Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Désactiver la version mobile
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes

L'équipe de sécurité de WebARX a identifié cette brèche et en a informé l'éditeur avant sa publication. Elle est bouchée à l'heure actuelle par la version 2.0.22. Selon WordPress, ce plug-in est utilisé sur plus de 40 000 installations. Il permet d'ajouter des boutons pour partager du contenu sur les réseaux sociaux.

Dans le détail, cette faille permettait à des utilisateurs basiques de modifier des options d'installation de WordPress (table wp_options), ce qui ne devrait évidemment pas être le cas. Dans cette vidéo, WebARX montre comment il a pu changer l'adresse email du compte administrateur.


Chargement des commentaires
À découvrir dans #LeBrief

La brèche a été identifiée par les chercheurs de RIPS Tech et reprise par The Hacker News. Deux failles distinctes permettent à un compte auteur de prendre le plein contrôle du CMS et d'exécuter arbitrairement du code.

Les chercheurs ont contacté WordPress le 16 octobre via la plateforme Hackerone. Après des échanges, l'équipe de WordPress a confirmé la brèche et esr parvenu à reproduire l'attaque.

Mais le 6 décembre, WordPress 5.0 a été mis en ligne… sans correctif. Il faudra attendre la version 5.0.1 pour qu'une des deux failles soit corrigée. Le 14 février, un patch est finalement mis en ligne et RIPS Tech confirme son efficacité.

Si ce n'est pas déjà fait, il est donc plus que recommandé de mettre à jour votre site.

Cette initiative s'inscrit dans le cadre des 30 ans du web. Pour rappel, c'est le 12 mars 1989 que Tim Berners-Lee propose ce projet au CERN. Le navigateur WorldWideWeb fonctionnait sur un ordinateur NeXT. Le 30 avril 1993, le CERN l'a mis dans le domaine public.

Aujourd'hui, l'organisation européenne pour la recherche nucléaire propose de voyager dans le temps avec une restitution la plus fidèle possible et accessible via un navigateur moderne. Les développeurs en charge du projet ont d'ailleurs pu rencontrer Robert Cailliau, un des pères du World Wide Web avec Tim Berners-Lee.

Vous pouvez naviguer sur n'importe quel site en cliquant sur Document et ensuite sur Open from full document reference. Saisissez l'URL de votre choix et validez. Pour rappel, ce navigateur permet également de réaliser des modifications en temps réel sur le page.

Microsoft a introduit la Timeline (Affichage des tâches) avec l’April 2018 Update. La fonction est disponible juste à droite de la zone de recherche dans la barre des tâches.

Cette vue rappelle fortement le mode Exposé de macOS, mais avec une différence importante : on peut faire défiler l’écran vers le bas, révélant les documents, photos, sites et autres ouverts les jours précédents. La fonction peut être désactivée, l’installation de Windows 10 posant même la question. Les données sont synchronisées entre les machines par le compte Microsoft.

Problème pour Microsoft : outre tous les formats de base reconnus, les applications doivent être compatibles pour s’afficher correctement dans la Timeline. Par exemple, pour reprendre un rapport à la page où l’on s’était arrêté.

L’éditeur propose justement une extension officielle pour Chrome. Une fois installée, elle demande une connexion au compte Microsoft. L’historique du navigateur sera alors récupéré par la Timeline, qui permettra à son tour de retrouver un onglet particulier.

En fait, puisque l’extension existe, on se demande si Microsoft ne travaille pas directement au support de la Timeline dans le code source de Chromium.

La nouvelle version d’Edge supportera nécessairement les fonctions spécifiques de Windows 10. Comme pour la Mixed Reality, il y a donc de fortes chances de voir rejaillir cette prise en charge dans Chrome lui-même, et par ce biais dans Brave, Opera et Vivaldi, pour ne citer qu’eux.

C'est donc aujourd'hui que Samsung présente ses nouveautés. La conférence se tient à San Francisco et débutera à 20h heure française.

Les annonces devraient être nombreuses. Bien évidemment, nous retrouverons toute la famille des Galaxy S10, S10e et S10+, mais aussi des montres et bracelets connectés, ainsi qu'un smartphone pliable. Ce dernier sera certainement une des tendances du salon.

Pour rappel, c'est également aujourd'hui que Vivo dévoile son V15 Pro en Inde, avec un capteur optique en façade rétractable de 32 Mpixels. La conférence est diffusée depuis 7h30 ce matin sur YouTube.

Xiaomi présente son Mi 9 en Chine aujourd'hui également (enfin le 20 février en Chine, avec un décalage horaire de +7h avec la France). Rien n'est précisé sur une éventuelle diffusion en direct, mais le compte Twitter de la marque a déjà publié quasiment tous les détails sur ce smartphone.

Le nouveau domaine de premier niveau (TLD, pour Top Level Domain) vise évidemment les développeurs, mais pas seulement : designers, écrivains ou encore architectes sont invités.

En clair, tout projet nécessitant un développement de longue durée et tout ce qui peut bien s’y rapporter. Google continue ainsi de créer des TLD thématiques, après les .pages pour assurer une présence en ligne et les .app dédiés aux applications.

Pour donner de la visibilité au nouveau domaine, Google s’est assuré l’accompagnement de quelques poids lourds : GitHub.dev, Grow.dev, Accessibility.dev, Slack.dev, JetBrains.dev, Women.dev (Women Who Code) ou encore Codecademy.dev.

Le cas de Slack est représentatif. Son site .dev permet d'y regrouper toutes les ressources dédiées aux développeurs, comme les SDK, la documentation, les exemples de code et ainsi de suite.

Tout nouveau domaine sera obligatoirement en HTTPS, Google en profitant pour vanter les mérites de son nouveau TLD : « Avec chaque site .dev lancé, vous aidez le web à progresser vers un futur avec HTTPS partout ».

Depuis hier et jusqu’au 28 février, les domaines sont disponibles via l’Early Access Program, permettant de réserver un nom pour un coût additionnel. Plus on avancera vers le 28, moins le tarif sera élevé (au risque bien sûr de voir un nom particulier s’échapper).

Le lancement est donc prévu pour le 28 février, à un tarif qui dépendra du registrar. Google en fournit une liste filtrable par TLD. On y trouve par exemple Gandi, dont les tarifs débutent à 16,81 euros par an.