Hier j’ai découvert plusieurs commentaires en attente de validation sur ce blog. Des commentaires importants, qui auraient du être validés en moins d’une journée, voir même plus vite. Je me suis donc demandé comment recevoir des notifications lorsqu’un nouveau commentaire était publié ou en attende de validation. Alors oui, je vais faire un peu de pub à l’IA, et à Claude en particulier. Mais si ce point vous dérange, je vous invite à aller lire la dernière partie de ce billet.
Je précise que je ne connais pas grand chose à php, et absolument rien au développement de plugin wordpress.
Etape 1 : On demande à Claude ce qu’il en pense, sachant que mon abonnement chez Free me permet de recevoir des SMS via une API. Il me propose comme prévu d’écrire un plugin. Quelques lignes de code plus tard, tout fonctionne. Du premier coup.
Etape 2 : Je lui fait part de mes inquiétudes en terme de sécurité, notamment parce que ce plugin traite des données non contrôlées en entrée (le nom de l’auteur du commentaire).
Sa réponse :
Excellente question ! Et vous avez raison d’être vigilant. Analysons les risques de sécurité :
Les points d’entrée non contrôlés
$comment->comment_author– Le nom saisi par l’auteur du commentaireget_bloginfo('name')– Le nom de votre blog (moins risqué car contrôlé par vous)Les risques potentiels
1. Injection dans l’URL de l’API
Le vrai risque ici, c’est que
$comment->comment_authorest inséré directement dans l’URL viahttp_build_query(). Un utilisateur malveillant pourrait tenter d’injecter des caractères spéciaux.Heureusement,
http_build_query()encode automatiquement les paramètres URL (viaurlencode()), ce qui neutralise ce risque. Les caractères spéciaux comme&,=,?sont échappés.2. Limitations de l’API Free Mobile
L’API Free Mobile a des limitations strictes :
- Maximum 160 caractères par SMS
- Certains caractères spéciaux peuvent poser problème
- Pas de validation du retour de l’API dans le code actuel
3. Spam/Flood de SMS
Si un bot spam envoie 100 commentaires d’un coup, vous recevrez 100 SMS ! L’API Free Mobile est limitée à environ 200 SMS/jour, mais c’est quand même gênant.
Enfin il me propose des modifications pour durcir le code. Modifications que j’ai bien sur intégrées. Alors pour ceux qui voudraient faire la même chose, tout ce que vous avez à faire est de créer un répertoire contenant un fichier .php dans wp-content/plugin. Copier ce code à l’intérieur. Mettez vos informations (identifiant et clef api) puis activez le plugin dans l’IHM de wordpress.
Et c’est fini. Maintenant chaque fois qu’un commentaire est publié ou en attente, vous recevez un SMS. Honnêtement, il à du s’écouler moins de 10 minutes entre le moment ou j’ai posé ma première question à Claude et la mise en place de la dernière version. C’est quand même un peu magique non ?
Les IA c’est mal
Je comprend les problèmes écologiques que ça pose. Et plus grave à mes yeux, la vitesse à laquelle on se dirige vers le monde décrit dans le film Idiocratie. Mais le problème n’est pas l’outil, c’est la façon avec laquelle on s’en sert !
J’utilise Claude de plus en plus. Et je n’ai pas l’impression de devenir stupide. Au contraire, j’apprends énormément de choses. Avant quand j’avais des messages d’erreurs sur mon serveur linux, je faisais surement comme tout le monde : Rien. Parce qu’il fallait des jours de recherche sur le net pour comprendre chacun de ces messages « probablement inoffensif ». Maintenant je demande à Claude, et j’apprends. J’apprends comment fonctionne un bus PCI, j’apprends comment paramétrer l’ordonnanceur d’écriture de linux, j’apprends à quoi servent les différents niveau d’encodage h264 (main 4.0 etc). Je découvre des options sur la commande rsync qui divisent par trois le temps nécessaire à la réalisation de mes sauvegardes externes (les backups principaux étant assurées par borg). Je (re)découvre que dans chaque domaine de l’informatique, même ceux que je croyais le mieux maitriser, je ne connais finalement qu’une infime partie de ce qui me rendrait pourtant service au quotidien.
Et le mieux dans tout çà ? J’apprends de la meilleur façon possible, à savoir en m’amusant. Petit extrait d’une de mes dernières conversation. Je demandai à Claude de m’aider à analyser les informations smart d’un disque dur reconditionné que je venais de recevoir. Et après lui avoir fait part des mes préoccupations, voila comment il a terminé sa conclusion :
Votre disque est en très bon état. C’est même une excellente affaire pour un reconditionné :
- Disque enterprise quasi neuf
- Aucun signe de défaillance
- Les variations de compteurs Seagate sont normales
Conseil : Gardez-le, mais surveillez quand même le SMART mensuellement. Si la valeur normalisée du Seek_Error_Rate descend vers 50-55, là il faudra s’inquiéter. Pour l’instant, vous avez un excellent disque professionnel à peine utilisé.
Combien l’avez-vous payé, si ce n’est pas indiscret ?
Genre Claude réfléchit pour s’acheter des disques… Juste LOL !
