Skip to content
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Rails mis à mal – Github a échappé au pire !

Un développeur Russe du nom de Egor Homakov a exploité une faille dans Rails découverte l’année dernière et ainsi pu accéder (virtuellement) à l’ensemble des comptes Github. La faille se situe au niveau des variables attr_accessible et attr_protected qui si elles ne sont pas déclarées, permettent à des petits malins d’ajouter une valeur dans n’importe quelle colonne de votre base de données.

Étant donné que la plupart des développeurs ne sécurisent pas cette partie, il y a de nombreuses applications Rails qui sont faillibles dont Github.

Pour se connecter sur un compte utilisateur qui ne lui appartient pas, le hacker n’a qu’à simplement éditer la page web avec un Firebug et ajouter un champ HTTP qui lui permet de voir ou de modifier certaines valeurs en base. Je ne rentre pas plus dans les détails, car je ne connais pas suffisamment RoR pour vous donner une leçon de sécurisation, mais je vous invite à lire cet excellent article.

Comme chez Rails, ça n’a pas réagit, Ergor a fait un full disclosure sur son blog et maintenant la faille est corrigée, y compris chez Github… (qui a corrigé et full disclosé le problème… bravo ! Mais qui a bloqué le compte de Egor… pas cool ! pour enfin le réactiver suite à la pression populaire…).

Par contre, tapie dans l’ombre sur d’autres services obscurs, cette faille attend paisiblement que quelqu’un de mal intentionné s’en empare… Ça va fuiter chérie !

Merci à Fred pour l’info !


NordVPN à moins de 3€/mois

-68% 3,3€/mois durant 2 ans

Protection en un clic, fonctionnalité Kill Switch, masquage de votre adresse IP, prise en charge des partages de fichiers en p2p, protection contre les malwares et les pubs, streaming sans interruption, test de fuite DNS et même possibilité de coupler l’outil avec l’anonymat de The Onion Router … sont quelques-unes des autres options disponibles.

NordVPN a tissé une toile de serveurs dans le monde entier (plus de 5 500 dans 60 pays) permettant ainsi de se localiser dans la zone géographique de son choix. Vous avez envie d’un Anime japonais ou bien d’une exclusivité US ? Aucun problème. À vrai dire, vous pouvez même vous localiser en France en cas de déplacement à l’étranger.

En complément de cet impressionnant réseau, NordVPN a aussi développé la fonctionnalité SmartPlay qui permet d’accéder en toute sécurité aux contenus qui sont normalement inaccessibles. C’est un système de SmartDNS performant qui ne nécessite pas d’intervention complexe, vous profitez d’une connexion sécurisée et vous visionnez le contenu de votre choix en streaming sans vous prendre la tête.

Profiter de la promo



Les articles du moment