A l’occasion d’une campagne de publicité baptisée « Dites-le avec Nutella« , la célèbre marque de pâte à tartiner à mis en place un outil en ligne pour générer des étiquettes virtuelles de pots. Sur le papier (ou sur l’écran), l’idée est plutôt sympathique et la communication bien rodée.
Sauf que pour mettre en place un tel outil, il faut un minimum de connaissance en programmation et mettre au travail quelques développeurs informatiques. Une petite application HTML / Javascript fait bien l’affaire, avec un design adapté et quelques tests d’intégration sur les mots-clés et les possibilités de saisie de l’outil. Ça aussi, c’est sur le papier.
Car lorsque quelques petits malins s’amusent avec l’outil, ils essayent des mots bizarres et se rendent compte que certains mots ne sont pas autorisé. Jusque là, rien d’anormal à ce que Nutella ne souhaite pas voir des étiquettes virtuelles avec des mots obscènes.
Sauf que les développeurs ne sont pas embêté, ils ont mis en place une simple liste Javascript pour effectuer leur comparaison avec la saisie utilisateur. Et pour ceux qui ne savent pas ce qu’est une liste Javascript, c’est un entité de programmation qui s’exécute côté client, donc potentiellement sur votre ordinateur. Avec un minimum de connaissance et après seulement quelques clics, il est donc facile de tomber sur cette liste et la retrouver en clair partout sur Internet.
Je ne vais pas vous épeler les mots de cette liste de mots interdits, car certains sont vraiment inappropriés, mais la liste est grande ouverte et la façon de programmer est vraiment mauvaise. On peut voir que Nutella est au cœur de l’actualité…
Il y aurait de multiples solutions pour éviter cela et pour Nutella, c’est vraiment un bad buzz complet…
Alors ami développeur, utiliser des fichiers de configuration cryptés ou une base de données externe, c’est tellement plus secure et plus joli.
2 Commentaires
y’a des mots interdits, pour lesquelles je ne comprends pas pourquoi on a une interdiction.. genre oranoutan …
Poster un commentaire