Google rassure les utilisateurs de Gmail

With help from affected users, we determined that the cause was a phishing scheme, a common method used by malicious actors to trick people into sharing their sensitive information. Attackers sent customized e-mails encouraging web domain owners to visit fraudulent websites such as "google-hosts.com" that they set up purely to harvest usernames and passwords. […]

Several news stories referenced a domain theft from December 2007 that was incorrectly linked to a Gmail CSRF vulnerability. We did have a Gmail CSRF bug reported to us in September 2007 that we fixed worldwide within 24 hours of private disclosure of the bug details. Neither this bug nor any other Gmail bug was involved in the December 2007 domain theft.

Et je ne vois aucune raison d’en douter. Comme je l’avais dit dans mes commentaires relatifs à la couverture médiatique de la supposée faille, la façon la plus simple et la plus efficace de hacker quoi que ce soit a toujours reposé sur le social engineering ; il est bien plus rentable de récolter en masse logins et mots de passe pour regarder ensuite qui possède un nom de domaine, plutôt que de créer des filtres cachés sur tous les comptes Gmail possibles et demander des rappels de mot de passe au hasard sur GoDaddy en espérant tomber sur une adresse qu’on a hackée. Ou, encore moins efficace, cibler un individu en particulier.

Les filtres cachés n’étaient pas le mécanisme essentiel de l’attaque, mais simplement un dispositif facilitant légèrement le travail du hacker, lui permettant de minimiser le temps passé connecté sur le compte de la victime, et s’assurant qu’elle ne recevrait pas le mail de confirmation du transfert de nom de domaine via POP ou IMAP, ou en ouvrant sa page Gmail pile au bon moment.

Au passage, Gmail favorise tout de même ce genre d’attaque par sa réticence à effacer quoi que ce soit : un hacker ayant accès à votre compte trouvera très facilement des messages dans l’archive si vous possédez un nom de domaine. Voire un message de rappel de mot de passe qu’il n’aura même pas à demander lui-même. Enfin, à supposer bien entendu que l’accès à votre nom de domaine soit protégé par un autre mot de passe que votre compte Google.

Et Google contribue aussi au phishing de comptes Gmail en utilisant les mêmes logins et mots de passe sur tous leurs sites. Passons sur les outils sociaux à la noix qui vous demandent votre mot de passe Google ou Hotmail pour copier votre carnet d’adresses ; plus il y a de services officiels et légitimes qui demandent votre mot de passe Google (incluant les sites App Engine), plus les utilisateurs vont le donner à quiconque le demande.

Sinon… est-ce que je devrais stresser que l’exemple “google-hosts.com” donné par le blog officiel me rappelle quelque chose ? Ou il y a un site réel dont l’adresse ressemble à ça ?

Je ne tape généralement pas mon mot de passe quand j’ai le moindre doute quant à qui pose la question (j’ai même changé mon mot de passe Twitter après avoir découvert qu’une application iPhone l’enregistrer sans prévenir sur les serveurs du développeur), mais personne n’est à l’abri d’une erreur, dans ce domaine.

Et, bien sûr et très évidemment, je change mon mot de passe Gmail toutes les semaines. Non, tous les jours, même. Enfin, tout ça pour dire que j’ai toujours eu une alerte iCal me rappelant de le changer toutes les six heures (ainsi que les mots de passe de mes noms de domaine et de mes serveurs, et le numéro de ma carte bleue).

Au fait, vous savez que tous les mots de passe de l’univers ne servent à rien si vous avez répondu la vérité à la “question secrète” de rappel du mot de passe, hein ?

P.S. La cross-promotion de Blogspot, c’est bien joli, mais quand j’arrive sur googleonlinesecurity.blogspot.com depuis TechMeme, comment je suis censé être sûr que c’est un vrai blog officiel de Google ?

How podcasts work with iPhone 2.2 and iTunes

Selecting "get more episodes" launches mobile iTunes and usually brings up the podcast in question. This doesn’t always work if the naming of the podcast in the iTunes subscription differs from that on cloud iTunes (the Store), or if the podcast is one of the three or four that isn’t listed in the cloud iTunes podcast directory.

Je n’avais pas réalisé (parce que je n’avais pas testé le bouton “Get more episodes…” mais seulement l’abonnement à un nouveau podcast depuis l’iTunes Store) que l’iPhone 2.2 ne connaissait pas l’URL des feeds de vos podcasts, et vous renvoyait simplement sur une recherche par titre dans le Store.

Et je ne suis pas d’accord avec l’opinion de l’auteur que ça n’affecte que “les trois ou quatre” qui ne sont pas listés dans l’iTunes Store. L’intérêt des podcasts, et du RSS, c’est que ce sont des formats ouverts et libres ; jusqu’ici, iTunes était un agrégateur RSS décent, qui vous permettait de vous abonner à n’importe quel feed… mais voilà qu’Apple relègue les podcasts non listés dans le Store à l’état de citoyens de seconde zone, punissant leurs abonnés qui utilisent un iPhone ou iPod touch.

Quelqu’un peut avoir une bonne raison de ne pas lister son podcast dans l’iTunes Store (tout le monde n’essaie pas forcément d’avoir des milliers d’auditeurs) ; et certains podcasts peuvent être rejetés si leur contenu est jugé trop osé. Je ne vois aucune bonne raison que ces podcasts se retrouvent exclus du téléchargement mobile alors qu’iTunes aurait tout simplement pu donner l’URL du feed à votre iPhone.

C’est de l’abus de position dominante de la pire espèce, qui ne donne aucun avantage à Apple mais est simplement né de la paresse des développeurs.

Oh, et l’article d’Ars mentionne aussi une fonctionnalité manquante de l’application iPod, qui trouve sa source dans le même choix de conception : l’application affiche uniquement les podcasts pour lesquels vous avez déjà des épisodes chargés dans votre iPhone. Si, comme moi, vous effacez les épisodes immédiatement après les avoir écoutés, le podcast n’apparaîtra pas, et vous n’aurez donc pas le bouton “Get more episodes…” ; si vous n’êtes pas devant votre ordinateur, votre seule option sera de vous souvenir du titre du podcast pour faire une recherche dans le Store.

L’iPod touch 25% plus rapide que l’iPhone ?

The most clear difference is that fact that the iPod Touch’s processor was quietly boosted to 532MHz (up from 412MHz) with the 2nd generation model introduced in September. Meanwhile, the iPhone 3G, Original iPhone and 1st Generation iPod Touch continue to run at the original 412MHz.

Hmm.

On pourrait trouver une logique à limiter la fréquence du processeur de l’iPhone pour améliorer l’autonomie, mais je ne comprends pas bien pourquoi Apple ne limiterait pas de la même façon le Touch, ne serait-ce que pour préserver l’homogénéité de la plateforme.

Est-ce qu’ils cherchent sérieusement à faire de l’iPod touch une console de jeux portable ? Ou ils l’utilisent juste pour béta-tester le processeur à 532 MHz ?

It seems that there are additional factors, however, as there are performance differences even found between the models that run at the same speed. […] Due to the heavy 3D nature of his game, Fessler speculates the GPU speeds could have been tweaked as well, but there is no hard evidence of this at this time.

Quoi qu’il en soit, ça change un peu ma perspective sur les intenses spéculations quant au fait qu’Apple compterait concevoir des processeurs maison pour les futures révisions de l’iPhone : je pensais qu’ils éviterait de segmenter la plateforme plus que strictement indispensable, mais il se pourrait en fait qu’ils s’en fichent totalement.

via macrumors.com

Apple réinvente les années 90

Il y a une chose qui me manque toujours de mon Nokia 6110 de 1998, et ce n’est pas la peinture métallisée violette/verte : on pouvait regarder l’écran à tout moment et savoir quelle heure il était et si on avait de nouveaux messages. Ca fait des années que je bloque sur l’idée que ces beaux téléphones modernes avec des écrans couleur super évolués représentent un tel retour en arrière ergonomique, et que tout le monde s’en fiche (une poignée de téléphones à clapet ajoutant un petit écran externe pour régler ce problème).

Visiblement, il y a aussi des ingénieurs de chez Apple que ça ennuie, et ils ont breveté l’idée de faire des trous à l’emporte-pièce dans le rétro-éclairage de l’écran, pour mettre derrière des LED qui pourraient s’allumer ou clignoter quand l’éclairage est éteint et que vous avez de nouvelles notifications.

J’allais écrire que ce serait l’une des nouvelles fonctionnalités qui vous donneraient envie d’acheter le modèle 2009 de l’iPhone, mais à bien y réfléchir je ne suis pas sûr qu’ils aient vraiment l’intention d’exploiter le brevet : il me semble que faire des trous dans le rétro-éclairage va poser de gros problèmes techniques pour ce qui est de conserver un éclairage homogène sur tout l’écran (en regardant mon iPhone la nuit dernière, j’ai réalisé que ça doit déjà être une prouesse technique d’avoir une intensité si homogène sur un écran si grand sur un téléphone si fin), alors que ça serait tellement plus simple de mettre une ou deux diodes au-dessus ou au-dessous de l’écran, à côté de l’écouteur ou du bouton Home — du moins, tant que l’iPhone est plus grand que l’écran lui-même.

Et, du coup, on se demande : pourquoi diable il n’y a pas déjà des diodes pour prévenir qu’on a reçu un nouveau message ? (Réponse : parce qu’il y a des ingénieurs de chez Apple que ça intéresse, mais Steve, lui, s’en fiche.)

Réalitée augmentée en Flash

Je n’allais pas tester personnellement, parce qu’il faut imprimer un symbole spécial et ma webcam est pourrie et j’ai tendance à fuir les applications intensives en Flash sur mon iMac G5, mais je n’ai pas pu fermer la page, parce que je n’arrivais pas à croire que ça fonctionne et il fallait que j’essaye.

Et ça marche, et vous devez absolument tester vous-mêmes.

Donc, on imprime un symbole (un gros carré noir avec “Hiro” — allez savoir pourquoi — écrit sur un côté pour indiquer l’orientation), on autorise l’application Flash à accéder à la webcam, on présente le symbole devant la caméra et… bam ! un monstre animé en 3D.

Il n’y a rien d’extraordinaire dans la technologie utilisée (ça fait vingt ans qu’elle est présentée dans tous les salons d’image numérique, et Sony l’utilise dans le jeu Eye of Judgment sur PS3), mais ce qui est incroyable est que ça fonctionne dans une application Flash, sans installer quoi que ce soit à côté.

Bien sûr, sur mon iMac je me retrouve avec 5 ou 10 images par seconde et 100% d’utilisation du processeur, mais ce n’est pas très différent de ce que j’ai simplement en affichant ma webcam dans Flash. Et plus personne n’utilise un iMac G5. (Hint, hint, Nowêêêl, Nowêêêl.)

via hackaday.com

Google Mobile utilise des fonctions non documentées

Si vous vous demandiez pourquoi il n’y a pas plus d’applications iPhone qui utilisent le capteur de proximité pour savoir quand vous voulez leur parler, il s’avère que les fonctions correspondantes de l’API ne sont pas accessibles au public.

C’est-à-dire que vous n’êtes pas censés savoir qu’elles existent, vous n’êtes pas censés les utiliser, et Apple n’est pas censé accepter sur l’App Store une application qui les utilise.

Pas que je trouve ça très grave (le SDK de l’iPhone est relativement jeune et instable, ce qui est la principale raison pour laquelle certaines fonctionnalités peuvent être réservées, et je ne trouve pas ça vraiment scandaleux que Google, qui fournit par ailleurs des services essentiels à l’iPhone, bénéficie d’un léger favoritisme), mais c’est une information intéressante. Et peut-être que je serais vraiment choqué personnellement si j’avais sorti les 100$ pour entrer dans le club des développeurs iPhone.

Et puis, après ça, ils ne vont pas pouvoir empêcher les développeurs tiers d’utiliser cette API dans leurs futures applications, si ? Haha, la bonne blague, comme s’ils allaient se gêner.

via hackaday.com

Jerry Yang quitte Yahoo

Ben oui, il ne faudrait pas croire que tous les fondateurs de start-ups vont forcément avoir le succès de Steve Jobs en revenant diriger leur entreprise.

kara.allthingsd.com

i strongly believe that having transformed our platform and better aligned costs and revenues, we have a unique window for the right ceo to take ownership over the next wave of mission-critical decisions facing the company.

En d’autres termes : les actionnaires feront tomber autant de têtes que Ballmer l’exigera avant d’accepter de considérer à nouveau un rachat.

Je trouve ça extraordinaire (c’est-à-dire que je vais faire des cauchemars cette nuit à cause de cet e-mail) que le fondateur de Yahoo mette encore en 2008 le point d’exclamation à la fin du nom, mais n’utilise pas la moindre majuscule de toute la lettre. Je ne sais pas exactement de quelle façon, mais c’est totalement logique et ça explique beaucoup de choses.

Lancement raté pour la reconnaissance vocale de Google

Vendredi matin, à l’annonce de la nouvelle application pour iPhone de Google, tout le monde exprimait autant de doutes quant aux fonctionnalités (est-ce que c’est vraiment utile d’envoyer un mp3 aux serveurs de Google, et passer à travers les erreurs de leur reconnaissance vocale, plutôt que taper simplement une courte recherche au clavier ? cool, certainement, mais utile ?) que par rapport à la date annoncée — le processus d’approbation de l’App Store étant ce qu’on connaît.

mashable.com

First, let me be clear about one thing: this is a great idea, and one day, far in the future, voice input to various pieces of hardware around us might become a part of our everyday life. But right now, I’ll eat my hat if this thing is reliable enough - and we’re talking street conditions, crowded coffee house conditions; in short, normal situations - to use on an everyday basis. I bet that two times out of three Google’s software will misunderstand you and give you the wrong results. And I bet that in the end, the majority of users who try the feature out will go back to standard (virtual) keyboard input.

arstechnica.com

Google’s updated iPhone application could arrive as early as today, though we’re all familiar with how consistent Apple’s approval process is. Still, when it does arrive, Google’s Mobile App for iPhone will remain at the wallet-friendly price of free.

Deux jours plus tard, c’est l’apocalypse ! Apple a complètement niqué Google, Google est foutu, la Bourse va s’effondrer !

apple20.blogs.fortune.cnn.com

For tech bloggers, this was bigger than Barack Obama.

techcrunch.com

Sometime Friday they found out Apple wouldn’t be pushing it, despite the fact that Google submitted it for review earlier in the week and got a thumbs up for Friday. One source says they’ve had little direct contact with Apple during the review, instead getting their updates via the standard iPhone developer tool, which has said “in review” for the last few days.

Who knows why Apple delayed the application, or why they tend to treat every application developer equally poorly. But in this case Apple really screwed up in our opinion.

Je hais les blogueurs, et les journalistes.

Est-ce que je viens bien de lire, dans le même article, que Google n’avait aucune réponse définitive de la part d’Apple, mais a décidé d’annoncer à tout le monde que l’application devait certainement sortir vendredi, et c’est la faute d’Apple si l’application est en retard ?

J’ai déjà eu l’occasion de dire à quel point le fonctionnement de l’App Store était foireux, mais pour compter sur une date de sortie raisonnable et prévisible maintenant, avec tout ce qu’on en sait, il faut être deux fois plus stupide qu’Apple.

Quoi qu’il en soit… pour ce qui est de commenter l’application elle-même et ses fonctionnalités, je continue d’attendre qu’elle soit installée sur mon iPhone. (Ce qui pourrait prendre encore plus de temps qu’on ne pourrait le croire, parce que ça ne m’étonnerait pas qu’elle soit réservée au territoire américain, comme l’était au début la version 1.0. Il n’y avait pas vraiment de bonne raison à l’époque, mais maintenant il pourrait.)

Le chat vidéo Gmail sur iChat

Oohh… pas testé personnellement, mais s’ils le disent c’est que ça doit être vrai ; on a enfin quelque chose de viable pour remplacer MSN sur les sites de cul.

il suffit de créer un nouveau compte Jabber dans iChat et de mettre son adresse Gmail dans identifiant Jabber […]

Serveur : talk.google.com

Port : 5223

Cocher :

- Se connecter avec SSL

- Autoriser les certificats auto-signés

P.S. Une mise à jour du post semble indiquer qu’il s’agit juste de la vidéo iChat qui tourne par-dessus l’accès Jabber à Google Talk, ce qui n’a rien de nouveau et n’est pas compatible avec le chat vidéo Gmail. Ca m’apprendra à faire confiance à un autre blog et écrire quelque chose sans l’avoir testé (qui est-ce qui m’avait recommandé MacBidouille, déjà ?).

Steve Jobs demos the iPhone

Sur les sept derniers jours je suis tombé sur au moins deux mentions de “kremlinologie” se rapportant aux rumeurs Apple ; il s’avère que la comparaison n’est probablement pas abusive.

Lors de sa présentation de l’iPhone en janvier 2007, Jobs a fait une démonstration des favoris de l’application téléphone en ajoutant Phil Schiller à ses favoris et en retirant… Tony Fadell (à 5:50 dans la vidéo). Plus de dix-huit mois avant que le chef de la division iPod quitte Apple dans l’un des changements administratifs les plus commentés de l’année.

Vu que c’était le lancement de l’iPhone, et que tout le monde devait penser sur le moment qu’il sortait de la division iPhone (ce qui n’était pas le cas, parce que Cocoa Touch l’avait emporté sur l’idée d’un autre système d’exploitation plus spécifique^*), personne n’y a vu de message. Enfin, personne en-dehors d’Apple — j’imagine que tout le monde a bien compris ce qui se passait, sur le campus, et que Fadell a juste passé tout 2007 à attendre et espérer que l’iPhone se plante.

via daringfireball.net