Le message hilarant de l’interface de gestion des DNS chez #SFR Business Team

SFR SQLi
… Our website may be subject to SQLi

Il y a des trucs comme ça, quand on ne s’y attend pas, ça fait vraiment du bien.

Alors que j’étais en train de m’arracher les cheveux à comprendre comment changer un enregistrement A sur l’interface de gestion des DNS de SFR Business Team pour un ami (et donc à comprendre que je ne peux pas le faire moi même et qu’il faut en faire la demande pour la modique somme de 60€ HT)…

Je suis tombé alors sur l’un des messages les plus hilarants qu’il m’ait été donné de découvrir sur une interface clients. J’en ai conservé un screenshot que je partage ici avec vous (cliquez pour agrandir).

sfrbusinessteamfail

Pour les personnes qui n’ont pas compris la subtilité de ce message, SFR avertis gentiment l’utilisateur que le champs de commentaire est probablement vulnérable à des injections SQL. Donc, pour des raisons de sécurité, (comprenez la sécurité du site SFRBusinessTeam et de ses clients)… s’il vous venait à l’esprit de leur laisser un commentaire, ça serait bien d’éviter de mettre leur base de données à poil en utilisant les caractères et chaines de caractères mentionnés… Bref le genre de message que je n’avais encore jamais croisé jusque là.

sfr lulz

Chapeau la Business Team et merci pour le fou rire 😉

Update 1 : Le gag avait déjà été reporté en janvier dernier(!) par Sebsauvage <3.

Attention ce qui suit est un scoop 🙂

Update 2 : Bon alors pas de panique surtout, bientôt on pourra modifier nos DNS grâce à Office365 directement depuis un doc Word ou Excel !

Capture d’écran 2013-11-20 à 15.40.15

admin cat

21 réponses sur “Le message hilarant de l’interface de gestion des DNS chez #SFR Business Team”

  1. Merci pour l’article, j’ai bien ri.

    Par contre, je suis client chez eux et je me sens moyennement rassuré. Qu’il y-ait des failles permettant de l’injection SQL, c’est une chose. Par contre, qu’SFR prenne le temps de rajouter un message dévoilant la faille de façon aussi évidente, plutôt que de la patcher, je trouve ça d’une naïveté qui confine à la bêtise.

    PS : je ne sais pas si c’est normal mais les labels des champs « Avertissez-moi par email des nouveaux commentaires. » et « Avertissez-moi par email des nouveaux articles. » apparaissent en blanc sur fond blanc (j’utilise IceWeasel comme navigateur).

  2. mais noooooon office365 comme « votre bureau dispo 365 jours par an », un nom marketting comme on les aime, qui ne tient pas compte du nom du produit microsoft eponyme

  3. Pas de problème pour Office365, ils vont racheter le firewall d’openoffice, comme ça, tout sera protégé des méchants qui font que du sql injection et de l’arp poisonning…

  4. Je pense que vous pouvez vous rassurez car pour avoir essayer, il a plusieurs filtres SQL, XSS installés sur leurs plateformes. Je pense que le message est plutôt destiné à des utilisateurs qui ne comprennent pas pourquoi certains mots clés ou caractères sont interdits 🙂

  5. Perso si un jour Orange Business me demande des sous pour chaque opération DNS, c’est aurevoir et gogo Amen, Ovh ou autre…

  6. … modification AName …
    Heuuu…. Ce ne seraitr pas plutôt « modification de l’enregistrement A » ?

  7. c est quand meme merveilleux ca! un dev web qui est amputé des deux mains et qui code comme un demi manchot… et qui t explique comment eclater son serveur…
    j ai du mal a trouver les mots…

    1. heeee mais quand j y pense ca rejoint ton histoire perso! il mettent une grosse faille en place et en font la pub puis attaquent en justice les vilains pirates!
      ok pas drole je sors…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.