Un développeur Russe du nom de Egor Homakov a exploité une faille dans Rails découverte l’année dernière et ainsi pu accéder (virtuellement) à l’ensemble des comptes Github. La faille se situe au niveau des variables attr_accessible et attr_protected qui si elles ne sont pas déclarées, permettent à des petits malins d’ajouter une valeur dans n’importe quelle colonne de votre base de données.

Étant donné que la plupart des développeurs ne sécurisent pas cette partie, il y a de nombreuses applications Rails qui sont faillibles dont Github.

Pour se connecter sur un compte utilisateur qui ne lui appartient pas, le hacker n’a qu’à simplement éditer la page web avec un Firebug et ajouter un champ HTTP qui lui permet de voir ou de modifier certaines valeurs en base. Je ne rentre pas plus dans les détails, car je ne connais pas suffisamment RoR pour vous donner une leçon de sécurisation, mais je vous invite à lire cet excellent article.

Comme chez Rails, ça n’a pas réagit, Ergor a fait un full disclosure sur son blog et maintenant la faille est corrigée, y compris chez Github… (qui a corrigé et full disclosé le problème… bravo ! Mais qui a bloqué le compte de Egor… pas cool ! pour enfin le réactiver suite à la pression populaire…).

Par contre, tapie dans l’ombre sur d’autres services obscurs, cette faille attend paisiblement que quelqu’un de mal intentionné s’en empare… Ça va fuiter chérie !

Merci à Fred pour l’info !

Lundi, ce n’est pas le jour des enfants ! En général, j’attends plutôt le mercredi ou le vendredi pour ce genre de conneries, mais là c’est tellement énorme que tant pis, j’annonce !

Même si votre productivité chute de 99%, je vous invite à vous détendre en faisant une petite partie de Mari0 (avec un zéro), un mashup entre Mario et Portal.

En gros, en plus de la moustache, vous avez un portal gun !

Grosse éclate ! Il est possible de jouer jusqu’à 4 et il y a même un éditeur de niveau qui permet de faire tout un tas de choses en plus de créer vos propres levels. Le jeu est open source, et dispo sous Windows, Mac et Linux.

N’oubliez pas… Tout ce qui ne vous tue pas, vous rend plus petit !

Source, Citation et Photo

Voici un petit hack Kinect plutôt sympa puisqu’il permet à n’importe qui de générer un objet 3D (format STL ou OBJ) à partir de n’importe quelle scène. ReconstructMe fonctionne uniquement avec le Kinect pour Xbox360 (pas la version pour Windows) ou le Asus Xtion et permet de scanner uniquement des objets qui entre dans un mètre cube.

N’empêche, la techno est top puisqu’à partir de ça, n’importe qui avec peu de matériel peut créer à moindre frais ses objets 3D sans avoir à les modéliser à la main, pour ensuite les imprimer (en 3D) ou les importer dans des jeux vidéos ou des mondes virtuels.

Pas mal !

Source

Si vous êtes un véritable accro à Minecraft, peut-être ressentez-vous des démangeaisons sur tout le corps lorsque la journée, au boulot, vous ne pouvez pas jouer avec vos blocs préférés…

Annulez votre rendez-vous chez le psy, j’ai ce qu’il vous faut ! Notch a mis en ligne une version « classic » et complète de son œuvre, jouable dans tous les navigateurs puisque c’est en java.

La version classic, c’est celle où il n’y a pas de monstres et où vous pouvez passer votre temps à crafter !

Bref, un bon moyen de continuer à assouvir votre passion sans rien demander à personne…

• Jouer à Minecraft Classic en solo
• Jouer à Minecraft Classic en multijoueur
• Et le soft server pour héberger vos propres parties de Minecraft classic

Amusez-vous bien et bon lundi !

Photo et source

Yooo !
J’suis revenu, en pleine forme et comme il s’est passé plein de trucs pendant que j’étais absent, voici un article condensé de tout ce qui m’a interpellé pendant ma grosse semaine d’absence !

Bonne lecture ! Maintenant, j’ai une tonne de taf à abattre alors je vous souhaite de passer un bon week-end !

• La première vidéo de Boot2Gecko dont je vous ai déjà parlé ici.
• Un mec met en ligne une vidéo sur YouTube avec des chants d’oiseaux, et paf, violation de copyright ! Saleté de piafs voleur d’ayant-droits !
• Cet éditeur visuel sera peut-être le prochain éditeur de Wikipedia. Je le trouve juste parfait ! Éditer la page directement, c’est classe 🙂
• Le DPI, La France, Amesys… à lire quoi !
• Un téléphone Android, un dock HDMI, Ubuntu et hop, voilà un ordinateur de bureau qui tient dans la poche !
• Dégager les DRM sur les iBooks d’Apple c’est possible ! Vivement le plugin pour Calibre.
• Et voilà encore Paypal qui bloque des comptes sans décision de justice… simplement sur demande d’un tiers. Flippant !
• Kim Dotcom libéré sous caution… Il est sûr de gagner.
• Aaah ceci explique cela… Bravo Régis Didier.
• Ils sont tous sur le dos de Free Mobile et pourtant, l’hémoglobine n’est plus rouge, mais orange.
• Rapidshare réduit le débit… surement par peur du FBI 🙂
• Pourquoi Wikipedia est interdit en Ouzbékistan ?
• La team uTorrent a mis sur les rails le développement d’un véritable client torrent pour Android.
• Grooveshark vient d’être bloqué au Danemark.. snif.
• Dis papa, à quoi ça ressemble un logiciel de Ddos ?
• Twitter va vendre nos données… comme Facebook, comme les autres… Quand c’est gratuit, c’est nous les produits.
• Tous criminels ? Oui, même vous !
• Le Front National qui veut réécrire l’histoire de la Syrie ? Hallucinant. (et bonne enquête).
• Vive le télétravail ! D’ailleurs, ami patron et ami gouvernement (chef des fonctionnaires), pourquoi ne laisses-tu pas le choix du télétravail à ceux qui le demandent et dont l’activité le permet ? C’est tout bénef ! Moins de transport, plus d’efficacité, des économies pour tout le monde, plus de bonheur dans le coeur des gens… 🙂
• Le code open source est aussi bien, voire meilleur que le code source propriétaire. C’est une étude très sérieuse et un bon argument contre ceux qui pensent encore que le code open source c’est merdique.
• Handbrake 0.9.6 est sorti.
• Windows Azure est tombé en panne.
• La vie des Simpsons en 1 seule image.
• Youporn qui laisse trainer des logs … et hop, c’est la fête pour les pirates.
• Backtrack 5 R2 est dispo et Metasploit 4.2.0 aussi.
• 5 vidéos anti Apple pour le fun #notroll
• Bientôt des DRM dans HTML5 ?
• Si vous trouvez une faille dans Chrome / Chromium, vous pouvez empocher 1 million !
• Tiens, tiens, une nouvelle version d’Apache.
• Le Fair Use d’Hadopi…
• Piège de Freestyle sur Hadopi (Avec 2 sec d’Hédia !).
• Scanner un fossile et l’imprimer avec une imprimante 3D ! Les dinosaures sont ravis !
• Un peu d’art avec ces super héros de polygones.
• Microsoft Flight (jeu) est dispo gratuitement.
• Interpol a bien bossé et a arrêté plusieurs (et très dangereux script kiddies) anonymous.
• Le MinION est un petit appareil USB très mignon qui permet de séquencer de l’ADN. Il coûte à peine 900 $.
• Inception Park
• Il y aura 3 versions de Windows 8.
• Pilotage de fauteuil roulant avec la langue ! C’est hyper tech et absolument génial !
• Tout savoir sur Windows 95 avec les héros de Friends.
• Les cons, ça ose tout !
• Wikileaks revient en force avec la publication d’emails de Stratfor. C’est beau, j’en ai la larme à l’oeil !
• Première interview de Kim Dotcom après sa sortie de zonzon.
• La police française censure et saisit le matériel d’un auteur de BD à l’humour douteux (De l’humour illégal ??)
• Un bon petit hack pour accélérer l’affichage des écrans e-ink.
• Pas besoin d’une plateforme ou d’un serveur pour blogger… Une simple Dropbox suffit pour créer votre blog.
• Que faire si une voiture vous a pris en filature ?
• Piwik, l’outil de stats vient de sortir en version 1.7
• Et ça y est, il n’y a plus de .torrent sur The Pirate Bay ! Uniquement des liens magnets !
• La consumer preview de Windows 8 est dispo ! Bon test !
• Ubuntu 12.04 beta 1 est dispo
• Le Raspberrypi est en vente.
• Visual Studio 11 beta et le framework .NET 4.5 beta sont téléchargeable chez Microsoft.
• Bosser depuis sa voiture, c’est parfaitement faisable !
• La reconnaissance faciale de tous les Français, ça ne sera peut-être plus de la science-fiction dans quelque temps.