Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

PChat.toile-libre.org

h4ck.n3t

Bonjour tout le monde !

Voila je vous présente la version 3.0 de PChat stable et sans failles (en tout cas pas de faille qu'on connaisse). PChat est un script php vous permettant d'installer le plus rapidement et le plus simplement du monde un chat pour 2 personnes sur votre site. Les atouts de PChat :
*Légèreté (moins de 200ko !)
*Customisation : 100£ modifiable (php html et css). Merci de laisser le copyright qui sert en outre a vous indiquer si une nouvelle version est disponible...
*Prix : 0€ 😃 PChat est et restera toujours gratuit quoi qu'il arrive !
*Développement régulier : nous essayons de sortir 1 a 2 version par an, de corriger le moindre bug dès que l'on nous contact, et de traduire en plusieurs langues
*Facilité : en effet, PChat ne demande aucunes base MySQL ! De plus, dans les prochaines versions, l'installation sera automatique. Pour le moment, un tuto point par point est à votre disposition. Un forum l'est également, et le wiki ainsi qu'un screencast arrive prochainement...
*Contact : en effet, chaque personne nous annonçant quoi que ce soit (bug, faille, faute, suggestion, idée) ou demandant à faire parti du staff (modérateur forum, traducteur, co-developpeur, correcteur, co-webmaster, ou autre) obtiendra une réponse quelle qu'elle soit dans les délais les plus court. Aucun courrier automatique autre que les news-lettres ne seront envoyés : les réponses sont personnalisées et au cas par cas

Voilà, nous espérons vous voir très prochainement sur PChat 😉

Lien du site : http://pchat.toile-libre.org
Partie téléchargement : http://pchat.toile-libre.org/?p=down
Forum : http://pchat-forum.xooit.fr

pouchat

ca reste gentillet :
- pas de fonction, pas d'objet
- pas de licence claire et précise qq part
- un include que tu fais directement depuis ton site. Niveau sécurité 0. Qu'est ce qui t'empeches par le suite de mettre un javascript et ré-orienter les utilisateurs de la personne qui a mis ton script.
- une doc ? les noms de fichiers pas terribles (une lettre pas précise et pis en majuscule...)
- ereg, toujours les remplacer par des pregs ou str_
- stripslashes ne tient pas compte si le serveur a déjà les magics quote d'active
- pas de message d'erreur si cookies pas activés...
- login/pass utilisateur pas très souple, faut toucher au php. En plus c'est a faire sur chaque fichier PHP

+ faille XSS :
C2.php:

$monfichierss = fopen("Coach.txt", "w");
fputs($monfichierss, stripslashes($_POST['Coach']));
fclose($monfichierss);

C1.php:

<?php
$message = file_get_contents ('Coach.txt');
$message = nl2br($message);
$message = eregi_replace("[[:alpha:]]+://[^<>[:space:]]+[[:alnum:]/]","<a target=\"_blank\" href=\"\\0\">\\0</a>", $message);

$message = eregi_replace("[^/]www\.[^<>[:space:]]+[[:alnum:]/]","<a target=\"_blank\" href=\"http://\\0\">\\0</a>", $message);

?>
<body>
<p id="texte"><?php echo $message ;?></p>

C'passe quoi si dans $_POST['Coach'] je mets

<script language="javascript" type="text/javascript">window.location = 'http://badsite-plein-de-malwares-windowsiens.com';</script>

Tu échape pas $message donc ça affiche tout. Pareil pour participants.

bon apres 500 lignes dont 450 d'html doit pas etre trop dur à maintenir 😉
encore un peu de progression à faire.

h4ck.n3t

pouchat a écritca reste gentillet :
- pas de fonction, pas d'objet

==> Pas encore 😉

pouchat a écrit- pas de licence claire et précise qq part

==> C'est marqué en bas : "licence créative commons" ! Si tu clic sur le lien sa t'explique le contrat 😉

pouchat a écrit- un include que tu fais directement depuis ton site. Niveau sécurité 0. Qu'est ce qui t'empeches par le suite de mettre un javascript et ré-orienter les utilisateurs de la personne qui a mis ton script.

== > Ce qui m'empéche ? Crois-tu que je diffuserais et que je ferais de la pub si j'ajoutez dans un logiciel un objet malveillant ? Crois-tu que c'est le but rechercher ? Déjà que j'ai du mal à faire de la pub, si en plus il y avait des commentaires genre "ya un virus", je n'y arriverais jamais...

pouchat a écrit- une doc ? les noms de fichiers pas terribles (une lettre pas précise et pis en majuscule...)

==> Alors pour la doc tu as : le fichier lisez-moi dans l'archive, la partie F.A.Q sur le site, un forum pour poser tes questions, une partie contact pour poser tes questions, qui seront surement ajoutez à la F.A.Q si elles sont bonnes, et un wiki en préparation... Tu demande quoi de plus ?

pouchat a écrit- ereg, toujours les remplacer par des pregs ou str_
- stripslashes ne tient pas compte si le serveur a déjà les magics quote d'active

==> Nous sommes des débutants du PHP donc on y va molo... Je ne connais même pas de ce que tu me parle, mais j'y travail, promis 😉

pouchat a écrit- pas de message d'erreur si cookies pas activés...

==> Normal, j'en est pas besoin des cookies !

pouchat a écrit- login/pass utilisateur pas très souple, faut toucher au php. En plus c'est a faire sur chaque fichier PHP

==> Oui c'est le principal défaut, on fais une installation graphique pour la version 4.0 😉

Pour toutes les failles XML & co, on y connais pas encore grand chose. Sur le site on annonce que nous recrutons des bénévoles pour le projet... Donc si t'es intéressé, no problem 😉

Voila d'autre com' ?

pouchat

h4ck.n3t a écritC'est marqué en bas : "licence créative commons" ! Si tu clic sur le lien sa t'explique le contrat 😉

L'archive doit se suffire à elle-même. T'as aucune licence dans un fichier txt ou dans le source qui accompagnerait ton appli. Si je la distribue (apparement j'en ai le droit) à des collègues ils ont pas à avoir une connexion internet pour vérifier la licence.

h4ck.n3t a écritCe qui m'empéche ? Crois-tu que je diffuserais et que je ferais de la pub si j'ajoutez dans un logiciel un objet malveillant ? Crois-tu que c'est le but rechercher ? Déjà que j'ai du mal à faire de la pub, si en plus il y avait des commentaires genre "ya un virus", je n'y arriverais jamais...

peut importe l'intention cachée ou cas. Si tu veux diffuser ton appli (c'est le but si j'ai compris), évite au maximum qu'elle téléphone à la maison à chaque fois que quelqu'un va s'en servir. De plus implicitement, ça veut dire que les clients doivent être connectés au net. Si ton appli m'intéresse et que je veux la mettre sur mon intranet ou les utilisateurs ne peuvent pas forcément franchir le proxy. Je fais quoi ?

h4ck.n3t a écritNous sommes des débutants du PHP donc on y va molo...

pas besoin d'être sur la défensive. Tu me remarqueras que si j'ai passé un peu de temps à lire les sources et à répondre c'est pour faire des remarques constructives qu'on prend toujours comme une aggression quand on débute. Si j'y suis passé et j'y suis encore 😃

Les expressions réguilères (regexp, expreg) en PHP sont à utiliser avec les fonctions de type preg (preg_replace, preg_match...) et non ereg qui sont lentes et inadaptées. => http://www.expreg.com/

h4ck.n3t a écrit==> Normal, j'en est pas besoin des cookies !

désactives les cookies sur ton navigateur, purges tes cookies et essaies toujours de te connecter... Quand on utilise des $_SESSION en PHP, il y a 2 façons de les passer au client :
- par un $_GET, qu'on voit souvent dans la barre d'adresse en PHPSESSID=
- par un cookie.
et comme toi tu utilises pas PHPSESSION alors faut les cookies d'activés. Et comme moi je n'active les cookies que sur les sites de confiance par défaut ça m'alerte pas...

h4ck.n3t a écritPour toutes les failles XML & co, on y connais pas encore grand chose.

c'est malheureusement pas une bonne réponse... Toujours chercher à contourner sa propre application, à se renseigner sur les techniques de bypass...

h4ck.n3t a écritSur le site on annonce que nous recrutons des bénévoles pour le projet... Donc si t'es intéressé, no problem 😉

pas assez de temps. Mais développer sa propre application est le meilleur apprentissage qui soit. Donc
- mange la doc PHP
- télécharge plusieurs applications de chat et voit comment elles sont codées (fonction, objet, fichier de configurations, pattern) et améliore.

h4ck.n3t a écrit==> Oui c'est le principal défaut, on fais une installation graphique pour la version 4.0 😉

en tout cas bon courage et repost pour avoir des retours ensuite.

h4ck.n3t

pouchat a écritL'archive doit se suffire à elle-même. T'as aucune licence dans un fichier txt ou dans le source qui accompagnerait ton appli. Si je la distribue (apparement j'en ai le droit) à des collègues ils ont pas à avoir une connexion internet pour vérifier la licence.

==> Ok je le rajouterais dans le fichier texte, même si c'est expliqué sur le site, tu as raison...

pouchat a écritpeut importe l'intention cachée ou cas. Si tu veux diffuser ton appli (c'est le but si j'ai compris), évite au maximum qu'elle téléphone à la maison à chaque fois que quelqu'un va s'en servir. De plus implicitement, ça veut dire que les clients doivent être connectés au net. Si ton appli m'intéresse et que je veux la mettre sur mon intranet ou les utilisateurs ne peuvent pas forcément franchir le proxy. Je fais quoi ?

==> Pour le moment je n'ai pas trouvé d'autre moyen, mais c'est vrai que si je peux l'enlever, je le ferais...

pouchat a écrit
h4ck.n3t a écritNous sommes des débutants du PHP donc on y va molo...
pas besoin d'être sur la défensive. Tu me remarqueras que si j'ai passé un peu de temps à lire les sources et à répondre c'est pour faire des remarques constructives qu'on prend toujours comme une aggression quand on débute. Si j'y suis passé et j'y suis encore 😃

==> XD je suis pas sur la défense... C'est vrai que je me suis mal exprimé, je voulais dire "Nous (les développeurs de PChat), on y va petit à petit" 😉

pouchat a écritLes expressions réguilères (regexp, expreg) en PHP sont à utiliser avec les fonctions de type preg (preg_replace, preg_match...) et non ereg qui sont lentes et inadaptées. => http://www.expreg.com/

==> Merci 😉

pouchat a écritdésactives les cookies sur ton navigateur, purges tes cookies et essaies toujours de te connecter... Quand on utilise des $_SESSION en PHP, il y a 2 façons de les passer au client :
- par un $_GET, qu'on voit souvent dans la barre d'adresse en PHPSESSID=
- par un cookie.
et comme toi tu utilises pas PHPSESSION alors faut les cookies d'activés. Et comme moi je n'active les cookies que sur les sites de confiance par défaut ça m'alerte pas...

==> Oo ! Tu m'en apprend une belle la ! Autant pour moi...

pouchat a écrit
h4ck.n3t a écritPour toutes les failles XML & co, on y connais pas encore grand chose.
c'est malheureusement pas une bonne réponse... Toujours chercher à contourner sa propre application, à se renseigner sur les techniques de bypass...

==> Oui oui, on y arrivera 😉

pouchat a écrit
h4ck.n3t a écritSur le site on annonce que nous recrutons des bénévoles pour le projet... Donc si t'es intéressé, no problem 😉
pas assez de temps. Mais développer sa propre application est le meilleur apprentissage qui soit. Donc
- mange la doc PHP
- télécharge plusieurs applications de chat et voit comment elles sont codées (fonction, objet, fichier de configurations, pattern) et améliore.

==> Ok np, si tu connais des gens :p Oui on va s'y mettre serrieu a partir du 1juillet...

pouchat a écriten tout cas bon courage et repost pour avoir des retours ensuite.

==> Merci 😃