Cakranegara trip... Lasminute.com et ses mots de passe |
|||||||||||
|
Il y a des enchères qui valent le détour. Comme nous le signale un internaute lecteur de Kitetoa.com, le site Lastminute.com organise des enchères pour la vente de voyages ou de places de spectacles. Et ce lecteur nous précise que ce site a un petit problème... Ceci dit, personnellement, participer à des enchères pour le spectacle de Cindy (en vente actuellement sur ce site)... Même si l'on me donnait les places... Il faut dire que toutes ces "comédies musicales"... Mais bon, passons à autre chose, je vais encore me faire des amis. Revenons au site en question. Les développeurs du machin avaient laissé un répertoire appelé "include" en lecture pour tous, sans fichier à afficher par défaut pour le visiteur. Dans ce répertoire, on trouvait des fichiers dont les titres se terminaient par ".bak" comme backup j'imagine. Et dans l'un de ces fichiers, on trouvait le login et le mot de passe de la basede données du site. Une petite merveille donc en matière de développement. Il n'y a pas beaucoup de copies d'écrans liées à ce papier. Il nous a semblé que celle-ci était assez parlante... Je vais faire ici une petite digression pour les déficients du bulbe qui pensent encore (il y en a qui l'écrivent) que nous tirons un quelconque bénéfice de nos trouvailles sur les sites à trous. Si nous avions ce genre de mentalité, si nous tentions de "monnayer", comme j'ai pu lire récemment, les données que nous trouvons, nous aurions été bien servis avec ce site à enchères. La lecture détaillé des fichiers de configuration se trouvant dans ce répertoire "include" permet en effet d'imaginer ce qu'un pirate pourrait tirer comme "bénéfice" d'une telle trouvaille. L'interrogation subtile de la base de données aurait été fructueuse pour des vilains. Mais je m'égare à nouveau. La personne contactée chez Lastminute.com nous a remerciés mais semblait prendre la chose avec un calme qui, personnellement me laisse pantois. L'accès au contenu du répertoire a été interdit assez vite, mais le fichier contenant les logins et mots de passe est resté pendant quelques jours. Lorsque nous l'avons signalé, on nous a simplement répondu que tout cela était développé par un prestataire extérieur et qu'il s'en occupait. Doucement alors... Parce que sept jours plus tard, le fichier était toujours là... Certains diront que le délai de réaction est normal puisque nous sommes dans la période des fêtes et patati et patata. Personnellement, je pensais qu'il y avait des gens d'astreinte chez les prestaires de services informatiques. Et même, à bien y regarder, sur le contrat des clients, cela doit être facturé quelque part... On met le login et le mot de passe aux enchères? Ca fera plaisir aux spécialistes de la sécurité informatique qui nous décrivent comme des pirates. Je blague bien entendu... :) Comme on est pas trop débiles et qu'il suffit de lire ledit fichier ".bak", on est allé chercher l'argumentaire marketing du prestataire extérieur. On vous le livre ici. Nous vous laissons vous faire une opinion par vous-mêmes... "Grâce aux Enchères en Temps Réel XXX, vous dotez votre site d'un module d'enchères à la pointe de l'innovation, où vos internautes pourront miser, enchérir et surenchérir en direct... comme dans une véritable salle des ventes!
Les bénéfices des Enchères en Temps Réel XXX * Un module 100% ludique ! (Cette dernière phrase, je ne sais pas pourquoi, mais je l'aime bien...) Comment ça marche ? * Vous publiez sur votre site un catalogue de vos enchères, avec les
lots
mis en jeu et les horaires d'ouverture des salles de vente
C'est beau comme une start-up dont la peinture vient d'être refaite... By the way... Google est votre ami. |
Naviguer, lire.... Le Sommaire |
Communiquer... |
Les rubriques! |
Les rubriques! |
Les dossiers |
Malade mental... Qui est Jean-Paul Ney, Le texte de la condamnation |
Malade mental, bis repetita Jean-Paul Ney condamné Condamnation de Jean-Paul Ney |
D'autres choses... |
Rechercher... et sur le Net... |