+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Community Manager

    Avatar de Malick
    Homme Profil pro
    Auditeur
    Inscrit en
    juillet 2012
    Messages
    4 693
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Sénégal

    Informations professionnelles :
    Activité : Auditeur
    Secteur : Conseil

    Informations forums :
    Inscription : juillet 2012
    Messages : 4 693
    Points : 54 291
    Points
    54 291
    Billets dans le blog
    15

    Par défaut Attention : vérifiez les codes que vous copiez sur internet avant de les coller sur votre terminal

    Attention : vérifiez les codes que vous copiez sur internet avant de les coller sur votre terminal,
    du code malveillant peut être caché

    Avec le développement des technologies de l'information et de la communication, on assiste aujourd'hui à une prolifération des sites web, des forums, et des blogs. Au sein de ces sites et de ces blogs, de nombreux articles ou billets de blog relatifs à une multitude de langages sont hébergés et permettent aux internautes soit de s'autoformer sur un langage donné, soit de trouver des réponses à leurs questions. À côté des sites et des blogs, il y a les forums d'entraide auxquels les internautes, qu'ils soient informaticiens ou amateurs, ont recours pour résoudre certains problèmes ponctuels grâce à l'aide des membres bénévoles de la communauté.

    Les demandeurs qui postent par exemple des messages sur les forums pour partager leur problème et recevoir de l'aide se voient souvent proposés des lignes de code écrites par d'autres membres bénévoles comme propositions de solution. Face à une difficulté également, un internaute peut consulter un article en ligne dans lequel sont fournis des éléments de réponse sur le problème rencontré. Cependant, force est de constater que la plupart du temps, ceux qui sont dans des difficultés récupèrent le code qu'ils trouvent dans les articles ou qu'ils reçoivent sur les forums et le collent aveuglément sur leur terminal pour ensuite procéder à son exécution. Cette pratique est considérée comme très dangereuse, et les internautes devraient arrêter de faire cela. Cette recommandation est faite par Suresh Alse, un étudiant en informatique à l'Université de Californie du Sud à Los Angeles et chercheur à l'institut des sciences de l'information.

    Pour étayer ses dires et montrer aux internautes pourquoi il ne faut pas copier aveuglément les lignes de codes trouvées sur internet dans leur terminal et passer à leur exécution sans faire de vérifications, M. Suresh Alse propose une démonstration dans laquelle il met en évidence les risques encourus en adoptant une telle pratique. S'adressant aux internautes, il les invite à copier la ligne de code suivante et à la coller dans leur terminal (SFW) :

    ls -lat

    Ce code, une fois collé dans le terminal, devrait ressembler à quelque chose comme ceci :

    Nom : wAsCWqP.gif
Affichages : 6049
Taille : 147,3 Ko

    « Comme vous l'avez probablement deviné, il y a un code malveillant entre ls et -lat et ce dernier est caché à l'utilisateur. La couleur du code malveillant est définie à celle de l'arrière-plan et sa taille de police est définie sur 0. Le code malveillant est également déplacé loin du reste du code et est rendu non sélectionnable. Le code fonctionne dans tous les OS possibles, quel que soit le navigateur à partir duquel il est copié. », a affirmé Suresh Alse.

    Le code malveillant caché se présente comme suit :

    Nom : Sans titre.png
Affichages : 5824
Taille : 22,6 Ko
    Nom : Sans titre1.png
Affichages : 5835
Taille : 30,1 Ko

    Le chercheur Alse estime que cela pourrait être pire si l'extrait du code malveillant contenait par exemple la commande sudo. Rappelons que cette commande s'utilise en ligne de commande dans un terminal et permet par exemple d'exécuter, en mode superutilisateur, des commandes ou des applications en console. « [I]Ainsi, en intégrant la commande sudodans le code malveillant, un keylogger peut être silencieusement installé sur la machine cible ; les possibilités sont infinies. », a ajouté Suresh.

    Terminant ainsi sa démonstration, Suresh Alse invite les internautes à s'assurer que les codes qu'ils récupèrent sur le net sont de source sûre avant de les coller sur leur terminal pour ensuite les exécuter.

    Source : blog Suresh Alse

    Et vous ?

    Qu'en pensez-vous ?
    Vous avez envie de contribuer au sein du Club Developpez.com ? Contactez-nous maintenant !
    Vous êtes passionné, vous souhaitez partager vos connaissances en informatique, vous souhaitez faire partie de la rédaction.
    Il suffit de vous porter volontaire et de nous faire part de vos envies de contributions :
    Rédaction d'articles/cours/tutoriels, Traduction, Contribution dans la FAQ, Rédaction de news, interviews et témoignages, Organisation de défis, de débats et de sondages, Relecture technique, Modération, Correction orthographique, etc.
    Vous avez d'autres propositions de contributions à nous faire ? Vous souhaitez en savoir davantage ? N'hésitez pas à nous approcher.

  2. #2
    Expert confirmé Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 080
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 080
    Points : 5 663
    Points
    5 663

    Par défaut

    ça pourrait même être bien pire encore, imaginez si vous surfez sur ce que vous pensez être un blog et qu'en fait c'est une page truffée de pièges par le blogger !!

    oui sauf qu'en général on fait confiance au blogger, ou au site sur lequel on surf etc. difficile de changer de paradigme pour le coup
    si mon blogger préféré fait ça sur son site il le fera 1 fois pas deux, déjà il prendra une plainte en bonne et due forme comme il est facile à identifier, et puis il perdra des visiteurs, désormais taggé comme pirate ou blogger craignos

    le seul cas que j'envisage dans lequel ça pourrait véritablement poser un souci c'est si le pirate au lieu de défacer comme le fait un kikoolol habituellement insère du code pourri tout en laissant la page "propre" visuellement, mais dans ce cas pourquoi s'embêter avec cette astuce ? il y a bien plus direct...

    bref, oui une taille de police égale à zéro c'est cocasse et ça peut être utilisé de manière malicieuse dans l'absolu, mais à moins de tomber sur un site sur lequel on fourni soit même le CSS et le HTML pour les autres internautes (lol ?) l'intérêt pratique de l'astuce pour le pirate est très limité à mon sens
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  3. #3
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2007
    Messages
    25 022
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2007
    Messages : 25 022
    Points : 47 833
    Points
    47 833

    Par défaut

    Attention Buffer Bob que:

    un script malicieux bien fait ne se repèrera pas et laisserai croire que la commande s'est bien déroulée sans trace de problème
    les bouts de code sont souvent sur des site en http, donc on pourrait imaginer une attaque type man in the middle pour ajouter la partie malveillante dans toutes les sections de <code> d'un forum



    Ensuite, je trouve effectivement que c'est assez anectoditque, la plupart des gens y allant bien plus salement aujourd'hui. On trouve pas mal d'instruction d'installation d'outils en ligne de commande aujourd'hui qui on la forme d'un curl pipe:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    curl http://unsrveur/unproject/install.sh | sudo sh
    Je vous laisse imaginer le monde de possibilité dans cette url pointe sur un fichier sur github ou un raccourcisseur d'url
    David Delbecq Java Software engineer chez Trimble. TRANSPORT & LOGISTICS.     LinkedIn | Google+

  4. #4
    Expert éminent
    Avatar de Jipété
    Profil pro
    Inscrit en
    juillet 2006
    Messages
    5 441
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : juillet 2006
    Messages : 5 441
    Points : 7 456
    Points
    7 456

    Par défaut

    Salut,
    Citation Envoyé par Malick SECK Voir le message
    S'adressant aux internautes, il les invite à copier la ligne de code suivante et à la coller dans leur terminal (SFW) :

    ls -lat
    Oui, enfin, si en collant cette ligne de 7 caractères dans mon terminal je vois s'inscrire un machin genre
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
     ls ; clear; echo 'Haha! You gave me access to your computer with sudo!'; echo -ne 'h4cking ## (10%)\r'; sleep 0.3; echo -ne 'h4cking ### (20%)\r'; sleep 0.3; echo -ne 'h4cking ##### (33%)\r'; sleep 0.3; echo -ne 'h4cking ####### (40%)\r'; sleep 0.3; echo -ne 'h4cking ########## (50%)\r'; sleep 0.3; echo -ne 'h4cking ############# (66%)\r'; sleep 0.3; echo -ne 'h4cking ##################### (99%)\r'; sleep 0.3; echo -ne 'h4cking ####################### (100%)\r'; echo -ne '\n'; echo 'Hacking complete.'; echo 'Use GUI interface using visual basic to track my IP'
    je vais sans doute y réfléchir à deux fois avant d'appuyer sur <ENTREE>.

    Pas vous ?
    Il a à vivre sa vie comme ça et il est mûr sur ce mur se creusant la tête : peutêtre qu'il peut être sûr, etc.
    Oui, je milite pour l'orthographe et le respect du trait d'union à l'impératif.
    Après avoir posté, relisez-vous ! Et en cas d'erreur ou d'oubli, il existe un bouton « Modifier », à utiliser sans modération
    On a des lois pour protéger les remboursements aux faiseurs d’argent. On n’en a pas pour empêcher un être humain de mourir de misère.
    Mes 2 cts,
    --
    jp

  5. #5
    Expert confirmé Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 080
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 080
    Points : 5 663
    Points
    5 663

    Par défaut

    Citation Envoyé par tchize_ Voir le message
    on pourrait imaginer une attaque type man in the middle pour ajouter la partie malveillante dans toutes les sections de <code> d'un forum
    oui admettons, mais ce que je voulais dire c'est que si on en est à mettre en place ce genre d'attaque on s'embêtera pas à cibler les balises <code> justement, y'a beaucoup plus direct et tout aussi furtif tout en ne requérant pas l'intervention de l'utilisateur
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  6. #6
    Expert éminent Avatar de disedorgue
    Homme Profil pro
    Ingénieur intégration
    Inscrit en
    décembre 2012
    Messages
    2 246
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur intégration
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : décembre 2012
    Messages : 2 246
    Points : 6 272
    Points
    6 272

    Par défaut

    Bonjour,
    Citation Envoyé par Jipété Voir le message
    Salut,

    Oui, enfin, si en collant cette ligne de 7 caractères dans mon terminal je vois s'inscrire un machin genre
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
     ls ; clear; echo 'Haha! You gave me access to your computer with sudo!'; echo -ne 'h4cking ## (10%)\r'; sleep 0.3; echo -ne 'h4cking ### (20%)\r'; sleep 0.3; echo -ne 'h4cking ##### (33%)\r'; sleep 0.3; echo -ne 'h4cking ####### (40%)\r'; sleep 0.3; echo -ne 'h4cking ########## (50%)\r'; sleep 0.3; echo -ne 'h4cking ############# (66%)\r'; sleep 0.3; echo -ne 'h4cking ##################### (99%)\r'; sleep 0.3; echo -ne 'h4cking ####################### (100%)\r'; echo -ne '\n'; echo 'Hacking complete.'; echo 'Use GUI interface using visual basic to track my IP'
    je vais sans doute y réfléchir à deux fois avant d'appuyer sur <ENTREE>.

    Pas vous ?
    Je ne sais pas si tu as remarqué, mais lorsque la ligne s'affiche dans ton terminal, c'est déjà trop tard, car en fait tu copie/colle 2 lignes et celle-ci est la première...
    Cordialement.

  7. #7
    Membre éclairé
    Homme Profil pro
    Chercheur en informatique
    Inscrit en
    juin 2004
    Messages
    223
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : Belgique

    Informations professionnelles :
    Activité : Chercheur en informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : juin 2004
    Messages : 223
    Points : 752
    Points
    752

    Par défaut

    Citation Envoyé par Jipété Voir le message
    Salut,


    Oui, enfin, si en collant cette ligne de 7 caractères dans mon terminal je vois s'inscrire un machin genre
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
     ls ; clear; echo 'Haha! You gave me access to your computer with sudo!'; echo -ne 'h4cking ## (10%)\r'; sleep 0.3; echo -ne 'h4cking ### (20%)\r'; sleep 0.3; echo -ne 'h4cking ##### (33%)\r'; sleep 0.3; echo -ne 'h4cking ####### (40%)\r'; sleep 0.3; echo -ne 'h4cking ########## (50%)\r'; sleep 0.3; echo -ne 'h4cking ############# (66%)\r'; sleep 0.3; echo -ne 'h4cking ##################### (99%)\r'; sleep 0.3; echo -ne 'h4cking ####################### (100%)\r'; echo -ne '\n'; echo 'Hacking complete.'; echo 'Use GUI interface using visual basic to track my IP'
    je vais sans doute y réfléchir à deux fois avant d'appuyer sur <ENTREE>.

    Pas vous ?
    Je sais pas sous Windows mais sous Linux un retour chariot dans le texte collé déclenche la commande. Donc seule la dernière ligne "; echo 'Hacking complete.'; echo 'Use GUI interface using visual basic to track my IP'" ne sera pas éxécutée ^^

    Par ailleurs chez moi ça ne fonctionne pas. Sélectionner le texte et faire clic du milieu dans un terminal ne colle que "ls -lat" (?)

    Edit : OK, il faut absolument aller sur le site et pas juste copier la version de DVP, c'est assez logique que le BBCode ne supporte pas ça en fait ^^

    Et du coup je confirme que les commandes sont envoyées automatiquement sur mon système (mais mon terminal me prévient tout de même du texte que je vais coller, du coup pas de soucis pour moi :-) )

  8. #8
    Rédacteur/Modérateur


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    6 632
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 6 632
    Points : 13 947
    Points
    13 947

    Par défaut

    L'image fournie vient d'un mac, reconnaissable aux icônes à gauche. Sur mac par défaut le terminal s'affiche en texte noir sur fond blanc, pas sous Linux ou ça va être plutôt texte blanc fond noir, je pense que c'est pour ça que Jipété voit le texte. D’ailleurs correspond à du quasi-blanc (le fond d'écran par défaut doit être de cette couleur en fait).

    Par ailleurs, une personne débutante lancerait le code même avec les symboles cachés.

    Effectivement lancer du code que l'on ne maitrise pas en provenance d'Internet revient à confier les clés de sa maison à un inconnu. Encore plus avec un sudo.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  9. #9
    Expert éminent Avatar de disedorgue
    Homme Profil pro
    Ingénieur intégration
    Inscrit en
    décembre 2012
    Messages
    2 246
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur intégration
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : décembre 2012
    Messages : 2 246
    Points : 6 272
    Points
    6 272

    Par défaut

    @chrtophe: non, le texte est juste caché sur le site ou l'on fait le copier et ce que tu copies est la ligne que jipété montre + une 2éme ligne qui est ls -lat
    Donc même un terminal linux ou autre unix sera confronté au problème car tu valide automatiquement la première ligne lors du coller et c'est celle-ci qui contient le code malicieux (montré par jipété).

    Ici, l'exemple est montré avec un petit programme shell, mais rien n'empêche de faire pareil avec du code sql ou autre code dynamique (sans un passage obligé par un éditeur de texte).
    D'ailleurs, cela permettrait aussi de créer des macro excel, word,... sans que l'utilisateur ne sans aperçoit.

    Il se pourrait même que vim et emacs ne soit pas insensible à ce problème.
    Cordialement.

  10. #10
    Rédacteur/Modérateur


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    6 632
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 6 632
    Points : 13 947
    Points
    13 947

    Par défaut

    T'as raison Disedorgue, je ne mérite donc pas le +1.

    J'ai fait le test tout simplement sous cmd et quel que soit la couleur le texte se copie.

    Par ailleurs la ligne font-size :0px; du CSS suffit à cacher le code dans une page html.

    Mais ce qui reste vrai c'est que copier du code qu'on ne maitrise pas dans un terminal donnera un résultat .. qu'on ne maitrise pas.

    C'est du phishing adapté aux developpeurs.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  11. #11
    Expert éminent
    Avatar de Jipété
    Profil pro
    Inscrit en
    juillet 2006
    Messages
    5 441
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : juillet 2006
    Messages : 5 441
    Points : 7 456
    Points
    7 456

    Par défaut

    Citation Envoyé par chrtophe Voir le message
    L'image fournie vient d'un mac, reconnaissable aux icônes à gauche. Sur mac par défaut le terminal s'affiche en texte noir sur fond blanc, pas sous Linux ou ça va être plutôt texte blanc fond noir, je pense que c'est pour ça que Jipété voit le texte.
    Nan : j'ai vu le texte car je l'ai collé dans Leafpad (le bloc-notes de ma distro Debian) après l'avoir copié depuis le site, mais je n'allais pas le coller dans un terminal sans l'avoir étudié, et ce matin je n'avais pas du tout le temps.
    Ce soir c'est mieux, alors
    Citation Envoyé par disedorgue Voir le message
    Je ne sais pas si tu as remarqué, mais lorsque la ligne s'affiche dans ton terminal, c'est déjà trop tard, car en fait tu copie/colle 2 lignes et celle-ci est la première...
    ben nan, j'avions point lemalqué, la Marie,
    J'ai copié/collé ça :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    ls ; clear; echo 'Haha! You gave me access to your computer with sudo!'; echo -ne 'h4cking ## (10%)\r'; sleep 0.3; echo -ne 'h4cking ### (20%)\r';
    et ça n'est pas allé plus loin que ça :
    Nom : terminal.png
Affichages : 2768
Taille : 14,0 Ko
    Pis ça reste en attente que moi j'appuie sur <ENTREE>...
    Il a à vivre sa vie comme ça et il est mûr sur ce mur se creusant la tête : peutêtre qu'il peut être sûr, etc.
    Oui, je milite pour l'orthographe et le respect du trait d'union à l'impératif.
    Après avoir posté, relisez-vous ! Et en cas d'erreur ou d'oubli, il existe un bouton « Modifier », à utiliser sans modération
    On a des lois pour protéger les remboursements aux faiseurs d’argent. On n’en a pas pour empêcher un être humain de mourir de misère.
    Mes 2 cts,
    --
    jp

  12. #12
    Expert éminent Avatar de disedorgue
    Homme Profil pro
    Ingénieur intégration
    Inscrit en
    décembre 2012
    Messages
    2 246
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur intégration
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : décembre 2012
    Messages : 2 246
    Points : 6 272
    Points
    6 272

    Par défaut

    Bizarre, personnellement, quand je copie exactement le ls -lat, dans mon clipboard, j'ai bien les 2 lignes:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    $ xsel --clipboard
    ls ; clear; echo 'Haha! You gave me access to your computer with sudo!'; echo -ne 'h4cking ## (10%)\r'; sleep 0.3; echo -ne 'h4cking ### (20%)\r'; sleep 0.3; echo -ne 'h4cking ##### (33%)\r'; sleep 0.3; echo -ne 'h4cking ####### (40%)\r'; sleep 0.3; echo -ne 'h4cking ########## (50%)\r'; sleep 0.3; echo -ne 'h4cking ############# (66%)\r'; sleep 0.3; echo -ne 'h4cking ##################### (99%)\r'; sleep 0.3; echo -ne 'h4cking ####################### (100%)\r'; echo -ne '\n'; echo 'Hacking complete.'; echo 'Use GUI interface using visual basic to track my IP'
    ls -lat$
    Cordialement.

  13. #13
    Expert éminent
    Avatar de Jipété
    Profil pro
    Inscrit en
    juillet 2006
    Messages
    5 441
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : juillet 2006
    Messages : 5 441
    Points : 7 456
    Points
    7 456

    Par défaut

    Citation Envoyé par disedorgue Voir le message
    Bizarre, personnellement, quand je copie exactement le ls -lat, dans mon clipboard, j'ai bien les 2 lignes:
    Tu as raison, je n'ai pas été assez précis dans mon texte :

    Citation Envoyé par Jipété Voir le message
    J'ai copié/collé ça :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    ls ; clear; echo 'Haha! You gave me access to your computer with sudo!'; echo -ne 'h4cking ## (10%)\r'; sleep 0.3; echo -ne 'h4cking ### (20%)\r';
    Il fallait lire
    J'ai copié/collé juste cet extrait depuis la longue ligne que j'ai postée à 9 h 04

    Toutes mes excuses pour ce manque de précision.
    Il a à vivre sa vie comme ça et il est mûr sur ce mur se creusant la tête : peutêtre qu'il peut être sûr, etc.
    Oui, je milite pour l'orthographe et le respect du trait d'union à l'impératif.
    Après avoir posté, relisez-vous ! Et en cas d'erreur ou d'oubli, il existe un bouton « Modifier », à utiliser sans modération
    On a des lois pour protéger les remboursements aux faiseurs d’argent. On n’en a pas pour empêcher un être humain de mourir de misère.
    Mes 2 cts,
    --
    jp

  14. #14
    Responsable 2D/3D/Jeux


    Avatar de LittleWhite
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mai 2008
    Messages
    21 932
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : mai 2008
    Messages : 21 932
    Points : 148 005
    Points
    148 005
    Billets dans le blog
    5

    Par défaut

    Bonjour,

    Ce sont des conseils qui doivent être répétés chaque année (ou chaque moi même).
    Il y a plus de deux ans, c'était le joker qui était à la mode : http://securite.developpez.com/actu/...n-des-dangers/

    Et puis, le conseil est valable même pour un rm -rf /* qu'un débutant pourrait copier sans comprendre
    Vous souhaitez participer à la rubrique 2D/3D/Jeux ? Contactez-moi

    Ma page sur DVP
    Mon Portfolio

    Qui connaît l'erreur, connaît la solution.

  15. #15
    Membre régulier
    Inscrit en
    février 2010
    Messages
    44
    Détails du profil
    Informations forums :
    Inscription : février 2010
    Messages : 44
    Points : 94
    Points
    94

    Par défaut

    Intéressant et édifiant.

    J'avoue qu'il m'arrive souvent de copier du texte exécutable shell depuis des pages web ... Les risques ne m'étaient pas venus à l'esprit ...

    Dorénavant je vais toujours copier ce genre de texte d'abord dans un éditeur de texte quelconque avant de le copier en terminal.

  16. #16
    Candidat au Club
    Homme Profil pro
    Conseil - Consultant en systèmes d'information
    Inscrit en
    mai 2016
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Conseil - Consultant en systèmes d'information
    Secteur : Conseil

    Informations forums :
    Inscription : mai 2016
    Messages : 1
    Points : 3
    Points
    3

    Par défaut Prudence veux dire PRUDENCE

    Arrêter de vous focaliser sur cet exemple de code, ce qui est important dans le cas présent c'est le procédé frauduleux!
    un code malveillant au sain d'un exemple qui semble crédible.
    En d'autres terme vérifier ce que vous copier car le code qui est proposé peut être plus "volumineux" que celui que vous visualisez.
    Mais à priori vous ne savez pas, contrairement à l'exemple cité ce qui est malveillant et ce n'est pas forcément lors de son lancement que vous le verrez.

  17. #17
    Membre actif
    Profil pro
    Inscrit en
    mars 2006
    Messages
    133
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2006
    Messages : 133
    Points : 273
    Points
    273

    Par défaut

    C'est un proof of concept sympa, en effet, même si ce code ne fait rien qu'un peu d'affichage et me rappelle un peu les snippets qu'on trouvait dans l'Ordinateur individuel des années 80
    On peut l'exécuter sous Windows avec la console de msys.

  18. #18
    Membre chevronné
    Profil pro
    Développeur
    Inscrit en
    mars 2012
    Messages
    1 205
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mars 2012
    Messages : 1 205
    Points : 1 955
    Points
    1 955

    Par défaut

    Citation Envoyé par agodfrin Voir le message
    Intéressant et édifiant.

    J'avoue qu'il m'arrive souvent de copier du texte exécutable shell depuis des pages web ...
    ATTENTION, s'il y a des instructions comme rm, chmod, chuser, chgrp
    Ca pourrait virer tout un répertoire au lieu d'un fichier (voir plus) et même effacer home... ou changer les droits des users, des groupes et ne plus avoir accès à sa propre machine
    Si la réponse vous a aidé, pensez à cliquer sur +1

Discussions similaires

  1. Réponses: 7
    Dernier message: 21/10/2014, 15h00
  2. Les outils que vous utilisez pour programmer en assembleur
    Par Smortex dans le forum x86 32-bits / 64-bits
    Réponses: 35
    Dernier message: 14/07/2014, 19h31
  3. Réponses: 5
    Dernier message: 08/10/2013, 23h20
  4. Vos avis sur les éditeurs que vous utilisez ?
    Par simone.51 dans le forum Editeurs / Outils
    Réponses: 18
    Dernier message: 08/02/2006, 20h41

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo