Putain, on vient d’avoir accès à l’interface de gestion de la compta de notre copro…
Je suis en PLS…

On commence. L’identifiant de la copro, dispo dans les URL, est en réalité un mot de passe (mal) encodé en base64… 😱

Follow

L’identifiant personnel de l’utilisateur ne sert à rien. Sinon à remplir le formulaire web.
**TOUS** les appels AJAX derrière sont **NON AUTHENTIFIÉS**

Petite correction : l’ID de l’URL change toutes les 10 minutes… 🤔
Donc c’est non authentifié, mais tant que l’URL reste valide… 🤔
Mais c’est quoi ce fucking merdier ? Il sert à quoi mon cookie de session ? 🤔

Ce site est ergonomiquement une catastrophe. Ils utilisent *UNE SEULE* URL pour tout faire. Avec des *TONNES* de paramètres différents.
Les trucs sont codés en relatif à chaque appel AJAX. Même récupérer un PDF se fait en POST en passant des coordonnées relatives dans le tableau à partir de données en session…

Si tu changes d’onglet, ça plante. Si tu cliques trop vite, ça plante.
Récupérer les 200 factures, qu’on doit faire manuellement une à une, de la compta relève du parcours du combattant…

@maxauvy Ping ! Comment est-ce qu’on peut signaler cette infamie à la @CNIL ? 🤔
Y’a pas de cas prévu pour ça sur le site Internet… 🤔

Les putains de bouton +1/-1 *t’ouvrent un putain d’onglet* !!!
Les dates sont non modifiables à la main… (Et voilà l’accessibilité du contraste…)

Je suis… Mais… Tu passes en paramètre du gros HTML qui tâche qui est le header de ta page précédente en POST… Pour récupérer un PDF… 🤔
Je vous laisse aussi admirer la très grosse maîtrise des CSS inline… 😨

Mais… À *CHAQUE* clic sur une ligne, tu as une requête AJAX à partir. Je suppose que c’est comme ça qu’ils font la glue entre ce que tu as sélectionné et le PDF que tu demandes… 😱

« Nan mais mon presta me dit qu’ils ont eu un contrôle et que personne n’a rien dit »
Alors avec du SSLv2, je doute franchement qu’un auditeur CNIL n’ait pas hurlé à la mort quand même…

2019. Ton syndic de copro découvre l’existence du … 😱

@aeris

Déjà vu !

Mieux, il suffit d’éditer la page pour ajouter un bouton permettant de se mettre les droits SuperAdmin sur l’appli !

@aeris

C’est un très gros éditeur français. Avec des instances exposées sur Internet. Pour un très gros progiciel.

:miam:

@mortal Nan mais ça je sais. 😂
Tu as l’édition à faire pour ajouter le bouton ? 😂

@aeris

Le truc des préférences utilisateur ou un truc du genre.

@aeris anéfé pour les "simples" signalements y'a rien de publiquement prévu, de mémoire.

Mais tu tombes pas si mal, je dois envoyer un mail à un ex-collègue aux contrôle, tu veux que je fasse suivre ? :)

@maxauvy J’suis preneur 😃
partnerimmo.fr/ qui fait GRAVE de la merde, alors qu’ils ont l’air d’avoir pléthore de clients et de gérer moultes copros… 😱

@aeris @maxauvy Ça a pas l'air très quali en effet.

J'ai rentré une apostrophe dans chacun des champs de la page de login, ça a fait crash le serveur. 🤔

Après, si y'a pas d'authentification, est-ce qu'on peut dire que y'a un risque de leak de donnée par injection SQL ? 😂

@Darks @aeris

Je le déplore, mais l'injection SQL n'est pas dans le panel des moyens de l' "internaute bienveillant" selon l'ex-Présidente de la CNIL. Aucune chance qu'une telle vulnérabilité soit vérifiée, encore moins opposée.

@maxauvy Arf…
Ça fait un peu politique de l'autruche quand même 😩

@aeris

@Darks @aeris @maxauvy C’est complètement con, parce que ce sont pas des utilisateurs bienveillants qui volent des infos.

@Darks @aeris @maxauvy Du coup autant partir du principe qu’on est tous des bisounours, et hop, ça sers à rien de se faire chier avec du chiffrement ou de l’authentification…

@breizh @Darks @aeris
J'suis entièrement d'accord, et c'est une des (relativement nombreuses) raisons qui m'a poussé à quitter l'équipe des contrôles de la CNIL :/

@Darks @aeris

Alors. Réponse en 2 temps.

1/ Oui, d'autant plus que ça aurait forcément été contesté devant le Conseil d'Etat, et que le risque de "perdre" incluait aussi la face, à un moment où l'idée était en partie de se "caser" ailleurs.

2/ Oui, mais ça répond "mieux" au "publiquement accessible" tel que défini dans la loi Informatique et Libertés. S'il faut contourner un mécanisme, c'est plus libre.

@aeris @maxauvy Oh, mais je connais çà. C'est ce que j'ai utilisé pour monter mon dossier d'achat d'appart avec mon courtier. Je me doutait que c'était un peu / beaucoup foireux ce truc :-/

@aeris Non mais ça tu aurais dû le mettre en contenu sensible 😱 !

@aeris et avec ta chance tu n'as pas encore tout fait sauter ?

@Shaft
@aeris
Ouais ben tant qu'on n'aura pas instauré un permis d'utiliser un ordinateur, ça sera la merde. À points, comme pour le permis de conduire. Si tu veux développer il te faut le permis poids lourds sinon le compilateur ne démarre pas. Et les cours de code, ben c'est du code. Et pendant les leçons d'apprentissage, comme au permis quand tu contrôles pas tes rétros, tu prends une torniolle si tu cliques sur [ok] sans avoir contrôlé et lu le message affiché à l'écran.

@cgx @benjaminbellamy @Shaft Personne ne considère comme élitiste le fait qu’on ne file pas une paire de ciseaux à un gamin. Ou qu’on interdit l’alcool au moins de 18 ans. Ou que je n’ai pas le droit de faire une opération à cœur ouvert sans 12 ans d’études.
Ça devrait en être pareil pour l’info.

@cgx @benjaminbellamy @Shaft (Ou alors si on considère que c’est de l’élitisme, on le juge normal et tolérable)

@cgx @benjaminbellamy @Shaft Un ordinateur est un outil comme un autre. Avec ses compétences intellectuelles minimales nécessaires pour être utilisées. Qui ne sont pas forcément nulles.

@aeris @benjaminbellamy @Shaft Contrairement aux ciseaux ou à la chirurgie, l'informatique n'est pas une pratique dangereuse en soi. C'est son contexte qui peut la rendre dangereuse/faillible.
Chacun peut coder. Pas tous dans des domaines sérieux comme la banque, la sécurité...Etc... La je vous rejoins.

@cgx @benjaminbellamy @Shaft L’informatique *EST* dangereuse en soi. Et surtout pour les autres. La preuve.

@cgx @benjaminbellamy @Shaft Acheter un PC à Darty et le brancher chez soi sans mise-à-jour, c’est mettre en péril *MON* serveur, qui va être saisi 3 mois plus tard à cause de toi.

@cgx @benjaminbellamy @Shaft Si ça n’avait de conséquences que pour son utilisateur, je serais d’accord avec toi. Sauf que c’est exactement l’inverse, et généralement ça n’a d’impact que pour les autres dans le domaine de l’informatique…

@aeris @benjaminbellamy @Shaft C'est généraliser la pratique de l'informatique avec une connexion réseau. Si j'achète un PC, hors ligne, que je code avec. Ca reste de l'informatique non ? Et elle n'est pas dangereuse.

Quand je codais en BASIC sur mon Amstrad dans les années 80, je me voyais pas comme quelqu'un de dangereux 🤣

Show more
Show more

@aeris
Malheureusement, les 12 ans d'études ne garantissent rien, il y en a qui prescrivent de l'homéopathie, pratique l’acupuncture...
@cgx @benjaminbellamy @Shaft

@aeris @cgx @benjaminbellamy @Shaft

On peut etendre ça à toute activité humaine.

Le bricolage.

T'as pas le droit d'acheter un marteau ou une boite de clous sans un CAP de menuiserie ou un diplome qualifiant dans le bâtiment.

@aeris @cgx @benjaminbellamy @Shaft

Revenons à 1900 avec la comptabilité manuelle, on va voir ce que ca donnera...

@22Decembre
Ah oui mais non parce que là on ne va pas laisser n'importe qui prendre de tels risques sans un permis de port de stylographe. 😉
@aeris @cgx @Shaft

@cgx @aeris @Shaft @benjaminbellamy Le permis de conduire c’est pas de l’élitisme, mais du bon sens, pour la sécurité de la personne et d’autrui.

L’info c’est pareil. Si tu fais nawak, ça peut avoir des conséquences plus ou moins graves, pour toi comme pour autrui. Surtout dans le cas qui nous intéresse ici.

Sign in to participate in the conversation
Mastodon

PARCE QUE C’EST MON INSTANCE !