Comments on: Entreparticuliers.com ne corrige pas ses failles de sécurité http://www.dauran.com/213/entreparticulierscom-ne-corrige-pas-ses-failles-de-securite/ Fri, 25 Jul 2008 10:43:57 +0000 http://wordpress.org/?v=2.5.1 By: ibob http://www.dauran.com/213/entreparticulierscom-ne-corrige-pas-ses-failles-de-securite/#comment-1515 ibob Tue, 01 Apr 2008 07:16:47 +0000 http://www.dauran.com/213/entreparticulierscom-ne-corrige-pas-ses-failles-de-securite/#comment-1515 le dossier s'alourdit: http://www.journaldunet.com/ebusiness/internet/interview/080401-seloger-plainte-entreparticuliers-yakaz-gloobot.shtml Extrait: Pour être honnête, nous sommes en procès avec Enterparticuliers.com. Nous les avons assigné pour nous avoir volé notre base de données de petites annonces d'immobilier neuf. Ce pillage s'est produit en 2006 et nous avons décidé de porter plainte fin 2007. Nous leur réclamons 628.000 euros de dommages et intérêts. J'ai un certain nombre de réserves sur leurs pratiques commerciales… le dossier s’alourdit:

http://www.journaldunet.com/ebusiness/internet/interview/080401-seloger-plainte-entreparticuliers-yakaz-gloobot.shtml

Extrait:

Pour être honnête, nous sommes en procès avec Enterparticuliers.com. Nous les avons assigné pour nous avoir volé notre base de données de petites annonces d’immobilier neuf. Ce pillage s’est produit en 2006 et nous avons décidé de porter plainte fin 2007. Nous leur réclamons 628.000 euros de dommages et intérêts. J’ai un certain nombre de réserves sur leurs pratiques commerciales…

]]> By: Des numéros de CB librement accessible sur un site d’annonces immobilières | ToCoda.Fr http://www.dauran.com/213/entreparticulierscom-ne-corrige-pas-ses-failles-de-securite/#comment-1514 Des numéros de CB librement accessible sur un site d’annonces immobilières | ToCoda.Fr Mon, 31 Mar 2008 17:42:57 +0000 http://www.dauran.com/213/entreparticulierscom-ne-corrige-pas-ses-failles-de-securite/#comment-1514 [...] Avec une simple requête sur Google il est possible d’accéder aux numéros ainsi que la date d’expiration et le crypto visuel derrière la carte, en bref toutes les infos nécessaires à l’achat en ligne. On peut voir sur le blog de Dauran une copie d’écran très explicite… Déjà que les méthodes commerciales de ce site ne sont vraiment pas terribles, si en plus ils laissent une faille de sécurité aussi grande encore ouverte plus d’une semaine après sa découverte… [...] [...] Avec une simple requête sur Google il est possible d’accéder aux numéros ainsi que la date d’expiration et le crypto visuel derrière la carte, en bref toutes les infos nécessaires à l’achat en ligne. On peut voir sur le blog de Dauran une copie d’écran très explicite… Déjà que les méthodes commerciales de ce site ne sont vraiment pas terribles, si en plus ils laissent une faille de sécurité aussi grande encore ouverte plus d’une semaine après sa découverte… [...]

]]> By: phil http://www.dauran.com/213/entreparticulierscom-ne-corrige-pas-ses-failles-de-securite/#comment-1506 phil Mon, 31 Mar 2008 13:37:31 +0000 http://www.dauran.com/213/entreparticulierscom-ne-corrige-pas-ses-failles-de-securite/#comment-1506 @arnaud jeulin, pour les impr ecran , je trouve que ca vaut le coup d'oeil, tu peux en montrer d'autres. ok pour l'url, Mais peux tu montrer en copie ecran le debut de l'adresse et masquer le blablabla stp . @arnaud jeulin,

pour les impr ecran , je trouve que ca vaut le coup d’oeil, tu peux en montrer d’autres. ok pour l’url, Mais peux tu montrer en copie ecran le debut de l’adresse et masquer le blablabla stp .

]]> By: Arnaud Jeulin http://www.dauran.com/213/entreparticulierscom-ne-corrige-pas-ses-failles-de-securite/#comment-1504 Arnaud Jeulin Mon, 31 Mar 2008 10:26:20 +0000 http://www.dauran.com/213/entreparticulierscom-ne-corrige-pas-ses-failles-de-securite/#comment-1504 Flouter l'url ? c'est une url du genre http://www.entreparticuliers.com/blablablabla :) Je peux mettre d'autres copies d'écran mais ça va être un peu lourd à lire. Sinon la faille est toujours là et je n'ai pas de réponse à mes messages. Flouter l’url ? c’est une url du genre http://www.entreparticuliers.com/blablablabla :)
Je peux mettre d’autres copies d’écran mais ça va être un peu lourd à lire.

Sinon la faille est toujours là et je n’ai pas de réponse à mes messages.

]]> By: ant http://www.dauran.com/213/entreparticulierscom-ne-corrige-pas-ses-failles-de-securite/#comment-1485 ant Fri, 28 Mar 2008 17:46:38 +0000 http://www.dauran.com/213/entreparticulierscom-ne-corrige-pas-ses-failles-de-securite/#comment-1485 @ Arnaud Jeulin, peut tu stp ajouter d'autres impr ecran en flouttant, puisque nous on peut pas voir tout et seulement un apercu. tu peux pas floutter legerement l'url en laissant apparaitre le debut avec le nom du site , comme tu as fait pour les numeros ? @ Arnaud Jeulin,

peut tu stp ajouter d’autres impr ecran en flouttant, puisque nous on peut pas voir tout et seulement un apercu.

tu peux pas floutter legerement l’url en laissant apparaitre le debut avec le nom du site , comme tu as fait pour les numeros ?

]]> By: ibob http://www.dauran.com/213/entreparticulierscom-ne-corrige-pas-ses-failles-de-securite/#comment-1484 ibob Fri, 28 Mar 2008 17:17:53 +0000 http://www.dauran.com/213/entreparticulierscom-ne-corrige-pas-ses-failles-de-securite/#comment-1484 @Seb: en faisant un petit tour sur le site en question il y a 5 minutes, je viens de trouver un moyen de modifier les annonces en 2 clics, d'avoir les coordonnées du vendeur, email, facture, etc (mais pas la cb) ... Une vrai passoire ce site! Vu comment le site est fait je pense que c'est un vrai gros chantier pour remettre les données en sécurité et que cela ne se fera pas en un jour ou même une semaine. On comprend bien qu'ils ne communiquent pas trop la dessus en attendant la correction. C'est peut être même parce qu'ils sont cotés en bourse qu'ils ne peuvent pas faire ce qu'il faudrait : couper le site , s'excuser, corriger et remettre en ligne. On imagine la tronche du cours de l'action. Au menu des erreurs à ne pas commettre : - Passer des variables en post en pensant les rendre invisibles - Authentification en javascript! - Clic droit désactivé sur les pages publiques pour qu'on ne puisse pas lire la source des pages (mdr) - Même pas de mot de passe pour modifier les annonces! On demande seulement le nom. Bref, pas une once de sécurité la dedans, la moindre appli web open source est 1000 fois plus sécure. PS1: Ils recrutent un developpeur : http://www.entreparticuliers.com/partenariats/devWeb.asp Je rajouterais bien 'rudiments de sécurité Web' dans le profil PS2: Un petit barbec ce week-end? PS3: Je vend un base de données email de + de 20 000 vendeurs de bien immobilier, faire offre à dauran qui fera suivre - Non je déconne @Seb: en faisant un petit tour sur le site en question il y a 5 minutes, je viens de trouver un moyen de modifier les annonces en 2 clics, d’avoir les coordonnées du vendeur, email, facture, etc (mais pas la cb) …

Une vrai passoire ce site!

Vu comment le site est fait je pense que c’est un vrai gros chantier pour remettre les données en sécurité et que cela ne se fera pas en un jour ou même une semaine. On comprend bien qu’ils ne communiquent pas trop la dessus en attendant la correction.

C’est peut être même parce qu’ils sont cotés en bourse qu’ils ne peuvent pas faire ce qu’il faudrait : couper le site , s’excuser, corriger et remettre en ligne. On imagine la tronche du cours de l’action.

Au menu des erreurs à ne pas commettre :
- Passer des variables en post en pensant les rendre invisibles
- Authentification en javascript!
- Clic droit désactivé sur les pages publiques pour qu’on ne puisse pas lire la source des pages (mdr)
- Même pas de mot de passe pour modifier les annonces! On demande seulement le nom.

Bref, pas une once de sécurité la dedans, la moindre appli web open source est 1000 fois plus sécure.

PS1: Ils recrutent un developpeur : http://www.entreparticuliers.com/partenariats/devWeb.asp

Je rajouterais bien ‘rudiments de sécurité Web’ dans le profil

PS2: Un petit barbec ce week-end?

PS3: Je vend un base de données email de + de 20 000 vendeurs de bien immobilier, faire offre à dauran qui fera suivre - Non je déconne

]]> By: Sébastien http://www.dauran.com/213/entreparticulierscom-ne-corrige-pas-ses-failles-de-securite/#comment-1481 Sébastien Fri, 28 Mar 2008 16:41:54 +0000 http://www.dauran.com/213/entreparticulierscom-ne-corrige-pas-ses-failles-de-securite/#comment-1481 Y'a un peu plus de deux mois, une faille permettait de modifier toutes les annonces et a été modifié en quelques jours. Je mets pas le lien on sait jamais :) Y’a un peu plus de deux mois, une faille permettait de modifier toutes les annonces et a été modifié en quelques jours. Je mets pas le lien on sait jamais :)

]]> By: Arnaud Jeulin http://www.dauran.com/213/entreparticulierscom-ne-corrige-pas-ses-failles-de-securite/#comment-1480 Arnaud Jeulin Fri, 28 Mar 2008 16:35:43 +0000 http://www.dauran.com/213/entreparticulierscom-ne-corrige-pas-ses-failles-de-securite/#comment-1480 Que choisir est au courant. La page qui donnait le lien n'existe plus, de toute façon je ne souhaite pas que ce soit trop diffusé. Il faut se mettre à la place de ceux qui ont leur numéro en clair sur entreparticuliers.com. Que choisir est au courant.
La page qui donnait le lien n’existe plus, de toute façon je ne souhaite pas que ce soit trop diffusé. Il faut se mettre à la place de ceux qui ont leur numéro en clair sur entreparticuliers.com.

]]> By: ant http://www.dauran.com/213/entreparticulierscom-ne-corrige-pas-ses-failles-de-securite/#comment-1479 ant Fri, 28 Mar 2008 16:29:27 +0000 http://www.dauran.com/213/entreparticulierscom-ne-corrige-pas-ses-failles-de-securite/#comment-1479 @ arnaud Jeulin Publie le lien du site ou tu l as trouvé , ca va peut etre les faire bouger en plus si toi t as vu ce lien , d'autres ont pu le voir aussi, ou peuvent y avoir acces, etc...... il y a deja peut etre eu des problemes avec certaines cartes bleues. t as contacté le groupent des cartes bancaires? DGCCRF 167-177 avenue Joliot-Curie 92013 NANTERRE Cedex UFC que choisir Anne-Sophie Stamane 233 boulevard voltaire 75011 paris Groupement cartes bancaires Madame WOUAQUET Washington Plaza 75408 Paris cedex 08 AMF (Autorité des marchés financiers) 17 place de la bourse 75082 Paris cedex 02 @ arnaud Jeulin Publie le lien du site ou tu l as trouvé , ca va peut etre les faire bouger

en plus si toi t as vu ce lien , d’autres ont pu le voir aussi, ou peuvent y avoir acces, etc……

il y a deja peut etre eu des problemes avec certaines cartes bleues.

t as contacté le groupent des cartes bancaires?

DGCCRF
167-177 avenue Joliot-Curie
92013 NANTERRE Cedex

UFC que choisir
Anne-Sophie Stamane
233 boulevard voltaire
75011 paris

Groupement cartes bancaires
Madame WOUAQUET
Washington Plaza
75408 Paris cedex 08

AMF (Autorité des marchés financiers)
17 place de la bourse
75082 Paris cedex 02

]]> By: Arnaud Jeulin http://www.dauran.com/213/entreparticulierscom-ne-corrige-pas-ses-failles-de-securite/#comment-1477 Arnaud Jeulin Fri, 28 Mar 2008 16:16:11 +0000 http://www.dauran.com/213/entreparticulierscom-ne-corrige-pas-ses-failles-de-securite/#comment-1477 Il n'y a rien d'insultant de diffamant, pas d'intention de nuire et je ne donne aucun lien. Je publie une copie d'écran de ce que j'ai vu en suivant un lien sur un site. En plus j'ai prévenu avec un mail et leur formulaire de contact. Il n’y a rien d’insultant de diffamant, pas d’intention de nuire et je ne donne aucun lien. Je publie une copie d’écran de ce que j’ai vu en suivant un lien sur un site.
En plus j’ai prévenu avec un mail et leur formulaire de contact.

]]>