Security Fail (Big Time) [en]

[fr] Quand on dit que les questions de sécurité sont le maillon faible... Voici un exemple magnifique en action. Visiblement implémenté par quelqu'un n'ayant à disposition qu'un demi-cerveau.

Sometimes I come across stuff online that makes me really mad. Like this:

Security Question Weak Link

And it gets better (yeah, they tell you this after you’ve tried defining your password, of course):

Oh yeah, ask stupid security questions and be tough on your password criteria

Honestly, what were they thinking?! Answer: they weren’t thinking. This was clearly designed by somebody with half a brain. And approved by somebody with half a brain.

This is the online equivalent of putting three locks on your door and leaving the window wide open just next to it.

Anybody with about 5 minutes to spare can easily find my answer to any of these three “secret questions” (aha!) by digging around a bit online.

This is just plain STUPID.

Quechup = spammeurs [fr]

[en] If you get invitations to join Quechup, don't. They will spam your whole address book without asking you for permission.

Si, comme moi, vous recevez dans votre boîte trois ou quatre invitations provenant de personnes que vous connaissez (bien ou moins bien) à rejoindre le réseau social Quechup, n’y touchez pas! ils spammeront tous les contacts de votre carnet d’adresse sans vous demander votre avis!

Voici ce qui se passe: vous vous inscrivez, imaginant qu’un de vos amis vous recommande le service. Ensuite, comme vous commencez à en avoir l’habitude, Quechup vous propose de regarder dans votre carnet d’adresses pour voir si des contacts à vous sont déjà inscrits au réseau.

Vous donnez donc votre adresse et votre mot de passe pour que Quechup aille regarder, confiant que le service, comme d’autres que vous connaissez, vous proposera une liste de noms déjà inscrits que vous pourrez ajouter à vos contacts, et vous permettra aussi si vous le désirez d’inviter par e-mail certaines de vos connaissances.

Erreur! sitôt en possession de votre carnet d’adresses, Quechup envoie aussi sec une invitation à toutes les personnes qui s’y trouvent, sans que vous puissiez l’en empêcher.

Donc: Quechup => poubelle.

Si vous vous êtes fait prendre, premièrement ne vous donnez pas trop de coups de pied, d’autres s’y sont fait prendre (et pas des moindres, parfois, comme Hugh McLeod). Et deuxièmement, avertissez vos contacts (via mail ou blog) de ne pas donner suite à la jolie invitations personnalisée qu’ils viennent de recevoir de votre part… avant qu’il ne soit trop tard!

Empêchez le fléau Quechup de se répandre!

Hairy .htaccess Dreamhost WordPress Problem Solved! [en]

[fr] Résolution d'un problème qui m'a littéralement empoisonné mes vacances. Ouf.

Thanks to grimboy, my “parent” .htaccess now has two extra lines and looks like this (and the problem that has kept me awake for the last week is solved):

AddDefaultCharset OFF
# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_URI} ^/membres.*$ [OR]
RewriteCond %{REQUEST_URI} ^/failed_auth.html$
RewriteRule ^.*$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php

# END WordPress

Thanks so much!

Hairy .htaccess Dreamhost WordPress Problem [en]

[fr] Un des derniers problèmes qui me résistent sur le nouveau serveur.

Here’s roughly what I wrote in a support ticket I sent Dreamhost this morning. If you have any suggestions, I’ll take them.

> Hello,

> I have a site http://cafecafe.ch on which I have installed wordpress
(http://cafecafe.ch/wp/ -> displays as http://cafecafe.ch/blog with
Filosofo Homepage-Control plugin).

> That server has a subdirectory http://cafecafe.ch/membres/ which is
password-protected using .htaccess. Inside is another wordpress
install http://cafecafe.ch/membres/wp.

> I had this set up on my previous host and it worked fine.

> Now, if I go to http://cafecafe.ch/membres/ the request is caught be
the blog installed in http://cafecafe.ch/wp/, and I’m shown the page
http://cafecafe.ch/blog/.

> To make sure it wasn’t a conflict between the two wordpress installs,
I created an empty directory http://cafecafe.ch/test/ which I tried to
password-protect in the same way. The problem is the same (going to
http://cafecafe.ch/test/ displays http://cafecafe.ch/blog). If I
comment out the “request valid-user” line of the .htaccess, I get to
see the directory listing.

> Similarly, if I come back to http://cafecafe.ch/membres and comment
out that line in .htaccess, both wordpress installs work fine, with
permalinks and all (only the private blog isn’t protected anymore,
which won’t do it).

> I’ve tried not doing the password protection manually, and using what
is provided in the panel for that, but the problem remains exactly the
same.

> Weird, isn’t it?

> Hope you can help me out on this. Tried checking error logs but they
were empty.

Slow SSH Login from MacBook [en]

[fr] La connection SSH vers mon serveur depuis mon MacBook est très lente (je dois attendre plusieurs minutes pour qu'il me demande mon mot de passe). Il me semble me souvenir que depuis ma machine Windows à la maison également, il n'y avait rien de cela. L'autre semaine, j'ai essayé de me connecter depuis un tout autre endroit et la réponse a été instantanée. Idées?

Well, it seems that writing about my technical problems here is more efficient than bugging people repeatedly on IRC about them, so let’s continue. Welcome to Bunny’s Troublshooting Centre.

I have trouble SSH’ing into my server from my MacBook. Trouble, here, means I have to wait a couple of minutes (no exaggeration) for the password prompt. If I’m quick enough and type my password in before it times out, I’m in.

I logged in from somewhere else the other week and it responded almost immediately. I don’t recall that logging in from home (same wifi/DSL connection) from my winbox was sluggish.

Any ideas? I’ve run SSH with the verbose option on, and it does throw up a few warnings an errors. I don’t really want to paste it all here, but if you tell me what bits are useful I can put them in a pastebin. Thanks for any ideas/help/assistance.