Forum, MP, Et autres...

[1GM]

Comme le sujet chaud à disparu pendant que j'y répondait...

Bon au début j'avais décidé de pas intervenir pour pas faire enfler la polémique... Mais au final je vais le faire...

les admin ou ceux qui ont accès à l'admin ne peuvent lire les messages privés, personne, sur aucun forum de ce type, qui existe à des dizaines de milliers d'exemplaire à travers le monde.

Désolé Théo, mais étant du métier et ayant fait des dizaines de milliers de modifs à la volée dans des bases de données, à partir du moment ou une personne possède les droits d'admin sur un serveur Web/SQL/PHP ( comme Géoforum ), il a la possibilité d'aller lire directement dans la base ce qu'il veut, quand il le veut.

( cela n'implique pas que tu le fasses )

C'est d'une extrème facilité pour quelqu'un qui possède les compétences nécessaires.

un bête :

 Select * from MP where user = "tartenpion" 

permet d'afficher les messages privé du user tartempion. ( bon c'est un peu plus compliqué que cela, mais à peine, et la commande SQL dépendras du modèle de donnée. )

Il n'y a pas besoin de module PHP, d'interface web ou quoi que ce soit... Juste un compte au niveau le plus bas sur le serveur ( Linux à priori, donc d'avoir un user ), et ensuite de connaitre le mot de passe d'accès à la base de donnée si il y en as un.

Car depuis que geoforum n est plus financer n'y ratacher à "g e o p o l i s" qui est réellement derrière ??

Intéressant le fait que le terme G.E.O.P.O.L.I.S soit masqué par un autre terme, quelqu'un serais t'il faché avec eux ?

Ceci n est qune remarque personnelle car je ne poste aucune information sur ce forum en conaissance de cause car sachez que toute information poster sur un forum ne vous appartiens plus

C'est un peu pire que ca Philippe et tu le sais bien... à partir du moment ou tu mets une information sur Internet sous quelque forme que ce soit cette information est :

- Du domaine public.

- Archivée par plusieurs sites ( Internet Archive, Google, Yahoo!, Amazon, ... )

- Reste accessible à jamais. ( à cause de la ligne du dessus qui historise l'information )

- peut être reprise hors de son contexte pour n'importe quel sujet

[muller80]

bonjour,

Je vais clore ce sujet également.

Non pas que la liberté d'expression n'est pas autorisé, mais juste que nous allons investiguer.

A noter, que je confirme vos propos vis à vis des lignes de commande.

Cependant à noté que :

• Il n'y a que deux admin sur le site
  
• Il n'y a que moi qui est les droits maître sur le Serveur (root)
  
• Théo (Fred) ne peut que gérer le forum via son panel admin et n'a pas la possibilité (droit) d'exécuter de commande SQL
  
• Théo ne sais même pas comment on fait (sinon je ne serais ici pour faire la partie technique
  
• Me concernant, je ne connais rien à votre monde de cailloux, qui implique que j'interviens de façon neutre
  

Sinon juste pour votre information, la structure BDD du site en l'état demande des connaissances poussées de ces tables, étant données que les conversations personnelles ne sont pas stockées dans une table, mais au travers de 9 tables différentes, sans pseudo mais uniquement avec des ID et du code binaire pour l' horodotage.

Maintenant si quelqu'un de Géoforum travaille chez OVH et à accès physiquement au serveur à ce moment la je pense que nous pourrions éventuellement pensé que cette personne à consulter en outrepassant ces fonctions des données confidentielles... Et la encore je le verrais au niveau des logs du serveur.

:)

[trenen23]

Pareil que Guillaume, mais comme j'avais envie de m'exprimer, j'utilise son post

"Bon j'interviens vite fait.

Je crois qu'une manière de couper court à cette histoire de messages lus est de ne pas se donner de sites sensibles par l'intermédiaire du forum. Pour moi qui ne cherche pas beaucoup et ne connait que deux ou trois sites qui font réver, ça ne pose pas grand problème. Pour la plupart nous pouvons communiquer par mèl ou par téléphone directement.

Il me semble qu'il sera difficile de prouver ou d'infirmer quoique ce soit.

Si un gros collectionneur finance le sîte avec l'espoir éventuel de collecter des informations (il me semble que ça ne serait peut être pas très rentable, il doit y avoir d'autre moyens à moindres frais, bien écouter les fuites en bourse, avoir un réseau de contacts qui écoutent ou prospectent pour soi, que sais-je, mais bon, c'est pas le sujet), pas de problème, on utilise son argent pour faire tourner le forum comme on l'entend et on ne donne aucun gisement susceptible de donner des pièces de oufs par mp, on fera quand même du bon boulot.

OK, d'un point de vue éthique, mon intervention ne règle rien, mais bon, c'est pratique et efficace.

Perso, pas le temps ni l'envie de monter une usine à gaz type géoforum, donc je continue avec celui-ci.

Serge "

PS: pour les pros, chercher des messages persos dans une banque assez conséquente juste pour essayer de capter des informations sur un gisement, c'est pas un peu compliqué et aléatoire pour un résultat peu sur

PS2: A l'attention de Müller, il est possible de voir qui a accédé à la base de donnée, où, quand et comment ?

[muller80]

Bonjour,

Oui , tout est tracé.

• connexion
  
• accès
  
• temps de connexion
  
• date et heure
  
• ip
  
• pseudo
  

[1GM]

A noter, que je confirme vos propos vis à vis des lignes de commande.

[...]

Sinon juste pour votre information, la structure BDD du site en l'état demande des connaissances poussées de ces tables, étant données que les conversations personnelles ne sont pas stockées dans une table, mais au travers de 9 tables différentes, sans pseudo mais uniquement avec des ID et du code binaire pour l' horodotage.

J'avais simplifié, le but de ma prose étant de fournir les informations pertinentes permettant a tout le monde de comprendre que cela est possible sous certaines conditions très strictes, ( accès à la machine + compétences + connaissance du modèle de donnée ) pas de donner les informations permettant éventuellement de faire ce genre de manipulation.

[Next50MY]

C'est vraiment du delire complet ces histoires. Si quelqu'un est suffisamment tordu pour aller pirater geoforum pour recuperer des data. Vu le temps passe il est bon a mettre a l'asile.

[AlainR]

C'est le feuilleton de l'été: Piratage sur Géoforum.

Bientôt la rentrée, et on passe à autre chose.

[1GM]

Vu le temps passe il est bon a mettre a l'asile.

Avec les connaissances, les compétences, les accès et un peu de préparation, c'est très rapide.

En l'occurence pour moi, si j'ai connaissance de certaines informations sur la base de donnée et que j'y ai accès cela serais l'affaire de quelques minutes.

Quand on entends dans les médias que plusieurs milliers de numéros de cartes se sont faites voler d'un site internet c'est la même chose, cela va très vite.

Une base de donnée est un logiciel concu pour régurgiter jusqu'a plusieurs millions de lignes d'informations à la minute.

J'ai toute confiance en OVH pour tirer l'affaire au clair.

Pour ceux qui ne connaissent pas, c'est plus qu'un hébergeur, c'est aussi un FAI pour entreprises. ( entre autre )

Note :

c'est pas moi

j'ai les compétences, je n'ai pas les accès, ni certaines connaissances spécifique à la base de Géoforum.

De plus je n'ai aucun contact privés ou professionnels avec OVH ( à part le fait qu'ils sont client des clients de mon employeur : Ericsson ).

[trenen23]

Bon maintenant, je crois qu'on a fait un peu le tour de ce qui est possible et des différentes rumeurs.

J'avoue que, depuis quelques années que je fréquente de nouveau le monde de la minéralogie je suis épaté par le microcosme des "grands" collectionneurs de minéraux, je découvre chaque année un monde qu'on croirait parfois sorti de Dallas avec des ventes de collections pour des sommes assez imposantes, des méchants (qui sont parfois des gentils certaines fois et vice versa tant il est vrai que la nature humaine s'accommode assez mal du manichéisme), des "rabatteurs", si, si j'ai entendu le terme et tant d'autres choses....

Il faut quand même bien garder à l'esprit que tout les amateurs de minéraux ne font pas partie de ce monde (que je ne juge pas d'ailleurs, je compte quelques bons copains qui en sont proches, c'est aussi un monde de passionnés, pas avec mes règles, mais qui sait ce que je serais devenu si j'avais continué, que j'avais eu assez d'argent, et/ou beaucoup moins de nonchalance ?).

Maintenant je me tais (ce qui ne sera pas facile!) et j'attend de voir ce qui ressortira des investigations et aussi ce que me diront quelques miens camarades parties prenantes de l'histoire.

Serge

[JexSavoie]

pirater

Doucement avec les mots, inutile d'en rajouter.

Muller80 explique comment fonctionne la base de données, comment on peut y accéder, qui l'héberge, etc... Il montre également quels sont les moyens de surveillance.

Il suffira ensuite de comparer la rumeur aux éléments factuels, ce qui est de toute façon prévu.

Avant que le sujet ne reparte en sucette, il serait de bon ton de laisser 1GM et Muller80 discuter paisiblement pour faire le tour des interrogations.

[muller80]

J'ai toute confiance en OVH pour tirer l'affaire au clair.

Pour ceux qui ne connaissent pas, c'est plus qu'un hébergeur, c'est aussi un FAI pour entreprises. ( entre autre )

il est important de noté que ce n'est pas OVH qui va faire les vérifications à moins que nous voulions débourser une fortune.

Je travaille actuellement dessus.

Mais afin que vous compreniez clairement qu'il est important pour moi de tirer cet affaire au clair, je vais quand même vous en dire un peu plus.

Il s'agit bien entendu de l'image qui est fait du site, de son équipe d'admin et modérateur que l'on sallit.

Pour un plan un peu plus perso, je suis responsable de la supervision informatique de la banque de france, et je manipule à longueur de journée des données sensible.

Mon nom est connu sur internet, et dans le milieu des réseaux et sécurités informatique.

c'est pourquoi je m'attèle à cette tache afin que lumière soit faite, et que les calomnieurs si tel est le cas seront puni comme il se doit.

A bon entendeur.

PS : ( Si y a des gens qui veulent passer en confession c'est par MP que ca va se passer et ils pourront comtper sur ma clémence et discrétion.)

PS : Ben ouais, je susi pas un charlot d'informaticien mais bien plus que ca ... donc avant de faire des actions en vers autrui, faut se renseigner.

[elasmo]

Ayant déjà subi les actions destructrices sur l'un de mes sites je comprend que l'on veuille trouver le coupable d'une telle exaction.

Bon courage et merci pour votre travail