[_o_]

Bonjour à tous,

Suite à des remarques récurrentes sur la validation manuelle de certaines épreuves (celle où un intermédiaire se charge de valider le résultat avant d'envoyer le mot de passe), et après une discussion ce soir sur irc, je me propose pour établir une liste des épreuves qui, selon moi, pourraient être passées en /dev/null.

Bien sûr, cette liste n'est qu'une suggestion personnelle, j'y exprime les raisons qui me conduisent à penser qu'elles sont à mettre de côté. Si certains pensent à d'autres épreuves moisies ou mal fichues, ou ont des arguments à m'opposer, la discussion est ouverte !

Voici ma liste :
- protect.dll (Crackme) : validation manuelle.
- KeyMe (Crackme) : validation manuelle.
- Jean-Claude et son réveil (Programmation) : validation manuelle.
- .htaccess (Hack) : pourquoi ne pas sortir une nouvelle version, avec moins de guessing, et qui ne soit pas validable avec la même technique que .htaccess reloaded ?
- Homophonique (Cryptographie) : pour les raisons exposées dans l'afterwards.

Voilà, c'est à vous maintenant.

[robert33]

Je rajoute En hommage à ACiD (Cryptographie) : elle n'a pas sa place en crypto d'une part et elle n'apporte pas grand chose d'autre part.

[BAAL]

Appels internationaux.

[_o_]

Appels internationaux.

Bon. Un argument ? (à part que tu as honte ? )

[BAAL]

Ca a longtemps été la seule épreuve du site à moins de 5/10 (jusqu'à très récemment).
Elle n'apporte pas de connaissance et n'est pas fun à résoudre.
Le mot de passe n'est pas clair et prête à confusion.

Voilà .

[WiebeN]

Salut,

un petit ménage de temps en temps à mon avis ça peut pas faire de mal.

- Pour ce qui est des épreuves à validation manuelle, un peu dur de donner mon avis étant donné que je n'en ai jamais essayé. Cependant le principe me paraît un peu en décalage avec l'idéologie de Newbiecontest. Comment faire si le(s) administrateur(s) sont absent(s) pendant 2 mois? Ça doit être assez frustrant pour les challengers... Pour ne pas perdre l'interêt de certaines épreuves, ne pourrait-on pas en simuler certaines online? Pour des crack du genre KeyMe (si le principe est bien celui auquel je pense), ça devrait être possible d'imaginer ça...

- Pour les épreuves qui n'ont pas leur place pour cause de manque d'interêt ou de trop grand guessing : Si tout le monde est d'accord et que personne ne développe d'arguments en faveur, je pense que leur mise en dev/null est une bonne chose. Toutes les épreuves avec moins de 6/10 (et entre 10 et 500 valid, car les premières épreuves de chaque catégories ont leur place sur ce site) devraient être soumises au débat.
A appels et internationaux et homophonique je rajouterais "Quand le java est là" (c'est limite du code à trou, rien de pédagogique là dedans) et peut-être "des petits ronds" qui a une note assez basse... non validé donc je peux pas argumenter plus sur celle ci.

-  Pour les épreuves à modifier: je pense qu'il y a du boulot à faire en partie hacking de ce coté là, surtout sur les premières épreuves. Elles ont été faites il y a longtemps, et certaines simulation sont vraiment améliorables...
*Une faille des plus connues... : Sur le même principe on peut faire beaucoup mieux, là c'est même pas logique c'est un peu n'importe quoi...
* Espace 'admin' : Peut-être une petite amélioration des regex? On pourrait demander aux membres en after de créer leur regex, et les admins n'auront plus qu'à choisir la plus réussie Je suis sûr que les challengers accepteront de se prêter au jeu!
* Indefaçable : Pareil, amélioration des regex rendrait plus agréable l'épreuve
* htaccess : On peut faire plus pédagogique en enlevant la partie guessing je suis d'accord

Voilà, je crois que j'ai rien oublié...

++

[S0410N3]

On va essayer de réveiller le fil.
D'autres propositions/remarques/commentaires ?

[WiebeN]

Dans les afterwards de galerie d'image il me semble que NiklosKoda propose une amélioration de la simu toute simple à mettre en place. Enfin cette amélioration est peut-être déjà en ligne d'ailleurs, j'ai pas vérifié...

Sinon "Pourquoi avoir choisi l'Optima" ne semble pas faire l'unanimité d'après sa note...

[awe]

*Une faille des plus connues... : Sur le même principe on peut faire beaucoup mieux, là c'est même pas logique c'est un peu n'importe quoi...
* Espace 'admin' : Peut-être une petite amélioration des regex? On pourrait demander aux membres en after de créer leur regex, et les admins n'auront plus qu'à choisir la plus réussie Je suis sûr que les challengers accepteront de se prêter au jeu!
* Indefaçable : Pareil, amélioration des regex rendrait plus agréable l'épreuve
* htaccess : On peut faire plus pédagogique en enlevant la partie guessing je suis d'accord

Je plussoie fortement WiebeN, en particulier pour les 2 premières citées.
Pour Indéfaçable je n'en sais rien, je ne l'ai pas résolue.
Pour .htaccess, je suis plutôt d'accord, même si pour moi l'aspect guessing n'est pas si embêtant que ça. En revanche, comme le souligne _o_, il serait préférable de faire une nouvelle épreuve non validable par la technique du reloaded

Donc selon moi, il serait bien de refaire "Espace 'admin'", "Une faille des plus connues" et ".htaccess", en hacking, pour les rendre plus réalistes.

Pour le reste, je suggèrerai de déplacer "En hommage à ACiD" (crypto), pour la même raison que robert33, en rajoutant que le mdp n'est pas très lisible, de souvenir.

Et pour finir: revoir la validation de "Appels Internationaux" (Crypto), qui m'en a fait baver pour pas grand chose 

[beschtraffer]

Pour ne pas perdre l'interêt de certaines épreuves, ne pourrait-on pas en simuler certaines online? Pour des crack du genre KeyMe (si le principe est bien celui auquel je pense), ça devrait être possible d'imaginer ça...

Je ne vois pas bien comment (en exécutant de manière contrôlée sur le serveur?), mais si ça se fait, j'aimerai bien voir comment c'est sécurisé !

Pour ce qui est des épreuves de guessing, je suis moyennement d'accord. Effectivement, au moment de faire le guessing, c'est chiant à mourir. Mais en situation réelle, peu d'admins donnent le nom de leurs tables/dossiers etc... Donc je dirais amélioration possible, mais pas dev/null. C'est le genre d'épreuves qui permet de prendre conscience que rien ne se fait en 2 minutes, et que les tutos ne répondent pas à tout. Je pense que le guessing fait réellement partie du hacking, même si ça n'en est pas la partie la plus "fun". A la limite, pourquoi ne pas permettre un petit bf pour scanner les noms de dossiers? Ça limiterait le côté guessing(euh, c'est la première méthode qui me vient, c'est peut être pas la meilleure  )

Je plussoye joyeusement avec robert33 pour déplacer "en hommage à Acid" en stéga.

Pour ce qui est du reste, n'ayant pas validé, je m'abstiens.

En espérant avoir été utile...

++

[_o_]

Pour ce qui est des épreuves de guessing, je suis moyennement d'accord. Effectivement, au moment de faire le guessing, c'est chiant à mourir. Mais en situation réelle, peu d'admins donnent le nom de leurs tables/dossiers etc...

Y'a plusieurs arguments possibles à ce sujet.

Le premier : le but du site, c'est l'apprentissage. Je ne vois pas vraiment pourquoi compliquer la chose, ce qu'on cherche, c'est faire comprendre le principe de la faille. Là, ce n'est pas vraiment le cas, je trouve. Qui plus est, le forum est encombré de demandes d'indices sur le nom du répertoire, à en devenir illisible. Donc bof.

Le deuxième : le but du site n'est pas vraiment d'encourager les membres à se lancer dans les actions illégales. Or, quand tu expliques que dans la vraie vie, le répertoire peut être compliqué à trouver, tu franchis la ligne jaune.

Le troisième et le meilleur : ma proposition consiste à passer l'épreuve en /dev/null, mais en la remplaçant par une autre avec «moins de guessing» (et accessoirement différente de reloaded).

[WiebeN]

Pour ne pas perdre l'interêt de certaines épreuves, ne pourrait-on pas en simuler certaines online? Pour des crack du genre KeyMe (si le principe est bien celui auquel je pense), ça devrait être possible d'imaginer ça...

Je ne vois pas bien comment (en exécutant de manière contrôlée sur le serveur?), mais si ça se fait, j'aimerai bien voir comment c'est sécurisé !

Je ne l'ai jamais essayée, mais tel que je l'imagine, l'épreuve keyme consiste à comprendre un algorithme de génération d'une clé en fonction d'un pseudo par exemple. Le membre doit donc montrer qu'il a compris cet algo en codant lui même un générateur de clé en fonction d'un pseudo donné. On pourrait alors imaginer transposer cet algorithme en PHP (don't hit please) et à la manière des épreuves de programmation donner 3 pseudos au membre et attendre en retour les 3 clés correspondantes en moins d'une seconde.

Après c'est vraiment très spécifique à cette épreuve, mais si ça peut éviter d'enlever une épreuve sympa pourquoi pas?

[beschtraffer]

le but du site n'est pas vraiment d'encourager les membres à se lancer dans les actions illégales. Or, quand tu expliques que dans la vraie vie, le répertoire peut être compliqué à trouver, tu franchis la ligne jaune.

Oups, mauvaise interprétation de mes propos! Loin de moi l'idée d'inciter les utilisateurs à reporduire cela dans la vie! Personnellement ça ne m'intéresse pas non plus, ce que je voulais dire c'est que ce genre d'étape est réaliste. Mais je te l'accorde, ça n'est pas très pédagogique^^

@Wieben: effectivement, c'est pas bête^^, je n'avais pas imaginé ça...

[S0410N3]

D'autres suggestions ?

Je sais que je n'ai pas trop l'air présent (ce qui est vrai, des fois on essaie d'avoir une vie, juste des fois...) mais j'ai bien noté toutes les remarques du fil de discussion.

Ça ne me paraît pas encore assez conséquent pour faire une synthèse. Donc faites vous plaisir...

[kevinator]

J'avais posté dans la rubrique d'aide pour l'épreuve de Jean Claude et son réveil, mais comme _o_ me l'a fait remarquer, le message à plus sa place ici :

Salut,

Je me permets de déterrer un peu le topic, non pas pour demander de l'aide (puisque je pense avoir réussi l'épreuve) mais pour soulever un problème : celui des épreuves à
validation manuelle et de cette épreuve en particulier.

J'ai personnellement envoyé ma proposition de réponse il y a un petit moment (fin mai) et je n'ai toujours pas eu de réponse... Comment dois-je interpréter ce silence ? Ai-je
commis une erreur, (auquel cas je m'excuse d'avance pour le dérangement ^^) ou cette épreuve a-t-elle été abandonnée ? (auquel cas une suppression, ou à la rigueur un petit
message dans l'énoncé serait plus que nécessaire...)

Enfin bon dans tous les cas l'épreuve m'aura permis d'en apprendre un peu plus sur l'assembleur et l'API windows et au final c'est bien cela le plus important
(Mais j'aimerais bien voir le petit message "Bravo vous avez réussi l'épreuve" quand même...)

Sinon, je suis plutôt d'accord avec ce qui a été dit précédemment (du moins pour les épreuves que j'ai validées) en particulier pour :
        .htaccess > J'ai essayé un nombre de chemin inimaginable pendant des heures... Sans succès. D'ailleurs, même si j'ai validé l'épreuve, je n'ai jamais trouvé le bon chemin, j'ai utilisé la technique du .htaccess reloaded
        Indefaçable > La réelle difficulté de l'épreuve réside dans l'attaque de regex pour la première partie et dans un coup de bol monstrueux pour la seconde. C'est dommage, un simple changement de regex et tout irais beaucoup mieux (la regex employée pour une épreuve du même style était plus sympa si mes souvenirs sont bons...)

J'aurais aussi rajouté une épreuve que je trouve assez peu interessante : Dezippez, dezippez, il en restera toujours quelque chose.
En gros, cette épreuve se résument à brute-forcer, c'est long et on n'apprend pas grand-chose.... Il faudrait penser à réduire la taille du mot de passe histoire de ne pas patienter trop longtemps avec un CPU à 100 %...