Les membres ayant 30 points peuvent parler sur les canaux annonces, projets et hs du chat.
La shoutbox n'est pas chargée par défaut pour des raisons de performances. Cliquez pour charger.

Forum Casio - Projets de programmation


Index du Forum » Projets de programmation » Textout un projet mal construit
Et7f3 Hors ligne Membre Points: 176 Défis: 1 Message

Textout un projet mal construit

Posté le 02/07/2017 13:19

Ce forum s'adresse a tout le monde et à pour vocation d'être diffusé.

Cliquer pour un résumé des faits
Cliquer après avoir tout lu

Je m'inscris en remplissant mon profile je trouve une xss que @Xavier59 avait trouvé. Je m'étais donc mis en tête de trouver une xss jamais trouvé.
Je cherche, recherche, recherche,... et j'en trouve une dans la balise [video] puis quelque temps après dans le chat reservé aux membres (la shoutbox)
Je demande donc gentiment les codes de textout (une fonction PHP qui transforme le BBcode en HTML pour être afficher dans le navigateur).
Je le lis et mes yeux me supplie d’arrêter de le lire: Je les écoutes et propose de faire mieux sécurisé et mieux présenté ma fonction textout que j'ai nommé textesortie.
FUNFACT:
Dark storm a écrit :
~si tu fait mieu je milite pour que tu ai une place de développeur.

Je l'ai donc pris au mot et me suis mis en compet avec @Cakeisalie5
Je code gentiment ma fonction dans mon coin et je regarde le code de textout pour avoir un comportement identique et la je vois...... (attention les yeux ça va piquer)

function textout_img($name, $value, $content, $vars) {
...
$content = str_replace('"', '%22', $content);
...
return '<img src="'.$content.'">';
}

Voila je vous ai avertit. J'ai donc modifié le code et caché l'auteur( désolé les copyrights ) et posté sur stackoverflow en essayant de défendre...
résultat -1 de réputation après un vif échange...



Lephenixnoir Hors ligne Administrateur Points: 24054 Défis: 169 Message

Citer : Posté le 02/07/2017 13:33 | #


Et7f3 a écrit :
Je le lis et mes yeux me supplie d’arrêter de le lire [...]

Ça veut dire que le textout() de Cake est mal codé ?

Et7f3 a écrit :
Je les écoutes et propose de faire mieux sécurisé et mieux présenté ma fonction textout que j'ai nommé textesortie.

L'effort et louable, mais désolé de te le dire, ta fonction n'est pas mieux.

Elle est peut-être plus sécurisée, et encore comme tu as laissé passer l'injection CSS classique au premier passage, je doute que le reste soit inattaquable, mais en tout cas mieux codée, je me permets de dire que non. Les regex dans tous les sens, la méthode à moitié générique, le code super dense et très prône à l'erreur selon mes souvenirs, c'est pas des caractéristiques du code failproof.

Et7f3 a écrit :
Je l'ai donc pris au mot et me suis mis en compet avec @Cakeisalie5

Vaste erreur. Si tu l'avais pris au mot tu aurais discuté de tes choix avec Cake, quitte à ce qu'il améliore au passage sa fonction. Ce n'est pas comme si on était élitistes au point de ne vouloir en devs' que les meilleurs. Si, à travers des échanges avec Cake, tu avais démontré que tu savais faire aussi bien que lui, on aurait tout autant été partants pour te donner le statut en question.

Pour une note supplémentaire, en général les membres de PC reçoivent des responsabilités parce qu'ils sont ou investis, ou compétents (et ça marche pour l'immense majorité de l'équipe actuelle). T'avais pas besoin d'en faire une compétition.


Ne vas pas te sentir attaqué non plus, c'est pas mon but, mais je tiens à rappeler que les arguments vont dans les deux sens. Ta réaction est peut-être mal proportionnée.
Mon graphe (16 Jan): (PythonExtra ; fxsdk#11 ; gint#27 ; (Rogue Life || HH2) ; serial gint ; Boson X ; ...) || (shoutbox v5 ; v5)
Et7f3 Hors ligne Membre Points: 176 Défis: 1 Message

Citer : Posté le 02/07/2017 13:38 | #


Oui pour l'injection css mais css!=injection xss puis cela était dans la v1 après j'ai du récupérer une seule idée de cake i.e. une seule regex dispatch tout (c'est donc mon noyau v2 tu avais testé la v1)
justement je n'ai pas commis cette vaste erreurs deux fois ^^.
"l'impossible n'est pas français", Je suis français je suis donc capable de tout.
Ne0tux Hors ligne Membre d'honneur Points: 3520 Défis: 265 Message

Citer : Posté le 02/07/2017 16:36 | #


Salut !

Pour moi, impossible de saisir :

- ce dont tu parles (j'ai juste compris que tu pensais avoir fait mieux qu'un autre et que tu venais t'en vanter) ;

- à qui tu t'adresses vraiment (même si tu commences par signaler que tout le monde est concerné, ce qui est loin d'être le cas) ;

- dans quel but (hormis rabaisser la solution qui t'a inspirée) ;

- pourquoi tu parles de réputation (c'est la tienne qui est en jeu avec un message pareil, en plus d'être bourré de fautes).
Mes principaux jeux : Ice Slider - CloneLab - Arkenstone

La Planète Casio est accueillante : n'hésite pas à t'inscrire pour laisser un message ou partager tes créations !
Et7f3 Hors ligne Membre Points: 176 Défis: 1 Message

Citer : Posté le 02/07/2017 16:38 | #


Ce dont je parle http://www.planet-casio.com/Fr/forums/topic14900-1-textout.html
Je m'adressais a cakeisalie5 avec un message ouvert(ou lettre ouverte)
Je parle de réputation sur le site stackoverflow.com cf https://framapic.org/gallery#Y5DkzBFgRz3i/tnPB54vvhnaA.PNG,otKkDgl5frfZ/Q5yCm00Kbw1X.PNG
"l'impossible n'est pas français", Je suis français je suis donc capable de tout.
Totoyo Hors ligne Membre d'honneur Points: 16091 Défis: 102 Message

Citer : Posté le 02/07/2017 18:58 | #


J'ai également été surpris par le teneur de ton message.
Le code de Planète Casio n'est pas parfait, loin de là. Mais c'est le cas de très nombreux projets, je dirai même de tout projet. Je regrette que tu n'ais pas remis ce code dans son contexte : développement et mise à jour amateur et / ou jeune développeur, base du site élaboré en 2004 / 2005 etc. Ces éléments t'auraient permis de prendre du recul par rapport à cette fonction php mal codée.
Dites-toi que j'avais même trouvé une fonction équivalente à ucfirst() (pour mettre la première lettre en majuscule). Pourtant, celle-ci existait déjà depuis PHP 4 d'après le manuel. Qu'ai-je fais ? Peut-être une petite boutade aux webmasters via MSN (on utilisait ça pour communiquer avant facebook et skype), et remplacement des fonctions.
Si tu dois relever publiquement chaque morceau de code mal construit, t'as pas fini d'écrire
Dark storm Hors ligne Labélisateur Points: 11618 Défis: 176 Message

Citer : Posté le 02/07/2017 19:01 | #


À se décharge, il peste contre le nouveau textout que Cake a pondu y'a deux mois maximum
Finir est souvent bien plus difficile que commencer. — Jack Beauregard

LienAjouter une imageAjouter une vidéoAjouter un lien vers un profilAjouter du codeCiterAjouter un spoiler(texte affichable/masquable par un clic)Ajouter une barre de progressionItaliqueGrasSoulignéAfficher du texte barréCentréJustifiéPlus petitPlus grandPlus de smileys !
Cliquez pour épingler Cliquez pour détacher Cliquez pour fermer
Alignement de l'image: Redimensionnement de l'image (en pixel):
Afficher la liste des membres
:bow: :cool: :good: :love: ^^
:omg: :fusil: :aie: :argh: :mdr:
:boulet2: :thx: :champ: :whistle: :bounce:
valider
 :)  ;)  :D  :p
 :lol:  8)  :(  :@
 0_0  :oops:  :grr:  :E
 :O  :sry:  :mmm:  :waza:
 :'(  :here:  ^^  >:)

Σ π θ ± α β γ δ Δ σ λ
Veuillez donner la réponse en chiffre
Vous devez activer le Javascript dans votre navigateur pour pouvoir valider ce formulaire.

Si vous n'avez pas volontairement désactivé cette fonctionnalité de votre navigateur, il s'agit probablement d'un bug : contactez l'équipe de Planète Casio.

Planète Casio v4.3 © créé par Neuronix et Muelsaco 2004 - 2024 | Il y a 61 connectés | Nous contacter | Qui sommes-nous ? | Licences et remerciements

Planète Casio est un site communautaire non affilié à Casio. Toute reproduction de Planète Casio, même partielle, est interdite.
Les programmes et autres publications présentes sur Planète Casio restent la propriété de leurs auteurs et peuvent être soumis à des licences ou copyrights.
CASIO est une marque déposée par CASIO Computer Co., Ltd