Putain, on vient d’avoir accès à l’interface de gestion de la compta de notre copro…
Je suis en PLS…

On commence. L’identifiant de la copro, dispo dans les URL, est en réalité un mot de passe (mal) encodé en base64… 😱

Follow

L’identifiant personnel de l’utilisateur ne sert à rien. Sinon à remplir le formulaire web.
**TOUS** les appels AJAX derrière sont **NON AUTHENTIFIÉS**

Petite correction : l’ID de l’URL change toutes les 10 minutes… 🤔
Donc c’est non authentifié, mais tant que l’URL reste valide… 🤔
Mais c’est quoi ce fucking merdier ? Il sert à quoi mon cookie de session ? 🤔

Ce site est ergonomiquement une catastrophe. Ils utilisent *UNE SEULE* URL pour tout faire. Avec des *TONNES* de paramètres différents.
Les trucs sont codés en relatif à chaque appel AJAX. Même récupérer un PDF se fait en POST en passant des coordonnées relatives dans le tableau à partir de données en session…

Si tu changes d’onglet, ça plante. Si tu cliques trop vite, ça plante.
Récupérer les 200 factures, qu’on doit faire manuellement une à une, de la compta relève du parcours du combattant…

@maxauvy Ping ! Comment est-ce qu’on peut signaler cette infamie à la @CNIL ? 🤔
Y’a pas de cas prévu pour ça sur le site Internet… 🤔

Les putains de bouton +1/-1 *t’ouvrent un putain d’onglet* !!!
Les dates sont non modifiables à la main… (Et voilà l’accessibilité du contraste…)

Je suis… Mais… Tu passes en paramètre du gros HTML qui tâche qui est le header de ta page précédente en POST… Pour récupérer un PDF… 🤔
Je vous laisse aussi admirer la très grosse maîtrise des CSS inline… 😨

Mais… À *CHAQUE* clic sur une ligne, tu as une requête AJAX à partir. Je suppose que c’est comme ça qu’ils font la glue entre ce que tu as sélectionné et le PDF que tu demandes… 😱

« Nan mais mon presta me dit qu’ils ont eu un contrôle et que personne n’a rien dit »
Alors avec du SSLv2, je doute franchement qu’un auditeur CNIL n’ait pas hurlé à la mort quand même…

2019. Ton syndic de copro découvre l’existence du … 😱

J’avais pas fais gaffe à ça…
Spa un « type="password" » 😱

J’ai eu le presta au téléphone…
« Ah mais notre système informatique a été audité par des avocats » 😱
« Notre serveur est géré par une boîte dont la sécurité est la spécialité » Avec du SSLv2, vraiment ? 🤔 😨

Rien que ça, c’est collector en fait…
Comment pouvez-vous supporter TLSv1.2 *ET* SSLv2 *MAIS PAS* TLSv1.1 ? 🤔

@aeris

Déjà vu !

Mieux, il suffit d’éditer la page pour ajouter un bouton permettant de se mettre les droits SuperAdmin sur l’appli !

@aeris

C’est un très gros éditeur français. Avec des instances exposées sur Internet. Pour un très gros progiciel.

:miam:

@mortal Nan mais ça je sais. 😂
Tu as l’édition à faire pour ajouter le bouton ? 😂

@aeris

Le truc des préférences utilisateur ou un truc du genre.

@aeris Non mais ça tu aurais dû le mettre en contenu sensible 😱 !

@aeris et avec ta chance tu n'as pas encore tout fait sauter ?

@Shaft
@aeris
Ouais ben tant qu'on n'aura pas instauré un permis d'utiliser un ordinateur, ça sera la merde. À points, comme pour le permis de conduire. Si tu veux développer il te faut le permis poids lourds sinon le compilateur ne démarre pas. Et les cours de code, ben c'est du code. Et pendant les leçons d'apprentissage, comme au permis quand tu contrôles pas tes rétros, tu prends une torniolle si tu cliques sur [ok] sans avoir contrôlé et lu le message affiché à l'écran.

@cgx @benjaminbellamy @Shaft Personne ne considère comme élitiste le fait qu’on ne file pas une paire de ciseaux à un gamin. Ou qu’on interdit l’alcool au moins de 18 ans. Ou que je n’ai pas le droit de faire une opération à cœur ouvert sans 12 ans d’études.
Ça devrait en être pareil pour l’info.

@cgx @benjaminbellamy @Shaft (Ou alors si on considère que c’est de l’élitisme, on le juge normal et tolérable)

@cgx @benjaminbellamy @Shaft Un ordinateur est un outil comme un autre. Avec ses compétences intellectuelles minimales nécessaires pour être utilisées. Qui ne sont pas forcément nulles.

@aeris @benjaminbellamy @Shaft Contrairement aux ciseaux ou à la chirurgie, l'informatique n'est pas une pratique dangereuse en soi. C'est son contexte qui peut la rendre dangereuse/faillible.
Chacun peut coder. Pas tous dans des domaines sérieux comme la banque, la sécurité...Etc... La je vous rejoins.

@cgx @benjaminbellamy @Shaft L’informatique *EST* dangereuse en soi. Et surtout pour les autres. La preuve.

@cgx @benjaminbellamy @Shaft Acheter un PC à Darty et le brancher chez soi sans mise-à-jour, c’est mettre en péril *MON* serveur, qui va être saisi 3 mois plus tard à cause de toi.

@cgx @benjaminbellamy @Shaft Si ça n’avait de conséquences que pour son utilisateur, je serais d’accord avec toi. Sauf que c’est exactement l’inverse, et généralement ça n’a d’impact que pour les autres dans le domaine de l’informatique…

@aeris @benjaminbellamy @Shaft C'est généraliser la pratique de l'informatique avec une connexion réseau. Si j'achète un PC, hors ligne, que je code avec. Ca reste de l'informatique non ? Et elle n'est pas dangereuse.

Quand je codais en BASIC sur mon Amstrad dans les années 80, je me voyais pas comme quelqu'un de dangereux 🤣

Show more
Show more

@aeris
Malheureusement, les 12 ans d'études ne garantissent rien, il y en a qui prescrivent de l'homéopathie, pratique l’acupuncture...
@cgx @benjaminbellamy @Shaft

@aeris @cgx @benjaminbellamy @Shaft

On peut etendre ça à toute activité humaine.

Le bricolage.

T'as pas le droit d'acheter un marteau ou une boite de clous sans un CAP de menuiserie ou un diplome qualifiant dans le bâtiment.

@aeris @cgx @benjaminbellamy @Shaft

Revenons à 1900 avec la comptabilité manuelle, on va voir ce que ca donnera...

@22Decembre
Ah oui mais non parce que là on ne va pas laisser n'importe qui prendre de tels risques sans un permis de port de stylographe. 😉
@aeris @cgx @Shaft

@cgx @aeris @Shaft @benjaminbellamy Le permis de conduire c’est pas de l’élitisme, mais du bon sens, pour la sécurité de la personne et d’autrui.

L’info c’est pareil. Si tu fais nawak, ça peut avoir des conséquences plus ou moins graves, pour toi comme pour autrui. Surtout dans le cas qui nous intéresse ici.

@benjaminbellamy @shaft @aeris Attention, publier sur les réseaux sociaux non officiels est strictement interdit.

@im Nan ça ça va.
On n'a pas interdit les insultes avec le permis de conduire. T'imagines un peu si tu pouvais plus insulter le plouc qui démarre pas quand c'est vert ?! Ben là c'est pareil. On est humain·e·s quand même… 😬
@Shaft @aeris

@benjaminbellamy Tu peux bien entendu insulter qui tu veux, et encore, ça se discute. Mais en conduisant un véhicule autorisé, sur les voies autorisées. Le fediverse n'en fait évidemment pas partie. C'est décentralisé, mal surveillé, non monétisé. Hérétique quoi.

@shaft @aeris

@aeris C’pas parce qu’on est spécialiste qu’on est bon :D

@aeris Les admin systèmes savent faire de la sécu, les devs non ?

@aeris
Je m'étais plein par mail de la mauvaise sécurité de leur service à un de leurs concurrents. Le mail que j'avais reçu en réponse était de style "on s'en bas lec".

Je suis allé en discuter avec l'agence immobilière/syndic. Des amélioration sont arrivées.

@aeris il a dit le serveur, pas l'applicatif 😁

@aeris

Ben c'est cohérent avec leur modèle de menace que de privilégier le risque juridique sur le risque technique, non?

@aeris a voir les classes utilisées, on dirait... Du WebDev

@aeris Je renifle cette merde à 10Km... Pov' de toi

Sign in to participate in the conversation
Mastodon

PARCE QUE C’EST MON INSTANCE !