Parce que ce n’est pas tous les jours qu’on se fait référencer par TechCrunch.com et qu’on apparaît sur leur homepage concernant l'histoire MyBlogLog.

Si vous utilisez MyBlogLog, vous l’aurez certainement remarqué hier : vous avez été déconnecté. Raison de cette déconnexion est le fix d’un problème de sécurité que j’ai signalé il y a plus d’un mois par mail et qui a enfin été solutionné.

Extrait du mail envoyé le 16 janvier 2007 à bugs@mybloglog.com:

Deleting mbl_user and mbl_pass and modifying mbl_sid (using the id found in an avatar filename) from cookies can make people fake someone is visiting their blog as I explained here (french):

http://www.emich.be/fr/2007/01/16/comment_tricher_avec_mybloglog/

Je n’ai jamais eu de réponse et le bug a encore existé jusqu’à hier. Ce n’est que ce matin en lisant Pascal Vanhecke que je vois que le problème à une fois de plus été signalé avant-hier par un autre site, ShoeMoney, qui a été banni de MyBlogLog depuis. Voici un commentaire de Eric Marcoullier de MyBlogLog chez Pascal, qui tente d'expliquer pourquoi il n'a pas reçu le mail de ce ‘quelqu’un’ il y a plus d'un mois :

That is truly amazing and embarrassing that someone sent us details of this hack a month ago. I’ve checked my historical email (I receive all the incoming emails) and cannot find it, so it either got spam filtered or lost during my transition to a new laptop. Neither is really no excuse. As you may have heard, we’re hiring a community manager who will help ensure that this sort of oversight will not happen in the future.

Bon alors, qui a envie d’aller bosser pour Yahoo, qui a racheté MyBlogLog ?

Whoa, d’après mon widget MyBlogLog je compte Brice Le Blévennec et Loïc Le Meur parmi mes lecteurs. En fait pas vraiment. En fouillant un peu, on peut trouver un léger souci de sécurité dans MyBlogLog qui permet de faire croire à vos lecteurs que certaines personnes passent de temps en temps chez vous. Explications ? Oui ? OK...

Lorsque vous vous identifiez sur MyBlogLog, quelques cookies sont mis au niveau du serveur « .mybloglog.com » :

• mbl_user : votre login
• mbl_pass : un hash de votre password
• mbl_rem : remember me ?
• mbl_sid : votre ID sur mybloglog

Ces cookies sont valables pour tous ceux qui incluent le tracker MyBlogLog sur leurs pages. MyBlogLog fait l’association entre l’ID du visiteur (via cookie) et l’ID du script pour savoir qui visite qui.

Enfin, commençons. Nous aurons dans ce petit tour de magie besoin d’un outil permettant de modifier les cookies. Pour cela, il existe une extension Firefox nommée Add N Edit Cookie Editor qui est très pratique et que vous pouvez télécharger ici.

Une fois installée, allons ensuite voir sur MyBlogLog. Prenons le profil de Loïc Le Meur. Cliquez avec le bouton droit sur son avatar et ensuite sur propriétés afin de voir le nom de l’image de son avatar. Ce nom contient son ID (voir soulignement rouge sur image ci-dessus). Copiez cet ID et ouvrez ensuite l’éditeur de cookie que vous venez d’installer à l’instant (outils > éditeur de cookie).

Scrollez vers mybloglog.com et sélectionnez les cookies mbl_user et mbl_pass (ces deux vont automatiquement vous identifier et ecraser mbl_sid) et cliquez sur ‘supprimer’. Confirmez la suppression. Sélectionnez ensuite mbl_sid et appuyez sur éditer. Remplacez votre ID par l’ID de Loïc dans le champ contenu, donc, 2006081205494003. Cliquez sur ‘sauvegarder’ et ensuite ‘fermer’. Allez finalement vers votre site où vous avez le widget et le tour est joué. Une fois que c’est fait, n’oubliez pas d’effacer le cookie mbl_sid, sauf si vous voulez faire croire à toute votre communauté qu’une certaine personne vous lit.

Une idée serait peut-être de rendre moins visible le ID dans MyBlogLog, voire de se baser uniquement sur mbl_user et mbl_pass.

PS : J’ai pris l’exemple de Loïc et Brice car se sont 2 visages connus sur la toile qui ne font que je sache pas partie de mes lecteurs.