Si vous utilisez
MyBlogLog, vous l’aurez certainement remarqué hier : vous avez été déconnecté. Raison de cette déconnexion est le fix d’
un problème de sécurité que j’ai signalé il y a plus d’un mois par mail et qui a enfin été solutionné.
Extrait du mail envoyé le 16 janvier 2007 à bugs@mybloglog.com:
Deleting mbl_user and mbl_pass and modifying mbl_sid (using the id found in an avatar filename) from cookies can make people fake someone is visiting their blog as I explained here (french):
http://www.emich.be/fr/2007/01/16/comment_tricher_avec_mybloglog/
Je n’ai jamais eu de réponse et le bug a encore existé jusqu’à hier. Ce n’est que ce matin en lisant
Pascal Vanhecke que je vois que le problème à une fois de plus été signalé avant-hier par un autre site,
ShoeMoney, qui
a été banni de MyBlogLog depuis. Voici
un commentaire de
Eric Marcoullier de MyBlogLog chez Pascal, qui tente d'expliquer pourquoi il n'a pas reçu le mail de ce ‘quelqu’un’ il y a plus d'un mois :
That is truly amazing and embarrassing that someone sent us details of this hack a month ago. I’ve checked my historical email (I receive all the incoming emails) and cannot find it, so it either got spam filtered or lost during my transition to a new laptop. Neither is really no excuse. As you may have heard, we’re hiring a community manager who will help ensure that this sort of oversight will not happen in the future.
Bon alors, qui a envie d’aller bosser pour
Yahoo, qui a racheté
MyBlogLog ?
