Commentaires sur : PictPocket : un plugin WordPress qui identifie et bloque les voleurs de contenu.

Par : Fulcanelli

Fulcanelli — Thu, 20 Oct 2011 21:50:00 +0000

Ouais Ok, c’est bon. Mais n’empêche que j’ai pas tout compris

Par : Anonyme

Anonyme — Thu, 20 Oct 2011 20:45:00 +0000

si le plugin n’est pas installé, il ne doit plus y avoir de redirection, regarde si le fichier .htacces à la racine du site contient encore des redirections pour pictPocket, si ce n’est pas le cas, vide le cache de ton navigateur (CTRL+R)
Pour ton histoire, c’est assez bizarre, normalement an déclarant le domaine (pas le site) en confiance, cela doit passer avec :
http://(www.)?gr-slb.eu/.*$

Par : Fulcanelli

Fulcanelli — Thu, 20 Oct 2011 20:32:00 +0000

Bon, je viens d’installer le plugin.
Et arf. J’arrive pas à retomber sur mes pattes.
J’ai deux blog un avec le nom domaine http://gr-slb.eu l’autre est un sous-domaine http://blog.gr-slb.eu.
le gr-slb.eu à pickpocket et tout fonctionne.
blog.gr-slb.eu n’a pas pictpocket et la catastrophe quand je veux accéder à sa console d’admin, je suis renvoyé sur le pictpocket de gr-slb.eu
J’ai tout essayer, site de confiance, virer le plugin, … toujours pareil.
J’ai recréer les tables, je deviens chauve.
Le plus drôle c’est que même sans le plugin installé, je suis redirigé sur pictpocket
Une idée ?

Par : fekasatete

fekasatete — Sun, 18 Sep 2011 21:10:00 +0000

je n’arrive pas a bloquer un domaine pourtant j’ai bien clicquer sur bloquer le domaine et l’url et bien ajouter dans les domain bloquer par images.a chaque fois que j’actualise la page du site voleur l’image volé et toujours présente est ce normal ?

Par : BoiteaWeb

BoiteaWeb — Mon, 25 Jul 2011 07:07:23 +0000

Je viens de mailer plus de 10 failles critiques à l’auteur (qui est en vacances)
Prenez patience et … désactivez l’extension en attendant :s

Par : Sp1wn

Sp1wn — Sun, 24 Jul 2011 21:25:32 +0000

Merci pour le travail fourni pour ve plugin et ce tuto très clair , je mets en test de suite car mon Blog s efait litérallement violer !!! lol

Par : ActuLogo

ActuLogo — Fri, 22 Jul 2011 07:29:30 +0000

@Fredzone Utilise PictPocket http://t.co/DxNbAqH avec une belle image perso bien parlante….

Par : Semageek

Semageek — Mon, 11 Jul 2011 14:21:21 +0000

La colonne # correspond au nombre de fois que l’image a été demandée par le site distant.
Pour l’image perso, il n’y a pas de manipulation particulière si ce n’est de mettre l’url d’une image.

Par : Guillaume

Guillaume — Mon, 11 Jul 2011 12:26:01 +0000

Bonjour,

Tout d’abord merci pour ce tutoriel, qui m’a permi de débusquer beaucoup de voleur de contenu, mais j’ai 2 questions :

- dans la dernière version V1.4.2 dans l’onglet hotlinks j’ai une colonne avec un #, à quoi corresponde les chiffres de cette colonne ?
- je n’arrive pas à faire afficher l’image que j’ai défini dans les options sur les sites distant, rien ne s’affiche. Y-a-t-il une manipulation particulière pour que celle-ci s’affiche.

Merci pour votre aide.

Par : BoiteaWeb

BoiteaWeb — Sun, 10 Jul 2011 09:58:30 +0000

Ca roule, je comprends ton besoin, je SUIS en vacances (mais je taff quand même un peu).
Je te fais ce mail de contact dès que je peux, je dois finir le dev d’un plugin avant.
Bye !

Par : Semageek

Semageek — Sun, 10 Jul 2011 09:47:27 +0000

Par contre même si le débats est relancé pour la mise à jour, comme pour la précédente, mon gros souci est le manque de temps.
Elle n’est donc pas prévu pour être réaliser dans l’immédiat.
De plus, je need des vacances d’une force et je vais couper mes activités internet pendant un mois….
Par contre si quelqu’un veut bien intégrer les corrections et proposer une release, je la poserais sur le dépot wordpress rapidement.
Avec bien évidement les remerciements et l’intégration à l’équipe de dev.

Nb : Pour Julio, je ne dis pas que tu mords, je conçoit également que pour toi c’est un taf, mon seul but pour moi est d’avancer.
Crois moi que si je disposais de budget je me serais même pas pris la tête, mais ce n’est pas la cas.
Je me suis peut être un peu emporté dans mes discutions, et je m’en excuse, mais comme je dis j’ai besoin de vacances actuellement.

Par : BoiteaWeb

BoiteaWeb — Sat, 09 Jul 2011 10:56:48 +0000

Euh pourquoi allez poster sur le forum alors que je peux donner le détail des failles. Je n’ai pas dit que je voulais être payé pour ça, je souhaite qu’il me contacte mais je n’ai pas de retour de MES contacts via son formulaire de contact sur le site :/
Je ne peux pas me permettre de développer bénévolement chaque plugin touché par une faille avec son créateur, impossible !
Je vais donc pour finir et peut etre clore le « débat » t’envoyer un contact (qui restera sans réponse, encore) qui contiendra les failles trouvée avec le PoC (à toi de trouver ce qui ne va pas dans le code, je n’ai pas regardé ça et je n’ai donc pas les n° de lignes).
Essaie de me contacter quand la 1.4.3 sort ou … contact moi avant par mail que je recheck ça avant la release, je mords pas
A bientôt tous !

Par : Li-An

Li-An — Sat, 09 Jul 2011 08:57:24 +0000

Bon, mon avis vaut ce qu’il vaut. Comme le plugin a l’air assez populaire, je pense qu’il faudrait faire une demande sur le forum officiel WP de recherche de failles. Avec un peu de chance…

Par : Pyrros

Pyrros — Sat, 09 Jul 2011 07:06:49 +0000

Je ne pensais pas en laissant mon message créer un tel débat… quoi qu’il en soit un tel plugin est un vrai + pour WP et ceux qui l’utilisent pour des photos ou images « exclusives ». A mon niveau peu importe qui fait avancer cette extension tant qu’elle marche.

Dans vos messages en dehors d’une certaine difficulté à échanger, apparait la même idée : travailler ensemble pour faire avancer tout cela.

Par : Semageek

Semageek — Fri, 08 Jul 2011 21:45:45 +0000

Réponse rapide car pris par le temps, je vais faire clair (avec les fautes, je corrigerais plus tard) :
PictPocket est parti d’une idée d’un jour, codé en 1 journée pour la première version. quelques évolutions par la suite, mais pas énorme, car pris par le temps, 2 taf, les gosses, le sites et les autres…
Bref un jour on m’annonce qu’une faille de sécurité est présente, j’essai de faire mon mieux pour la résoudre, mais le temps de dev est trop long, par rapport à mon temps dispo.
Je demande de l’aide à droite à gauche, mais pas de résultats, des touches, mais pas de finalité ou d’avancée.
A l’époque, je me retourne vers toi pour te demander également de l’aide, en gros je voulait que tu me dissent les lignes qui merdent, je les remplacent et basta, Merci Roulio, t’es un mec super…
Erreur à partir de là, dis le si je me trompe, tu ne m’apporte que quelques piste et me propose un audit payant….
Et depuis je peux te dire que je ne te considère pus avec le même regard, en gros, j’ai l’impression que l’on me caresse dans le sens du poil pour me la prendre ensuite…
Puis je fait une release, quelques modif et silence radio.
Puis il y a deux jours tu reviens sous ton couvert d’expert sécurité, me refaire le même coup

Donc :

Comme je tiens pas à créer un quelconque règlement de compte et pour moi il est important d’avancer.
Ma proposition tient toujours et c’est la meilleure pour la communauté qui utilise PictPocket,
Tu continue le dev avec moi, je met ton nom dans l’équipe de dev et on avance.
Et tu verra que tu en tirera plus de bénéfices…

Par : BoiteaWeb

BoiteaWeb — Fri, 08 Jul 2011 20:30:21 +0000

Salut à tous,

Je suis un peu déçu et étonné de ta réaction Olivier. D’abord je réponds à Cédric (en fait, je copie/colle ma réponse que je lui ai faite sur mon blog) :

Ou pas !
Je viens de re-tester avec la 1.4.2 pour être sûr et d’autres failles sont présentes, et bien aussi graves qu’une SQLi.
Je ne divulgue pas encore car c’est vraiment très grave (je peux lire le contenu d’un fichier .php comme un .txt, merci le wp-config.php … ).
Mais l’auteur n’a pas désiré corriger ces failles, je vais le relancer puis divulguer ces failles au 01/09/11, un an après la découverte, c’est plutôt correct non ?
Merci tout de même !
ps : je recommande de supprimer cette extension dans l’état actuel !

Ensuite je tiens à te rappeler Oliver que tu m’as demandé quelque chose du genre « indique moi numéros de ligne et type de correction à apporter, je ferais le nécessaire », tu as donc sorti une 1.4.0 sans avoir eu ces infos ET sans me tenir au courant. Je découvre donc une 1.4.2 qui traine avec elle les failles, et d’autres maintenant.

Donc oui, j’ai demandé que les correctifs soient payés. Je vais vous faire une image :
J’aimerai utiliser une copie de ta voiture (ton plugin), mais avant, pour être sûre qu’elle est bien et sans danger, je vais lui faire passer un controle technique (audit de sécurité).
Suite à ce CT, je découvre que des réparations sont à effectuer (correctifs de dév), je t’informe en disant « Dis, j’ai fait un CT gratuit sur ta voiture et … il y a des choses à réparer comme les freins, les pneus, l’embrayage », toi tu me dis « Ha merci, donne moi de nouveaux pneus, des plaquettes de freins etc, je ferais le nécessaire ». Je te réponds donc « euh, là c’est payant par contre :/ Le CT a été fait gratuitement de mon plein grès mais là stop. » Puis tu t’en offusques Mince.

Pardonne moi Olivier, je veux bien te donner le détail des failles et leur nom, mais le numéro de lignes euh non car ça veux dire que je devrais chercher pile poil où ça se trouve. En tout cas, pas gratuitement effectivement. Si tu souhaites que je te fasse un véritable audit exhaustif avec rapport complet en PDF, avec snippets de codes de corrections, je suis dispo et même, je te fais un prix : le tiens ! Je le dis ici : tu peux me verser un don du montant que tu estimes correct et je te fais cet audit. Marché conclus ? (1)

Après, je ne t’oblige pas ! Mais comprends aussi que c’est mon métier (le dév php, dev de plugins et sites et audit de sécurité de sites et app web) et que si je souhaite en vivre, c’est mon choix, je te laisse libre de refuser, pas obligé de me tailler un short en public

Bon, si tu décides de laisser tomber le plugin, alors je te le dis : Je le reprends de suite car c’est un bon plugin, utile et tout, qu’il ai des failles est au un autre problème. Mon travail d’audit n’est pas là pour montrer les faiblesses du développeur ni pour juger de la qualité de son travail, car ici, le travail de développement est BIEN FAIT ! La sécurité est un AUTRE domaine, c’est tout à fait normal que ai pu faiblir de ce côté. Loin de moi l’idée de te tirer dans les pattes confrère

Si donc tu le « laches », mets une 1.4.3 informant que tu stoppes le plugin et que la 2.0 prends le relai, je ferais cette 2.0

Si tu ne souhaites plus lacher le plugin, alors mail moi et je te donne les PoC (Proof of Concept) des failles si le marché (1) te va

Bonne lecture à tous, longue vie à PictPocket :]

Par : Semageek

Semageek — Fri, 08 Jul 2011 17:07:51 +0000

Oui, je suis au courant, la personne qui posté le message l’a posté sur mon site aussi, ainsi que tous les sites qui l’a trouvé, et je l’ai modéré pour la raison suivante :
C’est le genre de personne qui étale sa science, et quand tu lui demande un coup de main pour résoudre la faille il n’a plus personne sauf si tu lui filles de la tunes (je résume en rapide).
Mais bon, business is business, chacun son état d’esprit, y’en a qui construisent et d’autres qui détruisent ou qui oeuvre dans cette direction.
Je ne travaille pas dans cet état d’esprit sur ce plugin, et comme cette histoire commence à me saouler, je vais surement s’arrêter le dev dans cet état.
Libre à vous de l’utiliser ou de l’abandonner, au pire les codes sources sont dispo pour qui veut prendre la suite.

Par : Cédric G.

Cédric G. — Fri, 08 Jul 2011 14:50:31 +0000

Salut Pyrros

Je crois que c’est moi qui t’ai rapporté la mise à jour (suite au message de la fameuse faille) ; cela a été corrigé avec la version 1.4

http://wordpress.org/extend/plugins/pictpocket/changelog/

Par : Pyrros

Pyrros — Fri, 08 Jul 2011 13:38:23 +0000

Sur mon site on vient de me rapporter une faille avec cette extension qu’en est il réellement ??? la mise a jour n’a t elle pas supprimée cette faille qui semble être la même (ou similaire) depuis la version 1.4.0 ???

Par : Jeff

Jeff — Mon, 20 Jun 2011 20:20:20 +0000

mon site semble aussi ralentir depuis l’installation du plugin.