonceurs eux prendront soin de cibler précisément leur audimat : ils ont la possibilité de sélectionner vidéo par vidéo où leurs bannières apparaitront.

Le magazine en ligne 01net rapporte que les publicités de Toyota par exemple ne figurent que sur les vidéos des chaines automobile de la BBC et de Motors TV. Une nouvelle occasion pour Google de mettre en oeuvre ses technologies de ciblage, et une nouvelle source de revenus !
Ecrire un commentaire
La société Panda Security a récemment découvert un outil, commercialisé par des cyber criminels, qui permet de créer de fausses pages YouTube dans l'optique de piéger les internautes. Bien que YTFakeCreator, qu'on trouve sur des forums de pirates, ne soit pas capable de répandre automatiquement les pages qu'il crée, il permet de générer très facilement une page invitant ses victimes à installer un composant permettant de lire la vidéo. Au lieu d'un composant légitime, c'est bien entendu un virus ou un logiciel espion qui s'installe sur l'ordinateur de l'internaute imprudent.

"Il y a une surenchère dans le domaine des chevaux de Troie personnalisés, ils sont commercialisés accompagnés de garanties et d'un support technique," a déclaré Ryan Sherstobitoff, expert en sécurité chez Panda Security, " pirates vendent des attaques de déni de service, des réseaux de machines zombies, à l'image des vendeurs d'armes, sauf qu'il s'agit ici de crime électronique."
Ecrire un commentaire
Après avoir signé un partenariat publicitaire avec Google, Yahoo ouvre ses pages et ses services aux prestataires tiers de l'internet et du logiciel. Des contenus émanant du kiosque iTunes d'Apple et du marchand Amazon.com pourront être proposés via Yahoo Music, des applications tierces être fournies sur Yahoo Mail. Par ailleurs, la page d'accueil du portail va être repensée afin de faciliter l'accès des internautes à ces contenus, a déclaré la firme dirigée par Jerry Yang, lors d'un point presse organisé jeudi sur ses terres, en Californie.

Ce vendredi 12 septembre 2008, Yahoo organise un "Open Hack". A cette occasion, les développeurs présents pourront débattre d'applications tierces adaptées au webmail du portail, un client de messagerie qui attire 275 millions d'utilisateurs par mois. Il s'agit notamment de permettre aux utilisateurs de transmettre directement albums photo, invitations, etc.

Quant aux services d'information, comme Yahoo Finance et Yahoo News, ils pratiquent d'ores et déjà l'agrégation de contenus, et vont encore davantage "s'ouvrir". "Nous ne pratiquons pas l'ouverture parce que c'est le truc du moment", a déclaré Scott Moore, responsable du groupe média de Yahoo. Avant d'ajouter : "cette approche ouverte est vraiment dans notre ADN".

Yahoo n'est pas le premier à tenter l'aventure. Cette semaine, AOL (Time Warner) a mis en ligne une nouvelle page d'accueil qui permet aux utilisateurs d'accéder rapidement à une gamme élargie de services tiers, dont Gmail, le webmail de Google.
Ecrire un commentaire
Daniel Dove, 26 ans, risquait jusqu'à dix ans de prison pour avoir administré le site EliteTorrents.org, fermé en 2005 suite à une action conjointe du FBI et de la MPAA, l'association qui défend les intérêts des studios américains. Il a finalement été condamné, le 9 septembre dernier, à 18 mois de prison ferme ainsi qu'à 20.000 dollars d'amende. Bien connue des amateurs de P2P, l'équipe d'EliteTorrents s'était notamment illustré en diffusant la première copie illégale du long métrage Starwars 3, la revanche des Siths.

Une lourde sentence ? Forte de l'enquête réalisée par le FBI, l'accusation a fait valoir, au cours du procès de Daniel Dove, que les administrateurs d'EliteTorrents avaient procédé au recrutement d'internautes disposant de connexions à très haut débit de façon à favoriser la diffusion (le seed) des nouveaux contenus lancés sur le réseau BitTorrent. A plusieurs reprises, les films et albums en question auraient été diffusés avant même leur sortie dans les réseaux de distribution classiques. Dove gérait par ailleurs un serveur privé, grâce auquel il fournissait les fichiers à son équipe d'uploaders.

EliteTorrents aurait permis à ses 125.000 membres de totaliser plus de 1,1 million de téléchargements sur quelque 700 films. Le site aurait également favorisé la diffusion illégale, via les réseaux d'échange P2P, de logiciels, de jeux vidéo et de musique. Les deux autres administrateurs du site, Scott McCausland et Grant Stanley, ont choisi de jouer profil bas et de reconnaitre les torts qui leur étaient imputés. Stanley a finalement écopé de cinq mois de prison et de 3.000 dollars d'amende. McCausland a également été condamné à cinq mois de prison, assortis d'une période de probation pendant laquelle il a dû abandonner sa distribution Linux au profit de Windows, de façon à ce que la justice puisse installer sur sa machine un logiciel de contrôle.
Ecrire un commentaire
le 11/09/2008 à 23:44
XSS à coup de slash
Christian stocker vient de corriger une attaque XSS étrange : elle se base sur l'interprétation que font les navigateurs du caractère slash : /. En l'occurrence, il peut être remplacé par un espace quand le navigateur ne sait pas trop quoi en faire.

A court terme, la solution est bien de compléter les filtres HTML, mais à plus long terme, comment se prémunir contre ces interprétations bizarres et non-documentées ? Selon Christian, passer par la regénération XML du code est une bonne protection : au lieu d'utiliser les données brutes, elles sont produites par DomDocument (ou par n'importe quel outil de production XML), afin de s'assurer que le code HTML final est valide.

Et valide au sens des standards que tout le monde comprend, et pas ceux que les navigateurs comprennent !

- MISSED CASE IN EXTERNALINPUT.PHP RESULTING IN VIABLE XSS ATTACKS - FIX AVAILABLE
- #2008-012 Horde, Popoon frameworks common input sanitization errors (XSS)
Ecrire un commentaire
le 11/09/2008 à 23:42
Alerte Scam : Barack Obama Sex Video
Depuis quelques jours des hackers profitent de l'engouement général autour des élections présidentielles américaines pour envoyer un email potentiellement nocif. Ce message est titré "Obama sex video!!!" et affiche infonews@obama.com sur la ligne d'expéditeur. Dans ce message figure un lien vers une soi-disante vidéo pornographique du candidat à la présidentielle Barack Obama avec de jeunes filles ukrainiennes. Les électeurs démocrates sont alors invités à reconsidérer leurs opinions. Lorsque l'utilisateur clique sur cet URL, le lecteur Windows Media Player démarre une vidéo en streaming et, pendant le visionnage, un cheval de Troie baptisé Mal/Hupig-D s'installe sur la machine afin de lire et de récupérer certaines données personnelles telles que les informations bancaires ou les mots de passe..

Graham Cluley, consultant technologique chez Sophos, invite les victimes dont la machine a été contaminée à se rendre sur cette page pour procéder à la suppression de ce malware.
LoadingChargement en cours