aeris 🏳️🌈Putain, on vient d’avoir accès à l’interface de gestion de la compta de notre copro…
Je suis en PLS…
Je suis en PLS…
Déjà, ça vous donne une idée du niveau… 😨
https://tls.imirhil.fr/https/www.votrecompte.fr
On commence. L’identifiant de la copro, dispo dans les URL, est en réalité un mot de passe (mal) encodé en base64… 😱
L’identifiant personnel de l’utilisateur ne sert à rien. Sinon à remplir le formulaire web.
**TOUS** les appels AJAX derrière sont **NON AUTHENTIFIÉS**
**TOUS** les appels AJAX derrière sont **NON AUTHENTIFIÉS**
Petite correction : l’ID de l’URL change toutes les 10 minutes… 🤔
Donc c’est non authentifié, mais tant que l’URL reste valide… 🤔
Mais c’est quoi ce fucking merdier ? Il sert à quoi mon cookie de session ? 🤔
Donc c’est non authentifié, mais tant que l’URL reste valide… 🤔
Mais c’est quoi ce fucking merdier ? Il sert à quoi mon cookie de session ? 🤔
Ce site est ergonomiquement une catastrophe. Ils utilisent *UNE SEULE* URL pour tout faire. Avec des *TONNES* de paramètres différents.
Les trucs sont codés en relatif à chaque appel AJAX. Même récupérer un PDF se fait en POST en passant des coordonnées relatives dans le tableau à partir de données en session…
Les trucs sont codés en relatif à chaque appel AJAX. Même récupérer un PDF se fait en POST en passant des coordonnées relatives dans le tableau à partir de données en session…
Si tu changes d’onglet, ça plante. Si tu cliques trop vite, ça plante.
Récupérer les 200 factures, qu’on doit faire manuellement une à une, de la compta relève du parcours du combattant…
Récupérer les 200 factures, qu’on doit faire manuellement une à une, de la compta relève du parcours du combattant…
Les putains de bouton +1/-1 *t’ouvrent un putain d’onglet* !!!
Les dates sont non modifiables à la main… (Et voilà l’accessibilité du contraste…)
Les dates sont non modifiables à la main… (Et voilà l’accessibilité du contraste…)
Je suis… Mais… Tu passes en paramètre du gros HTML qui tâche qui est le header de ta page précédente en POST… Pour récupérer un PDF… 🤔
Je vous laisse aussi admirer la très grosse maîtrise des CSS inline… 😨
Je vous laisse aussi admirer la très grosse maîtrise des CSS inline… 😨
Mais… À *CHAQUE* clic sur une ligne, tu as une requête AJAX à partir. Je suppose que c’est comme ça qu’ils font la glue entre ce que tu as sélectionné et le PDF que tu demandes… 😱
« Nan mais mon presta me dit qu’ils ont eu un contrôle et que personne n’a rien dit »
Alors avec du SSLv2, je doute franchement qu’un auditeur CNIL n’ait pas hurlé à la mort quand même…
Alors avec du SSLv2, je doute franchement qu’un auditeur CNIL n’ait pas hurlé à la mort quand même…
2019. Ton syndic de copro découvre l’existence du #RGPD… 😱
J’ai eu le presta au téléphone…
« Ah mais notre système informatique a été audité par des avocats » 😱
« Notre serveur est géré par une boîte dont la sécurité est la spécialité » Avec du SSLv2, vraiment ? 🤔 😨
« Ah mais notre système informatique a été audité par des avocats » 😱
« Notre serveur est géré par une boîte dont la sécurité est la spécialité » Avec du SSLv2, vraiment ? 🤔 😨
Ah oui, pas de doute possible, c’est bien @FranceLinkWeb qui héberge tout ça… 😱 🍿
https://tls.imirhil.fr/https/www.francelink.net
https://www.ssllabs.com/ssltest/analyze.html?d=www.francelink.net&latest
https://tls.imirhil.fr/https/www.francelink.net
https://www.ssllabs.com/ssltest/analyze.html?d=www.francelink.net&latest
Rien que ça, c’est collector en fait…
Comment pouvez-vous supporter TLSv1.2 *ET* SSLv2 *MAIS PAS* TLSv1.1 ? 🤔
Comment pouvez-vous supporter TLSv1.2 *ET* SSLv2 *MAIS PAS* TLSv1.1 ? 🤔