Discussion :

[ZenZiTone]

Ce n'est pas du tout ce que j'ai écrit, et utiliser concept d'évenement n'apporte rien sinon à semer la confusion, mais c'est sans doute l'objectif de ton post ?

La notion d’événement est surtout utilisée pour "généraliser" l'idée, de façon à ne pas associer le mot "bug" à un domaine spécifique tel que la programmation. Donc non, l'idée n'était pas de semer la confusion, mais d'identifier la différence général entre vos deux définitions de "bug".

[Captain_JS]

Sur ce point, je rejoindrais psychadelic. Car même si cela déclenche une grosse faille de sécurité, la logique métier est respectée. En revanche, si, par exemple, on reçoit une chaine de caractère au lieu d'un entier, le traitement ne peut pas se faire. La logique métier étant "perturbée" le terme bug serait, à mon avis, plus approprié. Dans les deux cas un problème de conception peut être la cause, mais les impactes sont différents. A mon sens, un bu est donc une événement empêchant la logique métier de fonctionner correctement (indépendamment de la sécurité).

La logique métier ? du genre je me connecte pour avoir accès à MON espace privé mais en fait j'ai accès à TOUS les espaces privés ?

[ZenZiTone]

La logique métier ? du genre je me connecte pour avoir accès à MON espace privé mais en fait j'ai accès à TOUS les espaces privés ?

Euh plutôt quelque chose du genre : je reçois tel instruction avec tel paramètre, je lui renvois tel résultat. Ici, c'est une erreur de conception au sens ou le traitement n'inclue pas de vérification d'identité avant de renvoyer un résultat. Mais dans l'absolu, le programme fait bien ce qu'on lui demande.

[Paul TOTH]

Le cas du http://ssii.pro/profile.php?id=455 est un grand classique, dans un niveau de sécurité simple le programme se contente de vérifier que l’ID est bien de type numérique.

Augmenter la sécurité pour ce type de détournement peut signifier de gros changements dans l’écriture du programme, voir de son l’architecture logique et s’avérer couteux en temps de développements, etc…

le problème n'est pas au niveau du contrôle de type, il est dans la fait que la fiche 455 est accessible alors que je suis authentifié avec l'id 456. Il y a un "if (authentified)" et non "if (authentification_id == parm_id)", on devrait s'attendre à ce que l'URL renvoie un refus d'accès à la fiche.

par contre, l'URL 455 n'est jamais donnée nulle part dans l'application quand on est authentifié avec l'id 456, il faut une intervention "malicieuse" pour changer l'URL. Bien qu'il soit extrêmement simple, j'estime que ce détournement est du même ordre qu'une SQL injection. La paramètre passé n'est pas celui attendu.

Ceci dit je ne pense pas qu'on puisse faire l'économie de la sécurité, notamment sur une application web publique, et je place cela dans la catégorie bug, même si le cahier des charges ne précise pas le mécanisme de sécurisation à mettre en oeuvre.

[Uther]

L’histoire de l’insecte scotché par Grace Hooper sur le rapport d’incident de la marine Américaine est bien à l’origine du mot Bug.

C'est ce qui a popularisé le terme dans l'informatique, mais ils existait déjà avant.
D'ailleurs sa note dit bien : "First actual case of bug being found". Ça veut bien dire qu'avant cet incident, il y avait déjà des bugs, qui n'étaient pas de vrais insectes.

[psychadelic]

le problème n'est pas au niveau du contrôle de type, il est dans la fait que la fiche 455 est accessible alors que je suis authentifié avec l'id 456. Il y a un "if (authentified)" et non "if (authentification_id == parm_id)", on devrait s'attendre à ce que l'URL renvoie un refus d'accès à la fiche.

par contre, l'URL 455 n'est jamais donnée nulle part dans l'application quand on est authentifié avec l'id 456, il faut une intervention "malicieuse" pour changer l'URL. Bien qu'il soit extrêmement simple, j'estime que ce détournement est du même ordre qu'une SQL injection. La paramètre passé n'est pas celui attendu.

Ceci dit je ne pense pas qu'on puisse faire l'économie de la sécurité, notamment sur une application web publique, et je place cela dans la catégorie bug, même si le cahier des charges ne précise pas le mécanisme de sécurisation à mettre en oeuvre.

Oui, c’est plus précis, mais c’est ce que je pensais aussi.
La sécurité est préservée en partie contre une injection SQL, mais elle ne l’est pas pour préserver la confidentialité.

Pour palier à ce problème il faut en passer par un système d’authentification continu (jeton d'autentification par exemple).

S’il y a un bug quelque part, il est dans le cerveau du rédacteur du cahier des charges, mais pas dans le programme.

[psychadelic]

Envoyé par psychadelic =>
L’histoire de l’insecte scotché par Grace Hooper sur le rapport d’incident de la marine Américaine est bien à l’origine du mot Bug.

C'est ce qui a popularisé le terme dans l'informatique, mais ils existait déjà avant.
D'ailleurs sa note dit bien : "First actual case of bug being found". Ça veut bien dire qu'avant cet incident, il y avait déjà des bugs, qui n'étaient pas de vrais insectes.

Il y a des tas de mots éphémères qui sont inventés tous les jours. Sans Grace Hopper ce mot aurait sans doute disparu et échangé par un autre.

Il y a un vieux principe humain, l'invention est toujours attribuée à celui (ou celle) qui l’a fait connaitre (ou "breveté").


Quand à la phrase : "First actual case of bug being found", inscrite par Grace elle-même, c'est de l'humour !

ça sous entend peut être pour toi que le mot Bug était déjà utilisé, mais sans en démontrer le sens qu'elle lui donne.
d'ailleurs, comme je l'ai écrit précédemment, le terme bug fait initialement référence à l'argot Anglais ("avoir un insecte collé au cul quand on va chier dehorsl")
Et c'est d'ailleurs l'idée que s'en faisait Thomas Edison en 1878.

Bien sur, ce n'est pas dans Wikipédia

[Matthieu Vergne]

Bien sur, ce n'est pas dans Wikipédia

Dans ce cas rajoute-le avec source à l'appui. C'est pas pour rien que c'est un wiki. {^_^}

[psychadelic]

Dans ce cas rajoute-le avec source à l'appui. C'est pas pour rien que c'est un wiki. {^_^}

Moi, je veux bien, mais je ne connais pas d'organisme officiel traitant de l'argot Anglais

[Matthieu Vergne]

Pas besoin que ce soit officiel. Mets ce que tu as et si c'est pas suffisant les rédacteurs plus expérimentés mettront les tags nécessaires, voire complèteront. Si tu n'as pas de source, là par contre c'est un autre problème : d'où tu sors ce que tu avances ?

[psychadelic]

Sur l'argot Anglais ?
Et bien tout simplement de relations personnelles avec des "Anglo-Saxons" !

Mais je te rassure, je n'ai pas appris ça dans un Pub, quoique, en cherchant bien...

[zulu1]

Il ne faut pas faire de la méchanceté. N'oubliez pas que Barnabe est mort. Et il n'avait que 30 ans.

[psychadelic]

Il ne faut pas faire de la méchanceté. N'oubliez pas que Barnabe est mort. Et il n'avait que 30 ans.

-1

Mais de qui parles tu ??

Au moins, sur ce point je suis d'accord avec Matthieu Vergne, si ne tu donne aucune référence, ça reste incompréhensible (et voire une preuve de sénilité pour certains).

[Matthieu Vergne]

Perso, je pencherai pour du troll vu le nombre de messages (18) et la note associée (-5).

[zulu1]

Barnabe était celui qui a démontrer que les pacemakers pouvaient être arrété par wifi.

[psychadelic]

Barnabe était celui qui a démontrer que les pacemakers pouvaient être arrété par wifi.

Il s'appelait Barnaby Jack (pas Barnabe) et il est mort à l'age de 35ans (et non pas 30ans).

"Naturellement", il y a eu des rumeurs autour de sa mort (overdose, via mélange d'héroïne, cocaïne et de médicaments obtenus sur ordonnance), et les lobbyismes pharmaceutiques[? - quel rapport avec les pace makers ???] ont été pointées du doigt...

Au final, les journalistes ou la communauté de Hackers, ce sont finalement peu agités.
L'homme était déjà connu en tant que toxicomane, et nombreux lui avaient prédit d'une mort à la Brandon Vedas.

Perso, je ne pense pas que les problématiques liées à la sécurité seront résolues grace à l'action des hackeurs de tous poils.

C'est avant tout un problème de mentalités et de couts : la sécurité c'est une dépense, la qualité logicielle c'est une dépense.

à sa manière Barnaby Jack dénonçait surtout la vétustés des technologies employés.
Ce qui n'est guère étonnant, l'univers de la médecine est éloignée de celui de l'informatique....

[zulu1]

Barnabé était gentil, c'est vraiment triste de voir votre culture à vous les pépé programmeurs sans mémoire qui se font tutoriaux vivant uniquement parce qu'internet est à leur disposition. Barnabé avait une bonne tête, c'est tout ce qui importe... Vous me tapez sur les nerfs avec votre rhétorique

[zulu1]

Bon je suis désolé, qu'est-ce que j'étais nul. Si un modo passe par là il pourrait supprimer les deux messages? Je pense qu'on perd de l'espace mémoire pour des bêtises... Barnaby m'étais sympathique voilà tout, ça m'a fâché... Encore une fois, dsl

Quant aux tutos, mieux vaut être vivant que mort... J'ai bien compris la leçon. Merci

Et je ne considère pas les programmeurs comme des pépés ... loin de là la plupart du temps, et en ce cas ci en l'occurrence.

[Matthieu Vergne]

Tu peux éditer tes posts pour barrer leur contenu et ajouter une note "[Edit: ...]" en début de message pour dire pourquoi c'est barré. Ça apporte plus que de supprimer (ça donne un exemple concret de bourde à ne pas faire et ça prouve ta bonne foi).

[Deuzz]

Tu peux éditer tes posts pour barrer leur contenu

.... seulement les 72 premières heures, ensuite il faut demander à un modérateur.