#20588

The Invisible JavaScript Backdoor – Certitude Blog

Certains caractères unicodes sont invisibles. Pas seulement les \n ou \t, non, vraiment invisibles. Genre leur existence est d’être un caractère invisible.

Un peu comme un trait d’union conditionnel qui n’est visible que dans certains cas, et invisible autrement. Sauf qu’ici, je parle d’un caractère unicode (coréen, en l’occurrence) qui est invisible même dans le code source. Il est là si on parle les données sur le disque, mais aucun éditeur de texte faisant un rendu de ces caractères ne vous le montrera, car il est invisible.

Dans cet exemple, il est montré comment on peut tout de même utiliser ce caractère comme nom de variable, et donc lui assigner des valeurs.

Dans l’exemple, on fait un simple "ping" sur Google.com (un truc classique). La variable reçoit alors un code de retour.

La backdoor, c’est que la variable est ensuite envoyée à "exec()", qui envoie des commandes au shell système. Donc il suffit que "google.com" renvoie un code contenant — au hasard — quelque chose comme "rm -rf /" et hop : un simple ping se transforme en effacement du disque dur !

… Et aucun éditeur de texte ne vous montrera quoi que ce soit d’anormal dans le code source : la variable fautive étant INVISIBLE dans le code source.

C’est violent quand-même…

Encore une fois : ça montre qu’il est bien joli de vouloir mettre de l’unicode partout (« yeah, c’est inclusif ! ») mais quand c’est pas fait sérieusement… voilà.

Voir aussi cet exemple. Ou ça. Ou encore ça, ou cet article où je dénonce les problèmes à mettre de l’Unicode partout sans réfléchir.

La dernière version de SublimeText permet d’afficher le code d’échappement des caractères non ASCII, par défaut. Je l’avais désactivé car c’est chiant. Mais si ça continue, il va falloir le laisser activé.

https://certitude.consulting/blog/en/invisible-backdoor/

#20585

Museum of Plugs and Sockets: home page - Liens en vrac de sebsauvage

Haha !

Hier je me suis mis à relire Harry Potter et la coupe de feu (le 4)
On y apprend que Mr Weasley fait la collection de prises de courant (il adore les objets moldus et trouve ça fascinant).

Du coup je l’imagine sautillant comme un enfant à l’idée que Mrs Weasley l’emmène à ce Musée :-D

Sinon les prises de courant m’ont toujours fait rire. C’est un truc tellement basique et trivial dans nos vies que l’on peine à imagine qu’il n’y ait pas de standard mondial sur le sujet.
Là où en réalité, comme c’est montré avec un tel musée, on en est encore très loin : https://lehollandaisvolant.net/?d=2015/07/17/15/32/32-le-merdier-des-prises-electriques

Si même ça on n’arrive pas à se mettre d’accord, comment espérer une seule seconde à ce qu’on arrive, un jour, à quelque chose se rapprochant un minimum d’une gouvernance mondiale ?

https://sebsauvage.net/links/?cw9_iQ

#20584

Est-il obligatoire d'avoir un éthylotest dans sa voiture ? | Sécurité Routière

Est-il obligatoire d'avoir un éthylotest dans sa voiture ?

Non. Depuis le 22 mai 2020 il n'est pas obligatoire de posséder un éthylotest dans son véhicule.

Je savais que l’obligation était là, mais sans qu’il y ait d’amende en cas de non-possession, mais je viens d’apprendre que maintenant il n’est même plus obligatoire d’en avoir un.

C’est donc comme les feux de jour : l’obligation vient, puis devient une interdiction, puis on s’en fout, avant de revenir mais on sait pas trop… Donc lol.

https://www.securite-routiere.gouv.fr/les-medias/les-faq/faq/est-il-obligatoire-davoir-un-ethylotest-dans-sa-voiture

#20586

Deux députées sur le front de la guerre des boutons des télécommandes TV

Le titre aurait dû être « Ivres, ils veulent une loi pour encadrer les boutons sur les télécommandes TV ».

Pardon.

Pourquoi tout ça ?
Pour ça :

la crainte d’un aller simple vers les oubliettes, pour les chaînes non mises en valeur.

En gros : ils ont peur que TF1 et BFM finissent de mourir faute de s’être endormi durant 20 ans, alors que tout le monde aujourd’hui préfère Netflix et Amazon Prime.

J’imagine que ça n’empêchera absolument personne de mettre des autocollants Netflix sur la touche F1, Amazon sur la touche F2, etc.

Mais en tout cas, je suis tellement heureux qu’il s’occupent enfin des VRAIS problèmes de l’ensemble de société : du SDF au PDG en passant par le smicard, le travailleur de nuit et les 250 000 fanatiques de l’Avis de Passage à la Poste.

https://www.nextinpact.com/lebrief/48981/deux-deputees-sur-front-guerre-boutons-telecommandes-tv