Pourquoi Feedburner ?
Parce que je protège le fil rss de base par un htaccess afin que personne n'accède aux sms que vous m'envoyez. Feedburner me permet de quand même agréger ce fil en introduisant le login et le mot de passe avant l'adresse du fil.
Exemple :
- sans mot de passe : http://www.kooolman.net/smsme4free/rss.php
- avec le mot de passe : http://joel:codemaz@www.kooolman.net/smsme4free/rss.php
Alors, vous allez me dire que je révèle mon mot de passe ici ! Ben oui. Tout 'simplement' parce que Feedburner l'a déjà fait à ma place ! A travers un système qu'il met lui-même à disposition de tout le monde : Feedmedic.
Et c'est là qu'il y a une faille de sécurité.
Feedmedic est un service se trouvant dans le panel d'administration de Feedburner (onglet 'Troubleshootize') mais aussi sous forme de fil rss. Pour mon compte, il s'agit de http://feeds.feedburner.com/~u/kooolman
En allant sur ce lien, vous pouvez voir tous les problèmes rencontrés par mes fils rss. Problème de connexion, lien inexistant, ...
Service honorable puisqu'il me permet de me tenir au courant rapidement d'un problème sur un de mes fils rss et d'y remédier.
Le seul problème, et pas des moindres, c'est que Feedmedic livre le fil rss, login et mot de passe compris !
J'ai bien pensé protégé ce fil avec le système de protection par mot de passe disponible via le panel d'administration de mais Feedmedic continue de délivrer le login et le pass. Leur système de protection ne sert donc à rien !
Ainsi, si emichbe, vinch ou guim, .. avaient un problème dans un de leurs fils rss protégés, on pourrait librement découvrir leurs mots de passes.
Si quelqu'un connaît un moyen de protéger ce service, qu'il me fasse signe, je suis évidemment preneur.
Euh... depuis, j'ai changé mon mot de passe et déplacé le fil rss dans un autre répertoire.
05.07.2007, 19h15 : j'avais envoyé un mail ce matin au support de Feedburner pour leur signaler ce problème. Voici leur réponse :
Hi there ... I don't speak French, but I think I see the issue!En effet, en allant sur 'My Account' (tout en haut de la page d'accueil) puis 'Feedbulletin', il y a possibilité d'obliger la demande de login et pass quand on veut se rendre sur son FeedMedic.What I would recommend in this particular case is that you password protect your FeedBulletin page, which you can do from the "My Account" settings. Then, the feed will not be casually viewable.
Also, we should scrub those URLs so they are not displayed ... we'll try to get to that soon. Thanks!
Réponse très rapide du support et rectification de mon erreur.
Sorry Feedburner, you're perfect !
Commentaires
Aucun commentaire pour le moment.