Quelle bonne surprise lorsqu'un « nouveau » se connecte sur le salon du projet CodingTeam, salon qui, il faut bien le dire, n'est pas très fréquenté. Et puis il annonce qu'un lien doit être mort, tout de suite, on a en tête les liens morts non-corrigés qui subsistent et on s'apprête à dire que ce n'est pas à grave. Jusqu'à ce qu'on aille voir ce qu'il en est.

Et qu'à la place de la page d'accueil, on ait ce message si bien trouvé et bien écrit :

owned : tagada tsoin tsoin "ya pu coding team" :( MDR ! xbright apprend a coder / ma grand mere aurait pu hacker ton code :)

Franchement chouette. Quel humour, en plus.

Certes, la faille de sécurité utilisée est vraiment honteuse et n'aurait jamais dû exister. Mais ce n'est pas une raison pour l'exploiter. Un petit mail (5 minutes à l'écrire) juste pour avertir de la faille voire même proposer son aide dans la recherche d'autres failles sur les versions de développement, ça, ça serait utile. Mais non, premier réflexe quand « on » découvre ce genre de choses, c'est de détruire. Youpie.

La chose rageante dans tout ça, c'est que lorsqu'on passe son temps à développer un petit logiciel sans grande prétention dans le but de permettre à quelques dizaines (de dizaines) de personnes d'utiliser un petit outil sympa pour gérer leur projet, on le fait juste comme ça, pour apprendre et puis pour rendre un service. Et puis aussi, on est pratiquement seul à bosser sur ce projet (à part quelques contributions utiles venant d'un peu partout, bien entendu), alors forcément, la tâche est plus difficile. Mais c'est sympa, y a de la bonne ambiance, une petite communauté et des gens plutôt content de ce qu'on leur offre (à en croire les mails reçus jusqu'alors).

Pour ceux qui voudraient savoir et qui auraient une 0.42 (et supérieures...) chez eux, le problème se trouve au niveau de la mise en ligne d'avatars personnalisés par un membre. « xbrightsuck » a donc utilisé cette brèche dans mon code afin de mettre en ligne un fichier .php et non une image. En fait, le problème se pose au niveau de la vérification du type du fichier : je me base sur le type renvoyé par $_FILES. Grossière erreur quand on sait que cette information est envoyée par le navigateur et donc sujette à erreur/modifiable (mais bon, quand on voit le statut de la fonction pour vérifier le type de fichier dans PHP - obsolète et il faut installer une extension, chouette - ce n'est pas rassurant non plus...). Bref, cette vérification ne suffit pas et on peut donc uploader des fichiers exécutables PHP en tant qu'avatar. Et ça permet de supprimer tous les fichiers hébergés et de créer des petits fichiers pour montrer qu'on est le plus fort. Ah ouais, cette excitation sensorielle et ce frémissement dans les tripes lorsqu'« on » détruit un service mis en ligne de façon non-commerciale et basé sur les principes du libre. Ah ah, oui, pénaliser plus de 800 utilisateurs juste pour m'insulter en première page de la forge que j'ai conçu, ouais, c'est bougrement plus intéressant que de me prévenir, hein ?

Tout ça pour dire que l'erreur est humaine et que ce genre de failles (même bête) peut encore exister (surtout quand on est tout seul sur un assez gros projet). J'adresse quand même toutes mes excuses aux potentiels utilisateurs de CodingTeam et surtout à ceux de CodingTeam.net et je ferai le nécessaire pour que tout soit de nouveau accessible dans les plus brefs délais.

---

Édition du 24 septembre au soir : tout semble être rentré dans l'odre :)
Plus d'informations ici : http://www.codingteam.net/forumvoir,news,125_fr.html