Utilisation de socat avec Tor

Bonjour à tous …

Alors voilà, dans mes éternelles idées stupide, j’ai voulu rediriger des ports de mon ordi sur d’autres ordis via le réseaux tor

L’intérêt ?? L’anonymité bien sûr xD. (et d’autre chose bien plus suptile, mais bon :)).

Imaginons (simple exemple (très inutile)), que l’on veuille ce connecter au superbe site php-engineering.info (donc au port 80), en passant par une addresse local, qui redirigera via le proxy tor au site du domaine php-engineering.info.

Les outils :

socat et tor (a installer si ça n’est pas déjà fait).

La commande de socat à exécuter :

socat TCP4-LISTEN:1337,fork SOCKS4A:localhost:www.php-engineering.info:80,socksport=9050

(avec tor sur le port 9050 bien sûr ^^).

Ensuite, prenez votre navigateur favoris et allez à l’adresse http://127.0.0.1:1337, et là comme par magie vous tombez sur le site de php-engineering.info. Oui mais la vous allez dire : qu’est-ce que tu nous sort là … on a des proxy qui nous permettent de faire ça … (via privoxy ou autres astuces).

Oui, mais là l’astuce c’est que l’on peut utiliser notre navigateur, mais aussi d’autre logiciel qui ne peuvent pas utiliser des proxies (qui a dit nmap??).

Donc voilà … vous voulez jouer à ETQW sur un serveur via un proxy tor … vous avez la solution ;).

Vers un diplôme reconnu pour les référenceurs ?

Bijour à tous …

Grosse nouvelle du jour, l’IUT d’info de Mulhouse (68 – En Alsace!!) a ouvert une formation de référenceur xD. La première dans le domaine qui aboutirait à un vrai diplôme de référenceur!!

Plus d’info : Le blog d’abondance et le site de l’iut

Y sont fort les Alsaciens quand même … et en plus la formation serait parrainé par M. Olivier Andrieu un Heiligensteinois (un Alsacien quoi ;)) et l’un des maitres incontestés ^^ en france sur le référencement autant dire que la formation est prometteuse (si bien entendu il enseigne ou participe à l’enseignement … parce que bon ça bouge le web et qu’il faut des personnes en avant-garde dans le domaine).

Pour la formation : (repiqué du blog à Olivier … c’est mal je sais).

La formation comprend 1650 heures environ hors congés réparties sur une année dont :
– 480 heures de formation académique (Cours, Travaux Dirigés et Travaux Pratiques) ? soit 16 semaines de 30 heures.
– 150 heures de projet tuteuré.
– 29 semaines environ de 35 heures de mission en entreprise.

Si après ma licence je trouve pas de boulot … je sais quoi faire 😉 (en espérant que la formation soit encore accessible l’an prochain ^^).

IDE C++/QT4 edyuk

Bonjour à tous …

Aujourd’hui la présentation (rapide) d’un IDE qui a pas mal de potentiel (et en plus dev par un français ^^).
Les fonctionnalités (qui m’ont pas mal poussé à le choisir comme IDE principal de dev en C++) :

  1. Auto-complétion (à faire pâlir ctags (c’était pas dur ^^) et VS (là fallait le faire)). Pour exemple, si on fait un truc du genre : monobjet1->mamethode2->mamethode3 … l’IDE récupère le type et l’ensemble des méthodes accessible pour la méthode/le type retourné par la méthode, donc c’est un peu plus propre que netBeans et la plus part des logiciels qui utilise ctags.
  2. Débogage, là une bonne intégration de GDB (bien que codelite fasse mieux), il est possible de voir directement le contenu de la variable que l’on veut.
  3. Intégration des logiciels de QT4 (assistant et designer), là il est possible directement de faire comme dans VS, c’est à dire construire directement les fenêtres dans un projet, puis de crée les fichiers pour interagir avec. et pour l’assistant … ça donne un peu l’équivalent de l’inclusion de MSDN dans VS.
  4. Diverses méthode de compilation d’un projet : debug, release, all … comme VS ??
  5. Système de plugins l’auteur avait pas mal défendu son logiciel sur le forum d’ubuntu-fr avec son système de plugins, mais hélas, j’en ai trouvé aucun.

Pour les screens : le site officiel

Le gros ennui de l’IDE c’est que y’a pas de paquet pour ubuntu, donc faut le compiler … mais comme je suis gentil … j’ai fait un paquet via checkinstall (et non je me suis pas foulé xD) :edyuk_20080625-1_i386

Quelque rapide screens quand même ^^ :

Ubuntu et TNT avec me-tv

Bonjour à tous …

Aujourd’hui, tuto sur la TNT, avec une rapide astuce pour générer les fichiers nécessaires à l’utilisation de l’application me-tv, une application dédié à la TNT, qui permet entre autre de sauter les frames HS, les sautes de sons et autre problème qui parfois font planter/laguer kaffeine (il vous faut bien entendu un adaptateur/récepteur TNT).

Tout d’abord, il vous faut : w_scan (si le lien ne marche plus). Ce logiciel sert à trouver l’ensemble des canaux disponible.

Une fois dézipper, faites juste un :

./w_scan -x > donnee_initial.txt

Ensuite, si vous avez le paquet dvb-utils d’installé (sinon, installez le;)) et faite un :

 scan donnee_initial.txt ~/.me-tv/channels.conf

puis (installez si c’est pas déjà fait) lancez me-tv ;).

Se protéger contre la failles CSRF

Bonjour,

Avec la technologie ajax, les failles CSRF commencent à fleurirent sur internet. Mais qu’est-ce que la faille CSRF ?

Un petit tour sur Wikipedia suffit, ça signifie : Cross-Site Request Forgeries, en fait, il s’agit d’une technique très simple de hacking, qui consiste à rediriger une personne (de préférence un administrateur), sur son site avec des requêtes (en GET ou en POST cf. Protocole HTTP) susceptible de porter atteinte au contenu du site web.

Exemple :

Soit le Pigeon P, administrateur d’un site web dans lequel l’url suivante : http://p-site/post.php?titre=titre&art=article permet l’ajout d’un article avec le titre et le contenu de l’article (exemple stupide).

Imaginons, que P fréquente souvent un forum F, et qu’un Hacker H le sache, il suffit à H de mettre le code suivant comme avatar : http://p-site/post.php?titre=Owned&art=hacked, générant donc sur le forum F, le code suivant : <img src= »http://p-site/post.php?titre=Owned&art=hacked » />, lorsque P regardera le post du hacker H, son navigateur cherchera l’image du lien, et executera l’ajout de l’article (si P était encore authentifié sur son site bien sûr …).

Vous aurez donc très vite compris l’interêt de ce déconnecter d’un site web, d’un forum ou d’un blog tous de suite après avoir effectué vos actions courante …

Bien entendu ce protéger de ce genre d’attaque peut être mieux que de ce déconnecter à chaque fois, d’autant plus que parfois, ça arrive, on oublie de ce déconnecter.

Une technique de protection pour une requête de type POST peut-être la suivante :

$url_de_votre_site="http://www.php-engineering.info/";
if($_SERVER['REQUEST_METHOD']=="POST" AND
!preg_match("#^".$url_de_votre_site."#i",$_SERVER['HTTP_REFERER']))
{
echo "Tentative de CSRF sur un formulaire";
exit;
}
?>

Une technique de protection pour une requête de type GET peut-être la suivante :

$url_de_votre_site="http://www.php-engineering.info/";

//les fichiers auquels on ne peut accéder directement via un autre site
$tab_fichier_interdit[]="edit.php";
$tab_fichier_interdit[]="supprime.php";

if($_SERVER['REQUEST_METHOD']=="GET" AND
!preg_match("#^".$url_de_votre_site."#i",$_SERVER['HTTP_REFERER']))
{
$f=substr($_SERVER['REQUEST_URI'],0,strrpos($_SERVER['REQUEST_URI'],"?"));
//on enlève ce qui est après le ?
$f=substr($f,strrpos($f,"/")+1,strlen($f));
//on isole le nom du fichier

//et on regarde si c'est un fichier qui ne doit pas être accéder
//directement depuis un autre site web
if(in_array($f,$tab_fichier_interdit))
{
echo "Tentative de CSRF sur une url";
exit;
}
}

Bon, bien sûr, il existe d’autre technique, comme mettre un captcha.

Mais pourquoi ai-je critiqué l’ajax ?

Tous simplement, parce que la plupart du temps les développeurs ajax, préfère utiliser du get que du post … aller savoir pourquoi (avec scriptaculous, que ce soit en GET ou en POST c’est presque la même chose).

A noter que par exemple gmail n’utilise que du get dans son système de mail … il paraitrait que des hackers se sont pas mal amusé avec, et qu’il existerait encore des failles … penser à vous déconnecter.

PHP … ^^

Bijour à tous … encore une fois (n’est pas coutume …) je parle de PHP, en effet, je suis tombé sur un superbe blog (et non c’était pas le mien ^^), qui regroupe quelque classes en PHP qui peuvent être utiles :

le lien vers le blog

Entre autre classes intéressantes :

Pour en rajouter quelques autres intéressant qui n’ont pas été malheureusement posté sur ce blog, qui semblet-il fait fureur chez les dev’s PHP :

  • xdebug qui permet de debugger des scripts PHP, avec des « backtraces » assez sympa … c’est pas réellement une classe … mais c’est classe quand même ^^, a noter que d’autre outils sont inclus dans php pour faire des choses similaires comme APC : http://fr2.php.net/apc
  • xajax ^^ qui permet de créer et d’utiliser des scripts Ajax via PHP

ça fait déjà trop de PHP ici … ++