[MàJ] Le site PHP.net n’est plus « suspect » selon Firefox et Google
Ouf !
![[MàJ] Le site PHP.net n'est plus « suspect » selon Firefox et Google](https://cdn.next.ink/inpactv7/data-next/images/bd/wide-linked-media/0.jpg "[MàJ] Le site PHP.net n'est plus « suspect » selon Firefox et Google")
Depuis quelques heures, Chrome indique que le site PHP.net « contient un logiciel malveillant », même situation pour Google qui précise que « ce site risque d'endommager votre ordinateur ». Véritable danger ou faux positif ? Rasmus Lerdorf, créateur du PHP, penche pour la seconde hypothèse.
Vous avez été nombreux à nous alerter, notamment via Twitter : selon Google, PHP.net serait un site contenant un logiciel malveillant. Résultat, que ce soit depuis le moteur de recherche, ou bien en tapant directement l'adresse du site dans son navigateur, un message d'alerte apparaît. Même situation avec Firefox, tandis qu'il ne se passe rien de particulier avec Internet Explorer.
Google précise que « sur les 1613 pages du site que nous avons testées au cours des 90 derniers jours, un certain nombre (4) entraînait le téléchargement et l'installation de logiciels malveillants sans l'autorisation de l'utilisateur. La dernière visite effectuée par le robot Google sur ce site a eu lieu le 2013-10-24, et le dernier contenu suspect sur celui-ci a été détecté le 2013-10-23. Parmi les logiciels malveillants, les éléments suivants sont présents : 4 trojan(s) ».
Faux positif ou véritable souci de sécurité ? D'après Rasmus Ledorf, le créateur du PHP, il s'agit d'un faux positif. Toujours selon ce dernier, le souci viendrait du fichier php.net/userprefs.js, c'est du moins ce qui serait indiqué dans le Webmaster Tools de Google :
It appears Google has found a false positive and marked all of http://t.co/yKzgbWewmH as suspicious. pic.twitter.com/YDlHcUnCK6
— Rasmus Lerdorf (@rasmus) October 24, 2013
Changement de règle concernant les javascript, ou bien simple faux positif ? Cela reste à voir. Nous tâcherons d'en savoir plus avec Google et nous mettrons cette actualité à jour si besoin.
Commentaires (15)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 24/10/2013 à 13h42
Le site fonctionne sans problème chez moi avec Firefox et Chromium. C’est juste sous Windows ?
Le 24/10/2013 à 13h45
Le 24/10/2013 à 13h51
Le 24/10/2013 à 13h52
J’ai eu l’erreur sous Firebox Grosbuntu.
Le 24/10/2013 à 13h55
Le 24/10/2013 à 14h30
Ca ne bloque apparemment plus sous Firefox en effet. Sous Chrome en direct non plus, reste le cas du moteur de recherche de Google
Chrome en direct ça bloque chez moi.
Le 24/10/2013 à 14h36
Faux positif ou pas , y’avais apparement quand même anguille sous roche , avec un code obfusqué contenu dans le javascript , code qui créer une iframe sur la page et redirige faire un autre domaine …
cf :https://news.ycombinator.com/item?id=6604156
Le 24/10/2013 à 14h55
Jusqu’au jour où ils vont faire un faux positif sur Google
http://goo.gl/Dk6YVD
Le 24/10/2013 à 15h46
“and marked all ofhttp://t.co/yKzgbWewmH” => TOUT ça pour écrire php.net ??? non mais sérieux ???
" />
Le 24/10/2013 à 17h24
J’ai gagné 2h de café car sans la doc, je n’ai pas les conditions minimales pour travailler
" />
Le 24/10/2013 à 19h34
Le 24/10/2013 à 21h31
Le 25/10/2013 à 04h38
Visiblement c’était pas vraiment un faux positif :
Ars Technica
Le 25/10/2013 à 09h45
Ouai pas du tout un faux positif!
http://php.net/archive/2013.php#id2013-10-24-1
http://php.net/archive/2013.php#id2013-10-24-2
N’empêche c’est super intéressant comme attaque, ça cible les devs php qui ont été consulter la doc. Du coup si le dev est infecté tu peux potentiellement récupérer les infos sur ses projets, les accès, …
Le 25/10/2013 à 12h50
En aparté, il n’est pas très étonnant que les trois cas cités donnent le même résultat car ils s’appuient tous sur “safebrowsing” de google (une petite recherche dans about:config de firefox le confirmera).