| View previous topic :: View next topic |
| Author |
Message |
Bapt
Veteran
Joined: 14 Apr 2003
Posts: 1152
Location: Paris
|
 Posted: Thu Oct 27, 2005 1:18 pm Post subject: [OFF] perte d'avatar |
 |
|
Merde alors, je me connecte et je me rends compte que j'ai perdu mon avatar, que ce passe t'il ??? apparemment je ne suis pas le seul... Ce qui me fait chier c'est qu'en plus j'ai perdu l'image qui me servait d'avatar, j'aimais bien mon nain bourré derrière son tonneau.
Quelqu'un sait pourquoi on a perdu mon avatar, et comment le récupérer ? |
|
| Back to top |
|
 |
Trevoke
Advocate
Joined: 04 Sep 2004
Posts: 4099
Location: NY, NY
|
| Posted: Thu Oct 27, 2005 1:24 pm Post subject: |
|
|
f.g.o. a desactive les avatars pendant un temps, sans doute pour se debarrasser d'une vulnerabilite ou dieu sait quoi.
Comment le recuperer? Il va te falloir une voiture et 2.1 gigawatts.
_________________
Votre moment detente
What is the nature of conflict? |
|
| Back to top |
|
|
loopx
Advocate
Joined: 01 Apr 2005
Posts: 2787
Location: Belgium / Liège
|
| Posted: Thu Oct 27, 2005 1:25 pm Post subject: |
|
|
Ils ont peut etre fait un upgrade...
En tout cas, le mien est resté, ouf 
je 
_________________
Mon MediaWiki perso : http://pix-mania.dyndns.org |
|
| Back to top |
|
|
marvin rouge
Veteran
Joined: 01 Aug 2004
Posts: 1422
Location: Villa Lumierrante, Zonelibre
|
| Posted: Thu Oct 27, 2005 1:26 pm Post subject: |
|
|
plus d'infos
@trevoke: voiture ? 2.1 gigawatts ??? |
|
| Back to top |
|
|
Trevoke
Advocate
Joined: 04 Sep 2004
Posts: 4099
Location: NY, NY
|
| Posted: Thu Oct 27, 2005 1:31 pm Post subject: |
|
|
Retour vers le futur? Non?
*sigh* T'es jeune toi non? 
_________________
Votre moment detente
What is the nature of conflict? |
|
| Back to top |
|
|
Adrien
Advocate
Joined: 13 Jul 2004
Posts: 2326
Location: Bretagne
|
| Posted: Thu Oct 27, 2005 1:32 pm Post subject: |
|
|
| Trevoke wrote: | f.g.o. a desactive les avatars pendant un temps, sans doute pour se debarrasser d'une vulnerabilite ou dieu sait quoi.
Comment le recuperer? Il va te falloir une voiture et 2.1 gigawatts. |
Nan Trevoke, c'est 2,1 gigowatts (tm)  |
|
| Back to top |
|
|
marvin rouge
Veteran
Joined: 01 Aug 2004
Posts: 1422
Location: Villa Lumierrante, Zonelibre
|
| Posted: Thu Oct 27, 2005 1:33 pm Post subject: |
|
|
| Trevoke wrote: | Retour vers le futur? Non?
*sigh* T'es jeune toi non? |
hum, nan, plutot trop vieux je pense ... :/ |
|
| Back to top |
|
|
ultrabug
Developer
Joined: 24 Jan 2005
Posts: 698
Location: Paris
|
| Posted: Thu Oct 27, 2005 2:20 pm Post subject: |
|
|
Salut
EDIT: oups javais pas vu le lien de marvin :p |
|
| Back to top |
|
|
truz
Apprentice
Joined: 26 Feb 2005
Posts: 293
Location: France - Paris
|
| Posted: Thu Oct 27, 2005 5:50 pm Post subject: |
|
|
| Adrien wrote: | | Trevoke wrote: | f.g.o. a desactive les avatars pendant un temps, sans doute pour se debarrasser d'une vulnerabilite ou dieu sait quoi.
Comment le recuperer? Il va te falloir une voiture et 2.1 gigawatts. |
Nan Trevoke, c'est 2,1 gigowatts (tm) |
Non plus, c'est 2,21 gigowatts (et 1.21 gigawatts en VO )
_________________
Je sais que mes droits s'arrêtent là où commencent ceux des autres. Mais est-ce ma faute si les droits des autres commencent si loin ? [Quino] -- Mafalda |
|
| Back to top |
|
|
TGL
Bodhisattva
Joined: 02 Jun 2002
Posts: 1978
Location: Rennes, France
|
| Posted: Thu Oct 27, 2005 6:26 pm Post subject: |
|
|
Allez, juste pour les flemmard, je vous raconte le pourquoi en bref, parce que j'ai trouvé la faille assez rigolote :
- quand on upload un avatar perso sur phpBB, celui-ci vérifie qu'il a bien un header de fichier image d'un type connu (c'est à dire que les qlqs premiers octets sont bien caractéristiques d'un .gif, ou .png, ou .jpg). Ça empêche d'uploader n'importe quoi.
- par contre, il est possible d'uploader un fichier qui s'appelerait "toto.jpg" mais qui aurait le header d'un ".gif". Bon, jusque là a priori on s'en fout, ça fera normalement juste un fichier image qui ne se décode pas correctement...
- sauf que, sur un OS concurrent, et non moins populaire, un certain navigateur "IE" a une vilaine tendance à essayer d'interpréter comme du HTML tous les fichiers dont l'extension (".jpg" ici) ne correspond pas au header (celui d'un ".gif" ici).
- résultat : il était possible d'uploader ici un avatar nommé "toto.jpg", contenant d'abord un header de ".gif", et ensuite, comme contenu, du code HTML malicieux. Sous un navigateur normal, ça aurait seulement fait une image corrompue, ou pas d'image du tout, mais sous IE, le code aurait été interprété. Et on pouvait donc par exemple utiliser le dit code pour faire envoyer par IE le contenu du cookie de login vers où on voulait, et donc au final récuperer la session de quelqu'un qui sous IE aurait visualisé une page où apparaitrait notre méchant avatar.
Perso, je dois avouer que j'admire l'imagination des gens qui découvrent ce genre de bug et imagine ensuite leur exploitation malicieuse...  |
|
| Back to top |
|
|
kernelsensei
Bodhisattva
Joined: 22 Feb 2004
Posts: 5619
Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)
|
| Posted: Thu Oct 27, 2005 6:45 pm Post subject: |
|
|
| TGL wrote: | | Perso, je dois avouer que j'admire l'imagination des gens qui découvrent ce genre de bug et imagine ensuite leur exploitation malicieuse... |
Mhh, le voila qui fait dans le sadisme... kniarf kniarf kniarf 
_________________
$ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join' |
|
| Back to top |
|
|
ghoti
Advocate
Joined: 30 Dec 2002
Posts: 3638
Location: Belgium
|
| Posted: Thu Oct 27, 2005 6:56 pm Post subject: |
|
|
Bon ben voilà qu'il faut s'occuper des bugs à billou maintenant ?
Désolé TGL, moi je ne trouve pas ça rigolo !
C'est pas tout ça mais mon chat il revient quand ? (l'était édité avec gimp, tout de même ! ) |
|
| Back to top |
|
|
blasserre
Veteran
Joined: 10 Feb 2004
Posts: 1362
Location: Lille, Vlaanderen
|
| Posted: Fri Oct 28, 2005 5:56 am Post subject: |
|
|
| TGL wrote: | | un certain navigateur "IE" a une vilaine tendance à essayer d'interpréter comme du HTML tous les fichiers dont l'extension (".jpg" ici) ne correspond pas au header (celui d'un ".gif" ici). |
 whaaaoo
c'est pour éviter aux webmasters alcooliques de perdre leur emploi ?
c'est la correction d'un bug IIS ?
_________________
benj
technicien professionnel, ascendant winner |
|
| Back to top |
|
|
digimag
Guru
Joined: 14 May 2005
Posts: 451
Location: Toulouse, France
|
| Posted: Fri Oct 28, 2005 1:14 pm Post subject: |
|
|
Moi aussi, j'admire cela! Mais quelle idée finalement...
phpBB vérifie les dimensions de l'image et pour ce faire, l'image doit être ouverte et chargée en mémoire. Or, l'ouverture d'une image corrompue est impossible, il est impossible également de connaître les dimensions... Du coup, comment phpBB accepte ce genre d'images? |
|
| Back to top |
|
|
TGL
Bodhisattva
Joined: 02 Jun 2002
Posts: 1978
Location: Rennes, France
|
| Posted: Fri Oct 28, 2005 1:27 pm Post subject: |
|
|
| digimag wrote: | | phpBB vérifie les dimensions de l'image et pour ce faire, l'image doit être ouverte et chargée en mémoire. Or, l'ouverture d'une image corrompue est impossible, il est impossible également de connaître les dimensions... Du coup, comment phpBB accepte ce genre d'images? |
Justement, cette vérification portait sur ce qui était déclaré comme dimensions dans le header. Si le header était bien celui d'un fichier image de dimensions raisonnables, ça passait comme une lettre à la poste.
Après, le contenu qui venait derrière, phpBB devait pas mal s'en foutre (modulo probablement une limite sur sa taille). Quand tu vois comment certains avatars sont moches, ça n'est pas très surprenant... |
|
| Back to top |
|
|
digimag
Guru
Joined: 14 May 2005
Posts: 451
Location: Toulouse, France
|
| Posted: Fri Oct 28, 2005 2:40 pm Post subject: |
|
|
Okay, je ne savais pas qu'on peut connaître les dimensions de l'image sans avoir à l'ouvrir complètement. | TGL wrote: | | Après, le contenu qui venait derrière, phpBB devait pas mal s'en foutre (modulo probablement une limite sur sa taille). Quand tu vois comment certains avatars sont moches, ça n'est pas très surprenant... |
|
|
| Back to top |
|
|
|
French
