aeris 🏳️🌈Putain, on vient d’avoir accès à l’interface de gestion de la compta de notre copro…
Je suis en PLS…
Je suis en PLS…
Déjà, ça vous donne une idée du niveau… 😨
https://tls.imirhil.fr/https/www.votrecompte.fr
On commence. L’identifiant de la copro, dispo dans les URL, est en réalité un mot de passe (mal) encodé en base64… 😱
L’identifiant personnel de l’utilisateur ne sert à rien. Sinon à remplir le formulaire web.
**TOUS** les appels AJAX derrière sont **NON AUTHENTIFIÉS**
**TOUS** les appels AJAX derrière sont **NON AUTHENTIFIÉS**
Petite correction : l’ID de l’URL change toutes les 10 minutes… 🤔
Donc c’est non authentifié, mais tant que l’URL reste valide… 🤔
Mais c’est quoi ce fucking merdier ? Il sert à quoi mon cookie de session ? 🤔
Donc c’est non authentifié, mais tant que l’URL reste valide… 🤔
Mais c’est quoi ce fucking merdier ? Il sert à quoi mon cookie de session ? 🤔
Ce site est ergonomiquement une catastrophe. Ils utilisent *UNE SEULE* URL pour tout faire. Avec des *TONNES* de paramètres différents.
Les trucs sont codés en relatif à chaque appel AJAX. Même récupérer un PDF se fait en POST en passant des coordonnées relatives dans le tableau à partir de données en session…
Les trucs sont codés en relatif à chaque appel AJAX. Même récupérer un PDF se fait en POST en passant des coordonnées relatives dans le tableau à partir de données en session…
Si tu changes d’onglet, ça plante. Si tu cliques trop vite, ça plante.
Récupérer les 200 factures, qu’on doit faire manuellement une à une, de la compta relève du parcours du combattant…
Récupérer les 200 factures, qu’on doit faire manuellement une à une, de la compta relève du parcours du combattant…
Les putains de bouton +1/-1 *t’ouvrent un putain d’onglet* !!!
Les dates sont non modifiables à la main… (Et voilà l’accessibilité du contraste…)
Les dates sont non modifiables à la main… (Et voilà l’accessibilité du contraste…)
Je suis… Mais… Tu passes en paramètre du gros HTML qui tâche qui est le header de ta page précédente en POST… Pour récupérer un PDF… 🤔
Je vous laisse aussi admirer la très grosse maîtrise des CSS inline… 😨
Je vous laisse aussi admirer la très grosse maîtrise des CSS inline… 😨
Mais… À *CHAQUE* clic sur une ligne, tu as une requête AJAX à partir. Je suppose que c’est comme ça qu’ils font la glue entre ce que tu as sélectionné et le PDF que tu demandes… 😱
« Nan mais mon presta me dit qu’ils ont eu un contrôle et que personne n’a rien dit »
Alors avec du SSLv2, je doute franchement qu’un auditeur CNIL n’ait pas hurlé à la mort quand même…
Alors avec du SSLv2, je doute franchement qu’un auditeur CNIL n’ait pas hurlé à la mort quand même…
2019. Ton syndic de copro découvre l’existence du #RGPD… 😱
J’ai eu le presta au téléphone…
« Ah mais notre système informatique a été audité par des avocats » 😱
« Notre serveur est géré par une boîte dont la sécurité est la spécialité » Avec du SSLv2, vraiment ? 🤔 😨
« Ah mais notre système informatique a été audité par des avocats » 😱
« Notre serveur est géré par une boîte dont la sécurité est la spécialité » Avec du SSLv2, vraiment ? 🤔 😨
Ah oui, pas de doute possible, c’est bien @FranceLinkWeb qui héberge tout ça… 😱 🍿
https://tls.imirhil.fr/https/www.francelink.net
https://www.ssllabs.com/ssltest/analyze.html?d=www.francelink.net&latest
https://tls.imirhil.fr/https/www.francelink.net
https://www.ssllabs.com/ssltest/analyze.html?d=www.francelink.net&latest
Rien que ça, c’est collector en fait…
Comment pouvez-vous supporter TLSv1.2 *ET* SSLv2 *MAIS PAS* TLSv1.1 ? 🤔
Comment pouvez-vous supporter TLSv1.2 *ET* SSLv2 *MAIS PAS* TLSv1.1 ? 🤔
Breizh@aeris C’pas parce qu’on est spécialiste qu’on est bon :D
Haelwenn /элвэн/ 
@aeris Les admin systèmes savent faire de la sécu, les devs non ?
Simon@aeris quelles horreurs…
(Ԍ+М)*y💉💉💉@aeris
Je m'étais plein par mail de la mauvaise sécurité de leur service à un de leurs concurrents. Le mail que j'avais reçu en réponse était de style "on s'en bas lec".
Je suis allé en discuter avec l'agence immobilière/syndic. Des amélioration sont arrivées.
Tesla ⚡ ☢️ 🇺🇦@aeris il a dit le serveur, pas l'applicatif 😁
Baudouin Feildel@aeris et avec ta chance tu n'as pas encore tout fait sauter ?
John Shaft (ジョン・シャフト) ✅
Benjamin Bellamy@Shaft
@aeris
Ouais ben tant qu'on n'aura pas instauré un permis d'utiliser un ordinateur, ça sera la merde. À points, comme pour le permis de conduire. Si tu veux développer il te faut le permis poids lourds sinon le compilateur ne démarre pas. Et les cours de code, ben c'est du code. Et pendant les leçons d'apprentissage, comme au permis quand tu contrôles pas tes rétros, tu prends une torniolle si tu cliques sur [ok] sans avoir contrôlé et lu le message affiché à l'écran.
@aeris
Ouais ben tant qu'on n'aura pas instauré un permis d'utiliser un ordinateur, ça sera la merde. À points, comme pour le permis de conduire. Si tu veux développer il te faut le permis poids lourds sinon le compilateur ne démarre pas. Et les cours de code, ben c'est du code. Et pendant les leçons d'apprentissage, comme au permis quand tu contrôles pas tes rétros, tu prends une torniolle si tu cliques sur [ok] sans avoir contrôlé et lu le message affiché à l'écran.
ephase
Luk@aeris ils ont dû entendre parler des 400 000€ d'amende infligées par la CNIL a une société immobilière.
@aeris Les banques avaient ~toutes le même soucis y’a quelques années au niveau de SSL/TLS, donc potentiellement un contrôle quand le site à été fait et rien plus tard.
Et question accessibilitée www.cmb.fr ne permet toujours pas d'ouvrir les liens dans d'autres onglets, heuresement qu'il y a un vrai export des données dans un format comptable.
Et question accessibilitée www.cmb.fr ne permet toujours pas d'ouvrir les liens dans d'autres onglets, heuresement qu'il y a un vrai export des données dans un format comptable.