Textout un projet mal construit
Posté le 02/07/2017 13:19
Ce forum s'adresse a tout le monde et à pour vocation d'être diffusé.
Cliquer pour un résumé des faits
Cliquer après avoir tout lu
Je m'inscris en remplissant mon profile je trouve une xss que @Xavier59 avait trouvé. Je m'étais donc mis en tête de trouver une xss jamais trouvé.
Je cherche, recherche, recherche,... et j'en trouve une dans la balise
[video] puis quelque temps après dans le chat reservé aux membres (la shoutbox)
Je demande donc gentiment les codes de textout (une fonction PHP qui transforme le BBcode en HTML pour être afficher dans le navigateur).
Je le lis et mes yeux me supplie d’arrêter de le lire: Je les écoutes et propose de faire mieux sécurisé et mieux présenté ma fonction textout que j'ai nommé textesortie.
FUNFACT:
Dark storm a écrit :
~si tu fait mieu je milite pour que tu ai une place de développeur.
Je l'ai donc pris au mot et me suis mis en compet avec @Cakeisalie5
Je code gentiment ma fonction dans mon coin et je regarde le code de textout pour avoir un comportement identique et la je vois...... (attention les yeux ça va piquer)
function textout_img($name, $value, $content, $vars) {
...
$content = str_replace('"', '%22', $content);
...
return '<img src="'.$content.'">';
}
Voila je vous ai avertit. J'ai donc modifié le code et caché l'auteur( désolé les copyrights ) et posté sur
stackoverflow en essayant de défendre...
résultat -1 de réputation après un vif échange...
Citer : Posté le 02/07/2017 13:33 | #
Je le lis et mes yeux me supplie d’arrêter de le lire [...]
Ça veut dire que le textout() de Cake est mal codé ?
Je les écoutes et propose de faire mieux sécurisé et mieux présenté ma fonction textout que j'ai nommé textesortie.
L'effort et louable, mais désolé de te le dire, ta fonction n'est pas mieux.
Elle est peut-être plus sécurisée, et encore comme tu as laissé passer l'injection CSS classique au premier passage, je doute que le reste soit inattaquable, mais en tout cas mieux codée, je me permets de dire que non. Les regex dans tous les sens, la méthode à moitié générique, le code super dense et très prône à l'erreur selon mes souvenirs, c'est pas des caractéristiques du code failproof.
Je l'ai donc pris au mot et me suis mis en compet avec @Cakeisalie5
Vaste erreur. Si tu l'avais pris au mot tu aurais discuté de tes choix avec Cake, quitte à ce qu'il améliore au passage sa fonction. Ce n'est pas comme si on était élitistes au point de ne vouloir en devs' que les meilleurs. Si, à travers des échanges avec Cake, tu avais démontré que tu savais faire aussi bien que lui, on aurait tout autant été partants pour te donner le statut en question.
Pour une note supplémentaire, en général les membres de PC reçoivent des responsabilités parce qu'ils sont ou investis, ou compétents (et ça marche pour l'immense majorité de l'équipe actuelle). T'avais pas besoin d'en faire une compétition.
Ne vas pas te sentir attaqué non plus, c'est pas mon but, mais je tiens à rappeler que les arguments vont dans les deux sens. Ta réaction est peut-être mal proportionnée.
Citer : Posté le 02/07/2017 13:38 | #
Oui pour l'injection css mais css!=injection xss puis cela était dans la v1 après j'ai du récupérer une seule idée de cake i.e. une seule regex dispatch tout (c'est donc mon noyau v2 tu avais testé la v1)
justement je n'ai pas commis cette vaste erreurs deux fois ^^.
Citer : Posté le 02/07/2017 16:36 | #
Salut !
Pour moi, impossible de saisir :
- ce dont tu parles (j'ai juste compris que tu pensais avoir fait mieux qu'un autre et que tu venais t'en vanter) ;
- à qui tu t'adresses vraiment (même si tu commences par signaler que tout le monde est concerné, ce qui est loin d'être le cas) ;
- dans quel but (hormis rabaisser la solution qui t'a inspirée) ;
- pourquoi tu parles de réputation (c'est la tienne qui est en jeu avec un message pareil, en plus d'être bourré de fautes).
La Planète Casio est accueillante : n'hésite pas à t'inscrire pour laisser un message ou partager tes créations !
Citer : Posté le 02/07/2017 16:38 | #
Ce dont je parle http://www.planet-casio.com/Fr/forums/topic14900-1-textout.html
Je m'adressais a cakeisalie5 avec un message ouvert(ou lettre ouverte)
Je parle de réputation sur le site stackoverflow.com cf https://framapic.org/gallery#Y5DkzBFgRz3i/tnPB54vvhnaA.PNG,otKkDgl5frfZ/Q5yCm00Kbw1X.PNG
Citer : Posté le 02/07/2017 18:58 | #
J'ai également été surpris par le teneur de ton message.
Le code de Planète Casio n'est pas parfait, loin de là. Mais c'est le cas de très nombreux projets, je dirai même de tout projet. Je regrette que tu n'ais pas remis ce code dans son contexte : développement et mise à jour amateur et / ou jeune développeur, base du site élaboré en 2004 / 2005 etc. Ces éléments t'auraient permis de prendre du recul par rapport à cette fonction php mal codée.
Dites-toi que j'avais même trouvé une fonction équivalente à ucfirst() (pour mettre la première lettre en majuscule). Pourtant, celle-ci existait déjà depuis PHP 4 d'après le manuel. Qu'ai-je fais ? Peut-être une petite boutade aux webmasters via MSN (on utilisait ça pour communiquer avant facebook et skype), et remplacement des fonctions.
Si tu dois relever publiquement chaque morceau de code mal construit, t'as pas fini d'écrire
Vitesse des fonctions en Basic Casio | 7 days CPC | Casio Universal Wiki | Tutoriel Basic Casio
>>> Give me a click Brother
>>> Random Youtube Video
Citer : Posté le 02/07/2017 19:01 | #
À se décharge, il peste contre le nouveau textout que Cake a pondu y'a deux mois maximum