Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 09/06/2009, à 19:28

h4ck.n3t

PChat.toile-libre.org

Bonjour tout le monde !

Voila je vous présente la version 3.0 de PChat stable et sans failles (en tout cas pas de faille qu'on connaisse). PChat est un script php vous permettant d'installer le plus rapidement et le plus simplement du monde un chat pour 2 personnes sur votre site. Les atouts de PChat :
*Légèreté (moins de 200ko !)
*Customisation : 100£ modifiable (php html et css). Merci de laisser le copyright qui sert en outre a vous indiquer si une nouvelle version est disponible...
*Prix : 0€ big_smile PChat est et restera toujours gratuit quoi qu'il arrive !
*Développement régulier : nous essayons de sortir 1 a 2 version par an, de corriger le moindre bug dès que l'on nous contact, et de traduire en plusieurs langues
*Facilité : en effet, PChat ne demande aucunes base MySQL ! De plus, dans les prochaines versions, l'installation sera automatique. Pour le moment, un tuto point par point est à votre disposition. Un forum l'est également, et le wiki ainsi qu'un screencast arrive prochainement...
*Contact : en effet, chaque personne nous annonçant quoi que ce soit (bug, faille, faute, suggestion, idée) ou demandant à faire parti du staff (modérateur forum, traducteur, co-developpeur, correcteur, co-webmaster, ou autre) obtiendra une réponse quelle qu'elle soit dans les délais les plus court. Aucun courrier automatique autre que les news-lettres ne seront envoyés : les réponses sont personnalisées et au cas par cas

Voilà, nous espérons vous voir très prochainement sur PChat wink

Lien du site : http://pchat.toile-libre.org
Partie téléchargement : http://pchat.toile-libre.org/?p=down
Forum : http://pchat-forum.xooit.fr


Ce n’est pas parce que un chemin prend la direction que l’on souhaite, qu’il nous amène où l’on veut.
Trouver des défauts à windows, c'est comme faire une division par zéro : c'est infini...

Hors ligne

#2 Le 09/06/2009, à 20:35

pouchat

Re : PChat.toile-libre.org

ca reste gentillet :
- pas de fonction, pas d'objet
- pas de licence claire et précise qq part
- un include que tu fais directement depuis ton site. Niveau sécurité 0. Qu'est ce qui t'empeches par le suite de mettre un javascript et ré-orienter les utilisateurs de la personne qui a mis ton script.
- une doc ? les noms de fichiers pas terribles (une lettre pas précise et pis en majuscule...)
- ereg, toujours les remplacer par des pregs ou str_
- stripslashes ne tient pas compte si le serveur a déjà les magics quote d'active
- pas de message d'erreur si cookies pas activés...
- login/pass utilisateur pas très souple, faut toucher au php. En plus c'est a faire sur chaque fichier PHP

+ faille XSS :
C2.php:

$monfichierss = fopen("Coach.txt", "w");
fputs($monfichierss, stripslashes($_POST['Coach']));
fclose($monfichierss);

C1.php:

<?php
$message = file_get_contents ('Coach.txt');
$message = nl2br($message);
$message = eregi_replace("[[:alpha:]]+://[^<>[:space:]]+[[:alnum:]/]","<a target=\"_blank\" href=\"\\0\">\\0</a>", $message);

$message = eregi_replace("[^/]www\.[^<>[:space:]]+[[:alnum:]/]","<a target=\"_blank\" href=\"http://\\0\">\\0</a>", $message);

?>
<body>
<p id="texte"><?php echo $message ;?></p>

C'passe quoi si dans $_POST['Coach'] je mets

<script language="javascript" type="text/javascript">window.location = 'http://badsite-plein-de-malwares-windowsiens.com';</script>

Tu échape pas $message donc ça affiche tout. Pareil pour participants.

bon apres 500 lignes dont 450 d'html doit pas etre trop dur à maintenir wink
encore un peu de progression à faire.

Dernière modification par pouchat (Le 10/06/2009, à 07:52)

Hors ligne

#3 Le 11/06/2009, à 17:27

h4ck.n3t

Re : PChat.toile-libre.org

pouchat a écrit :

ca reste gentillet :
- pas de fonction, pas d'objet

==> Pas encore wink

pouchat a écrit :

- pas de licence claire et précise qq part

==> C'est marqué en bas : "licence créative commons" ! Si tu clic sur le lien sa t'explique le contrat wink

pouchat a écrit :

- un include que tu fais directement depuis ton site. Niveau sécurité 0. Qu'est ce qui t'empeches par le suite de mettre un javascript et ré-orienter les utilisateurs de la personne qui a mis ton script.

== > Ce qui m'empéche ? Crois-tu que je diffuserais et que je ferais de la pub si j'ajoutez dans un logiciel un objet malveillant ? Crois-tu que c'est le but rechercher ? Déjà que j'ai du mal à faire de la pub, si en plus il y avait des commentaires genre "ya un virus", je n'y arriverais jamais...

pouchat a écrit :

- une doc ? les noms de fichiers pas terribles (une lettre pas précise et pis en majuscule...)

==> Alors pour la doc tu as : le fichier lisez-moi dans l'archive, la partie F.A.Q sur le site, un forum pour poser tes questions, une partie contact pour poser tes questions, qui seront surement ajoutez à la F.A.Q si elles sont bonnes, et un wiki en préparation... Tu demande quoi de plus ?

pouchat a écrit :

- ereg, toujours les remplacer par des pregs ou str_
- stripslashes ne tient pas compte si le serveur a déjà les magics quote d'active

==> Nous sommes des débutants du PHP donc on y va molo... Je ne connais même pas de ce que tu me parle, mais j'y travail, promis wink

pouchat a écrit :

- pas de message d'erreur si cookies pas activés...

==> Normal, j'en est pas besoin des cookies !

pouchat a écrit :

- login/pass utilisateur pas très souple, faut toucher au php. En plus c'est a faire sur chaque fichier PHP

==> Oui c'est le principal défaut, on fais une installation graphique pour la version 4.0 wink

Pour toutes les failles XML & co, on y connais pas encore grand chose. Sur le site on annonce que nous recrutons des bénévoles pour le projet... Donc si t'es intéressé, no problem wink

Voila d'autre com' ?

Dernière modification par h4ck.n3t (Le 11/06/2009, à 17:28)


Ce n’est pas parce que un chemin prend la direction que l’on souhaite, qu’il nous amène où l’on veut.
Trouver des défauts à windows, c'est comme faire une division par zéro : c'est infini...

Hors ligne

#4 Le 11/06/2009, à 18:44

pouchat

Re : PChat.toile-libre.org

h4ck.n3t a écrit :

C'est marqué en bas : "licence créative commons" ! Si tu clic sur le lien sa t'explique le contrat wink

L'archive doit se suffire à elle-même. T'as aucune licence dans un fichier txt ou dans le source qui accompagnerait ton appli. Si je la distribue (apparement j'en ai le droit) à des collègues ils ont pas à avoir une connexion internet pour vérifier la licence.

h4ck.n3t a écrit :

Ce qui m'empéche ? Crois-tu que je diffuserais et que je ferais de la pub si j'ajoutez dans un logiciel un objet malveillant ? Crois-tu que c'est le but rechercher ? Déjà que j'ai du mal à faire de la pub, si en plus il y avait des commentaires genre "ya un virus", je n'y arriverais jamais...

peut importe l'intention cachée ou cas. Si tu veux diffuser ton appli (c'est le but si j'ai compris), évite au maximum qu'elle téléphone à la maison à chaque fois que quelqu'un va s'en servir. De plus implicitement, ça veut dire que les clients doivent être connectés au net. Si ton appli m'intéresse et que je veux la mettre sur mon intranet ou les utilisateurs ne peuvent pas forcément franchir le proxy. Je fais quoi ?

h4ck.n3t a écrit :

Nous sommes des débutants du PHP donc on y va molo...

pas besoin d'être sur la défensive. Tu me remarqueras que si j'ai passé un peu de temps à lire les sources et à répondre c'est pour faire des remarques constructives qu'on prend toujours comme une aggression quand on débute. Si j'y suis passé et j'y suis encore big_smile

Les expressions réguilères (regexp, expreg) en PHP sont à utiliser avec les fonctions de type preg (preg_replace, preg_match...) et non ereg qui sont lentes et inadaptées. => http://www.expreg.com/

h4ck.n3t a écrit :

==> Normal, j'en est pas besoin des cookies !

désactives les cookies sur ton navigateur, purges tes cookies et essaies toujours de te connecter... Quand on utilise des $_SESSION en PHP, il y a 2 façons de les passer au client :
- par un $_GET, qu'on voit souvent dans la barre d'adresse en PHPSESSID=
- par un cookie.
et comme toi tu utilises pas PHPSESSION alors faut les cookies d'activés. Et comme moi je n'active les cookies que sur les sites de confiance par défaut ça m'alerte pas...

h4ck.n3t a écrit :

Pour toutes les failles XML & co, on y connais pas encore grand chose.

c'est malheureusement pas une bonne réponse... Toujours chercher à contourner sa propre application, à se renseigner sur les techniques de bypass...

h4ck.n3t a écrit :

Sur le site on annonce que nous recrutons des bénévoles pour le projet... Donc si t'es intéressé, no problem wink

pas assez de temps. Mais développer sa propre application est le meilleur apprentissage qui soit. Donc
- mange la doc PHP
- télécharge plusieurs applications de chat et voit comment elles sont codées (fonction, objet, fichier de configurations, pattern) et améliore.

h4ck.n3t a écrit :

==> Oui c'est le principal défaut, on fais une installation graphique pour la version 4.0 wink

en tout cas bon courage et repost pour avoir des retours ensuite.

Dernière modification par pouchat (Le 11/06/2009, à 18:46)

Hors ligne

#5 Le 11/06/2009, à 18:58

h4ck.n3t

Re : PChat.toile-libre.org

pouchat a écrit :

L'archive doit se suffire à elle-même. T'as aucune licence dans un fichier txt ou dans le source qui accompagnerait ton appli. Si je la distribue (apparement j'en ai le droit) à des collègues ils ont pas à avoir une connexion internet pour vérifier la licence.

==> Ok je le rajouterais dans le fichier texte, même si c'est expliqué sur le site, tu as raison...

pouchat a écrit :

peut importe l'intention cachée ou cas. Si tu veux diffuser ton appli (c'est le but si j'ai compris), évite au maximum qu'elle téléphone à la maison à chaque fois que quelqu'un va s'en servir. De plus implicitement, ça veut dire que les clients doivent être connectés au net. Si ton appli m'intéresse et que je veux la mettre sur mon intranet ou les utilisateurs ne peuvent pas forcément franchir le proxy. Je fais quoi ?

==> Pour le moment je n'ai pas trouvé d'autre moyen, mais c'est vrai que si je peux l'enlever, je le ferais...

pouchat a écrit :
h4ck.n3t a écrit :

Nous sommes des débutants du PHP donc on y va molo...

pas besoin d'être sur la défensive. Tu me remarqueras que si j'ai passé un peu de temps à lire les sources et à répondre c'est pour faire des remarques constructives qu'on prend toujours comme une aggression quand on débute. Si j'y suis passé et j'y suis encore big_smile

==> XD je suis pas sur la défense... C'est vrai que je me suis mal exprimé, je voulais dire "Nous (les développeurs de PChat), on y va petit à petit" wink

pouchat a écrit :

Les expressions réguilères (regexp, expreg) en PHP sont à utiliser avec les fonctions de type preg (preg_replace, preg_match...) et non ereg qui sont lentes et inadaptées. => http://www.expreg.com/

==> Merci wink

pouchat a écrit :

désactives les cookies sur ton navigateur, purges tes cookies et essaies toujours de te connecter... Quand on utilise des $_SESSION en PHP, il y a 2 façons de les passer au client :
- par un $_GET, qu'on voit souvent dans la barre d'adresse en PHPSESSID=
- par un cookie.
et comme toi tu utilises pas PHPSESSION alors faut les cookies d'activés. Et comme moi je n'active les cookies que sur les sites de confiance par défaut ça m'alerte pas...

==> Oo ! Tu m'en apprend une belle la ! Autant pour moi...

pouchat a écrit :
h4ck.n3t a écrit :

Pour toutes les failles XML & co, on y connais pas encore grand chose.

c'est malheureusement pas une bonne réponse... Toujours chercher à contourner sa propre application, à se renseigner sur les techniques de bypass...

==> Oui oui, on y arrivera wink

pouchat a écrit :
h4ck.n3t a écrit :

Sur le site on annonce que nous recrutons des bénévoles pour le projet... Donc si t'es intéressé, no problem wink

pas assez de temps. Mais développer sa propre application est le meilleur apprentissage qui soit. Donc
- mange la doc PHP
- télécharge plusieurs applications de chat et voit comment elles sont codées (fonction, objet, fichier de configurations, pattern) et améliore.

==> Ok np, si tu connais des gens tongue Oui on va s'y mettre serrieu a partir du 1juillet...

pouchat a écrit :

en tout cas bon courage et repost pour avoir des retours ensuite.

==> Merci big_smile


Ce n’est pas parce que un chemin prend la direction que l’on souhaite, qu’il nous amène où l’on veut.
Trouver des défauts à windows, c'est comme faire une division par zéro : c'est infini...

Hors ligne