S'occuper d'un hotlinkeur

. lecture : 2 minutes

Comme je l'ai dit il y a quelques jours, un site utilise une de mes images en la liant directement, c'est à dire qu'ils utilisent ma bande passante. Cette pratique, appellée "hotlinking" dans les milieux informés, est très mal perçue, surtout qu'il est si simple de sauvegarder une image sur son propre serveur !

Que faire de cette information ? Je pourrais supprimer l'image, tout simplement, mais ça continue de remplir mes logs d'erreurs 404, dès que quelqu'un demande la page de l'autre site. Je pourrais, comme on me l'a suggéré, remplacer l'image par une autre image, ha ha grossen rigolad.

Et puis... il y a quelque chose d'autre que je pourrais essayer, tiens. A la 15eme confèrence DEFCON, Michael Schrenk a présenté un exploit simple qu'il a appellé des "images éxécutables", ou executable images (voir vidéo en bas de page). En configurant Apache pour qu'il passe un fichier '*.jpg' dans le parseur php, on peut créer un script qui s'éxecute très discretement : Du moment que le fichier php termine en sortant l'image demandée, le client qui a demandé cette image n'y voit que du feu.

Pour mon problème d'hotlinker, donc, je pourrais en théorie créer un script php faisant tout ce qu'un programme est capable de faire : écrire un cookie, obtenir les détails d'un visiteur, sauvegarder en base de données, etc.

Mieux, je peux même exécuter du javascript, ce qui laisse la porte ouverte à n'importe quoi : en javascript, je peux faire tournoyer toutes les images, ou les retourner, je peux en fait éditer toute partie du HTML de l'autre site, et afficher n'importe quoi. ^^;

Voici l'intervention de Michael Schrenk à DEFCON 15 :

Commentaires

1. le 10 f?vrier 2011 (16 h 12), par trotro :

"éxécuter" : aïe aïe aïe !!! le premier "e" n'a pas d'accent. C'est le "x" qui lui donne le son "é"

Réponse de Manu

C'est corrigé.

2.Commentaire de l'auteur, le 21 f?vrier 2011 (17 h 37) :

Ah non, on ne peut pas intégrer du javascript, ça ne fonctionne que si on appelle l'image exécutable directement, pas si elle est au milieu d'une page. Dommage, ça limite vachement ce qu'on peut faire d'amusant avec ça.

L'ajout de commentaires est désactivé.


Manu·e

La personne qui a créé Épinards & Caramel. ☕🤔🐙

Étiquettes

In English Copié de l'ancien site Machinima Maths Épinards et Caramel Juste un lien Livre PHP Galerie d'images Connerie WoW 3615 Ma vie Conseil Actualités Film Jeux vidéos symfony 1.4 Hack DEFCON javascript Vidéos TED & TEDx Musique Piratage Réflexions IBM IA (Intelligence artificielle) Zombi Logiciel Télé Science Site internet Style Google Pentesting Code Boulot Religion Twitter Facebook Design Économie Ubuntu C'était mieux avant Symfony2 Comédie Musicale WebGL Europe Android Argent Bitcoin Sécurité informatique Cryptographie Robots Linguistique Wikileaks USA Haïti Open world game Apple Cloud HADOPI Loi Internet Minecraft Plugin Tracking Publicité Visualisation de données Last.fm Python Canvas Serious game Humour Podcast Techno-thriller Espace Norvège Nutrition Informatique Linux Firefox Jquery Science Fiction Windows Bricolage Pieuvres Wikipedia In Italiano Italie CSS Dwarf Fortress Canal+ Hardware User experience design Lego France Grèce Allemagne Photographie Censure de l'Internet Chine Écologie Vie privée Islam Maroc Violence physique Sex XIXe siècle Histoire Brésil Portugal Échecs Logique Microsoft Steam Opera Graphisme Finance Sondage Food Traduction Paris Canada Surveillance de l'Internet Horreur Algorithmique Unicode & Emoji Physique Santé Tribute MMORPG Finlande Russie XXe siècle Seconde Guerre Mondiale Langage Star Wars Impression 3D Death Framework Politique Typographie NASA Polémique Mars Féminisme Violence sexuelle Libertés fondamentales Corée du Sud Suisse Japon Toys Concurrence Droit d'auteur Éducation Estonie UK Égypte Indonésie Théâtre ONU Peine de mort Abeilles Prix Nobel En español Cannabis Aléatoire Censure Applications mobiles Course Homosexualité Danse Adobe NPR Mozilla Guitare Homophobie Mariage TWiT Settings Français DARPA Boston Dynamics Nerdfighteria Cancer Traitement de l'image Armes Secte de Scientologie The Onion Tumblr ADHD Drugs Scandale Césars Paradis fiscaux Copyright Documentaire Yahoo BDSM Post-apocalyptic Sword & Laser Virtual reality Spam Mali Timbuktu Manuscripts Crowdfunding indiegogo RSS Feedly Free Youtube Magie Meta Puzzle Tetris Grève Vocabulaire Bateaux Système métrique Vision artificielle Apprentissage automatique Traduction automatique Traitement du langage naturel Alan Turing meme Pixar Psychologie Debate Éclipse Ciel & Espace Organisation Google Analytics D3.js Vexillologie Oracle Juridique Saisons Astronomie Comète Rosetta ESA Pokémon Go Critiques, tests Programmes Élections Scrutin Météo Changement Climatique Tractors PUBG Capitalisme Changement d’heure Anarchisme Écriture Inclusive Bisexualité Game Jeux de société Toulouse Évènement