Présentation de CookieCrumbler sous Zope

Python, Zope / Plone Aucun commentaire »

CookieCrumbler est un produit Zope/Plone, cet article est consacré à zope seulement, à voir que c’est la même chose dans Plone.

Présentation :

CookieCrumbler est un produit qui permet de s’authentifier en utilisant un formulaire que vous aller créer vous même au lieu d’avoir la fenêtre classique de Zope.

Fonctionnement :

CookieCrumbler comme sont nom l’indique utilise les cookies pour se rappeler de vous, le nom de la cookie est modifiable mais il est conseillé de la laisser avec sa valeur par défaut ‘__ac’

Le cookie créé contient vos informations d’authentification donc variable=valeur, le nom de la variable on le connais comme indiqué avant ‘__ac’, et la valeur c’est ‘votre identifiant, deux point, votre mot de passe’ et tout ça crypté en base64

Par exemple si votre login est : toto et votre mot de passe est : 123 cela donne __ac=toto:123 crypté en base64 ce qui donne : __ac=dG90bzoxMjM=

Voici le code python qui nous a donné ce résultat :
(1) >>> from base64 import encodestring as encode

(2) >>> print encode(’toto:123′).strip(’\n’)

dG90bzoxMjM=

>>>

Explication du code :

(1) : on importe la fonction encodestring du module base64

(2) : on appel la fonction en lui passant comme paramètre notre chaîne, le .strip sert à enlever le retour à la ligne renvoyé par l’instruction.

vous n’aurez pas besoin de faire tout ça , c’est le CookieCrumbler qui va s’encharger , je vous est juste donné une explication pour savoir comment il stock vos informations dans le cookie.

Pour savoir que votre login et mot de passe est correct CookieCrumbler le cherche dans l’acl_users

Usage :

Pour utiliser CookieCrumbler, commencez d’abord par télécharger la dernière version du produit ici, et installer là.

Une fois que c’est fait redémarrer votre instance Zope et ajouter le depuis la zone de sélection de produits

Entrer un Id et cliquer sur ajouter. Vous pouvez choisir de créer automatiquement les formulaires par défaut de CookieCrumbler, dans notre cas en vas pas en ajouter.

Pour configurer votre gestionnaire de cookie cliquer sur l’onglet Properties et c’est ici ou se trouve tout le travail à faire.

CookieCrumbler vous invite donc à entrer quelque information de votre formulaire :

Authentication cookie name : c’est le nom de la cookie qui va être créé

User name form variable : le nom du champ texte qui contient le login

User password form variable : le nom du champ texte qui contient le mot de passe

Ces trois informations sont suffisant pour commencer, créer donc votre formulaire de login , qui va directement envoyer vers la page que vous voulez protéger , ne faites aucune vérification de login et mot de passe c’est CookieCrumbler qui s’en charge

Pour mieux comprendre comment ça se passe , voici un vidéo tutorial que j’ai fait .

La vidéo illustre aussi la notion de roles est son utilisation basique avec CookieCrumbler

L’affichage est petit dans le streaming, téléchargez ici la vidéo dans ses dimensions réelle , taille (3Mo)

Télécharger ici le projet source en zexp.

Voila !

Partager cet article : Ces icônes sont des liens vers des sites de partage de signet sociaux où les lecteurs peuvent partager et découvrir de nouveaux liens.
  • Technorati
  • Digg
  • del.icio.us
  • blogmarks
  • Scoopeo
  • BlinkList
  • Furl
  • Reddit
  • Ma.gnolia
  • Slashdot
  • YahooMyWeb
  • Bumpzee
  • Spurl
  • Netscape
  • Book.mark.hu

Google : une nouvelle faille de sécurité

News, Google, Securité Aucun commentaire »

Une nouvelle faille de sécurité a été reportée hier , la faille touche Google service et plus précisément l’outil de demande de suppression de page Web “the removal of websites tool” .

Il s’agit d’un simple listing d’un dossier non protégé et de toute son arborescence, le risque est faible mais le dossier peut contenir des informations utiles pour un black hat .

A mon avis s’il ne s’agit pas d’une faille dans le serveur lui même, cela ne va pas être intéressant pour un pirate, sinon les failles dans les sites et les services web ne permettent pas vraiment de faire grand chose ,

Et voici un exemple de fichier trouvé dans leur serveur nommé config.txt

# Properties file for urlremover application
# Copyright 2000 and onwards, Google, Inc.
# Maintained by sanjeev@google
#
# Note: development settings are maintained in config.txt, remember to
# update that file in conjunction with this one.# General App settings
# Front door name (needed for embedding urls in emails)
frontDoor=http://services.google.com:8882/urlconsole/controller
# How long we wait before timing out the session
# e.g. so if a user stays on a single page longer
# then this amount of time he will be sent to the login
# page again.
SESSION_timeout_minutes = 5
# Client IP Blacklist file
bannedNetworks = /apps/com/google/urlremover/badip.txt
# Proxy settings
proxySet = true
proxyHost = proxy
proxyPort = 80
userAgent = googlebot-urlconsole
# Database stuff
DBDriver = org.gjt.mm.mysql.Driver
DBUrl = jdbc:mysql://localhost/dbRemoveUrl
DBLogin = root
# put password in before the push
DBPassword = k00k00
# Publisher stuff
# ackQueue and outputQueue must already exist. Use
# google/setup/pcqueue.py create
pathofqueue> 128
# to create them. Also,
# //depot/ops/production/master/files/etc/cron.hourly/dynamic_gws_data_push>
# must agree with us on where the queues are located. ackQueue = /apps/publish/publish_ack_queue
ackDir = /apps/publish/publish_ack
outputDir = /apps/publish/current
outputQueue = /apps/publish/publish_queue
BadAll = badurls_autonoreturn
BadSnippet = badurls_autonosnippet
BadCache = badurls_autonocache
BadMsgids = autobadmsgids
Porn = badurls_autoporn
BadImages = badurls_autoimage
ImageTweak = badurls_autoimagetweak
BadOdp = badurls_autonoodp
BadDemoteGws = badurls_autodemotegws
BadSpam = badurls_autospam
BadSupplemental = badurls_autosupplemental
maxChecks = 15
lastPushFile = TIMESTAMP
sendEmailDelayMillis = 3000
# warn if no push within last 400 minutes
noPushWarning = 24000000
# If this is > 0, then no database changes are made, no urls are fetched,
# and no emails are sent.
readOnly = 0
# Where to store the Publisher’s temporary disk maps
diskMapDir = /export/hda3/tmp
# I18N
i18nText = com.google.urlremover.I18N.text
langSupport = en-us,fr,de,it,ja
# Hit Rate Warnings
# The settings below will cause a warning email to be generated
# if we encounter >200 page hits in a 30 minute window.
# Note: the window does not slide
rateCheckIntervalMillis = 1800000
rateMaxHitsPerInterval = 800
# Request Status Display
RequestStatusCutoff = 10
# General limits
maxUrlLength = 511
maxRobotsLines = 100
# We give people 24 hours to verify their email or we expire their accounts
oldestUnverifiedMillis = 86400000
# New user email stuff
NewUserEmailFrom = url-remove@google.com
# Publisher email stuff
publisher.EmailFrom = url-remove@google.com
# Error emails stuff
# Note these are sent to internal engineers, no users see these
EMAIL_error = mstanton@google.com
# General email stuff
EMAIL_smtp = smtp
EMAIL_from = url-remove@google.com
EMAIL_name = url remover application
# General request expiry time = 180 days = 180 * 24 * 60 * 60 * 1000
expiryOffsetMillis = 15552000000
# Max time we’re going to wait before getting a response from a site
# for the site down authentication method
# currently 360 secs, since Squid might take that long to time out DNS
maxWaitMillis = 360000
# max number of outstanding fetches (in parallel)
fetchParallelism = 50
# Authenticator config
robots.shellCommand = /apps/bin/robots_unittest –patterns –agents=Googlebot,Google
robots.shellCommandImage = /apps/bin/robots_unittest –patterns –agents=Googlebot-Image
metaTags.shellCommand = /apps/bin/ripper
–datadir=/apps/smallcrawl-data
–cjk_config=/apps/BasisTech
–logtostderr –stdin –robotsmeta
# patterns that should not be removed via robots.txt
robots.noremove = /home/google/googlebot/bypass_robots.pat

Reste à savoir qu’il n’existe que deux ordinateurs qui est impossible de pirater : 1 - un ordinateur éteint, 2 - un ordinateur sans carte éseau !

Partager cet article : Ces icônes sont des liens vers des sites de partage de signet sociaux où les lecteurs peuvent partager et découvrir de nouveaux liens.
  • Technorati
  • Digg
  • del.icio.us
  • blogmarks
  • Scoopeo
  • BlinkList
  • Furl
  • Reddit
  • Ma.gnolia
  • Slashdot
  • YahooMyWeb
  • Bumpzee
  • Spurl
  • Netscape
  • Book.mark.hu

debugger javascript avec Internet Explorer

Ajax, Javascript 3 Commentaires »

Si vous écrivez souvent quelques lignes de codes en javascript , firefox est un bon environnement pour tester vos scripts , surtout si vous faite un traitement XmlHttpRequest .

Sous firefox plusieurs outils sont disponible (firebug,web developper ,seamonkey…) donc pas de souci mais par contre , le code javascript que vous écrivez peut ne pas marcher sous Internet Explorer (la plupart du temps?!) .

Donc voici 2 debuggers javascript pour Internet Explorer est à noter que les extensions firefox sont toujours plus puissant

Microsoft Script Debugger celui que j’utilise (mais ce n’est pas le meilleur)

le deuxième debugger est sous forme d’une barre IE

Et enfin une slide show décrivant les différents étapes d’installation de l’outil microsoft : source du slide show jonathanboutelle

Partager cet article : Ces icônes sont des liens vers des sites de partage de signet sociaux où les lecteurs peuvent partager et découvrir de nouveaux liens.
  • Technorati
  • Digg
  • del.icio.us
  • blogmarks
  • Scoopeo
  • BlinkList
  • Furl
  • Reddit
  • Ma.gnolia
  • Slashdot
  • YahooMyWeb
  • Bumpzee
  • Spurl
  • Netscape
  • Book.mark.hu

TrashMail Netvibes Module

Netvibes Aucun commentaire »
TrashMail Voici un nouveau Module pour Netvibes, il était déjà disponible sur netvibes mais je veux le poster ici pour qu’il soit encore plus connu
En bref , le module sert à créer des Emails jetables en utilisant le service fourni gratuitement par trashmail.net , l’outil puissant contre le spam
Comme ça, plus la peine de ce rendre sur le site il suffit seulement d’entrer votre adresse email, nombre de mails que vous voulez recevoir, et la durée de vie de votre nouvelle adresse jetable .
Le module supporte trois langues : l’anglais , français et l’allemand
Module Trash Mail dans netvibes Add to Netvibes
Partager cet article : Ces icônes sont des liens vers des sites de partage de signet sociaux où les lecteurs peuvent partager et découvrir de nouveaux liens.
  • Technorati
  • Digg
  • del.icio.us
  • blogmarks
  • Scoopeo
  • BlinkList
  • Furl
  • Reddit
  • Ma.gnolia
  • Slashdot
  • YahooMyWeb
  • Bumpzee
  • Spurl
  • Netscape
  • Book.mark.hu