Twitter et rails


#1

Bonjour,
Avec tout le bruit autour des attaques de twitter, je me pause quelque
petites questions (dont vous avez peut être les réponses) :

  • twitter utilise encore ROR ?
  • et si oui cette attaque met elle en cause une faille de ROR ? (selon
    mais
    recherche non mais bon…)

Merci pour vos réponses


#2

2009/1/7 guillaume belleguic removed_email_address@domain.invalid

  • et si oui cette attaque met elle en cause une faille de ROR ? (selon
    mais recherche non mais bon…)

D’après ce que j’ai entendu dire c’était juste qu’ils avaient des mot de
passe pourris mais je n’en sais pas vraiment plus.


Nicolas Mérouze
http://www.yeastymobs.com


#3

http://www.theregister.co.uk/2009/01/07/twitter_hack_explained/

2009/1/7 Nicolas Mérouze removed_email_address@domain.invalid


#4

faut quand même penser à le remettre à zéro de temps en temps non ?

2009/1/7 Guillaume B. removed_email_address@domain.invalid


#5

en lisant la fin de l’article j’ai pensé à un truc tout con anti “force
brute” mais qui n’est que très peu gênant pour l’utilisation normale : a
chaque essai on double le delai d’attente pour l’essai suivant.

ainsi les 2 ou 3 essais se passent de manière transparente. et si qqu’un
cherche vraiment son mot de passe, ça lui prendra éventuellement du
temps (Ã
la 10e tentative on est déjà au quart d’heure si on avait initialisé le
délai à 2 secondes) mais ça restera toujours possible.

c’est mon autoradio qui avait ça (pour mettre le code après l’avoir
débranché), j’ai trouvé ça d’un rapport simplicité/efficacité déroutant
(((-:

gUI

Le 7 janvier 2009 22:05, Pierre V. removed_email_address@domain.invalid a écrit
:


Pour la santé de votre ordinateur, préférez les logiciels libres.
Lire son mail : http://www.mozilla-europe.org/fr/products/thunderbird/
Browser le web : http://www.mozilla-europe.org/fr/products/firefox/
Suite bureautique : http://fr.openoffice.org/


#6

Merci pour vos réponses.
Effectivement l’attaque par dictionnaire est à prendre en compte…

2009/1/8 Guillaume B. removed_email_address@domain.invalid


#7

Le 8 janvier 2009 00:07, Pierre V. removed_email_address@domain.invalid a écrit
:

faut quand même penser à le remettre à zéro de temps en temps non ?

dès que le mot de passe est bon bien sur !

gUI


Pour la santé de votre ordinateur, préférez les logiciels libres.
Lire son mail : http://www.mozilla-europe.org/fr/products/thunderbird/
Browser le web : http://www.mozilla-europe.org/fr/products/firefox/
Suite bureautique : http://fr.openoffice.org/


#8

Le 7 janv. 09 à 22:45, Guillaume B. a écrit :

en lisant la fin de l’article j’ai pensé à un truc tout con anti
“force brute” mais qui n’est que très peu gênant pour l’utilisation
normale : a chaque essai on double le delai d’attente pour l’essai
suivant.

ainsi les 2 ou 3 essais se passent de manière transparente. et si
qqu’un cherche vraiment son mot de passe, ça lui prendra
éventuellement du temps (à la 10e tentative on est déjà au quart
d’heure si on avait initialisé le délai à 2 secondes) mais ça
restera toujours possible.

Pas bête du tout ! J’ai presque envie d’en faire un plugin …

Nicolas C.
http://www.bounga.org
http://www.cavigneaux.net


#9

Guillaume B. wrote:

en lisant la fin de l’article j’ai pensé à un truc tout con anti “force
brute” mais qui n’est que très peu gênant pour l’utilisation normale : a
chaque essai on double le delai d’attente pour l’essai suivant.

ainsi les 2 ou 3 essais se passent de manière transparente. et si qqu’un
cherche vraiment son mot de passe, ça lui prendra éventuellement du
temps (Ã
la 10e tentative on est déjà au quart d’heure si on avait initialisé le
délai à 2 secondes) mais ça restera toujours possible.

Augmenter le délai, oui mais il faut faudra fixer une limite supérieure,
parce que sinon, il va y avoir une attaque très simple à mettre en
place: un robot qui rempli des mdp bidons simplement pour faire
augmenter les timers sur des milliers de compte, de cette manière quand
l’utilisateur légitime va vouloir se connecter il va se faire jeter et
devra attendre 10 minutes.


Vidéos de formation à distance sur http://www.digiprof.fr


#10

mouais… c’est vrai que c’est pas très adapté au net ce truc…
dommage, je
trouvais ça cool (-;

gUI

Le 8 janvier 2009 16:52, Cyril M. removed_email_address@domain.invalid a écrit :

temps (Ã
devra attendre 10 minutes.


Pour la santé de votre ordinateur, préférez les logiciels libres.
Lire son mail : http://www.mozilla-europe.org/fr/products/thunderbird/
Browser le web : http://www.mozilla-europe.org/fr/products/firefox/
Suite bureautique : http://fr.openoffice.org/


#11

Guillaume B. a écrit :

en lisant la fin de l’article j’ai pensé à un truc tout con anti “force
brute” mais qui n’est que très peu gênant pour l’utilisation normale : a
chaque essai on double le delai d’attente pour l’essai suivant.

ainsi les 2 ou 3 essais se passent de manière transparente. et si qqu’un
cherche vraiment son mot de passe, ça lui prendra éventuellement du
temps (à la 10e tentative on est déjà au quart d’heure si on avait
initialisé le délai à 2 secondes) mais ça restera toujours possible.

Ton concept approfondi sur Coding Horror :
http://www.codinghorror.com/blog/archives/001206.html

Après le problème si on filtre sur l’IP (pour eviter un DOS) est qu’on peut
toujours utiliser un botnet comme dit Cyril.
Si on ne filtre pas sur l’IP on peut mettre une limite supérieure; et
ajouter un
CAPTCHA au bout d’un certain nombre de tentatives comme indiqué dans
l’article.


#12

Le 9 janv. 09 à 11:51, Jean-Philippe M. a écrit :

Si on ne filtre pas sur l’IP on peut mettre une limite supérieure;
et ajouter un
CAPTCHA au bout d’un certain nombre de tentatives comme indiqué dans
l’article.

Ca reste de loin la meilleure solution que j’ai pu voir pour résoudre
ce problème. Pour ma part, je laisse 3 essais sans CAPTCHA puis les
essais consécutifs auront besoin d’une validation CAPTCHA. Cette
dernière n’est plus nécessaire dès lors que log-in (avec CAPTCHA) a
réussi.

Nicolas C.
http://www.bounga.org
http://www.cavigneaux.net


#13

Fernando P. wrote:

délai à 2 secondes) mais ça restera toujours possible.

Augmenter le délai, oui mais il faut faudra fixer une limite supérieure,
parce que sinon, il va y avoir une attaque très simple à mettre en
place: un robot qui rempli des mdp bidons simplement pour faire
augmenter les timers sur des milliers de compte, de cette manière quand
l’utilisateur légitime va vouloir se connecter il va se faire jeter et
devra attendre 10 minutes.

Sauf si tu limites le temps de connections à l’IP. Par contre à coup de
botnet, la protection n’existe plus.


Cyril M.
http://blog.shingara.fr