Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2133 connectés 

 


 Mot :   Pseudo :  
  Aller à la page :
 
 Page :   1  2  3  4  5  ..  112  113  114  ..  312  313  314  315  316  317
Auteur Sujet :

• Pimp my HFR • User scripts et extensions • Maj du fp : 14/06/2026 •

n°2529109
Profil sup​primé
Posté le 29-07-2019 à 20:58:33  answer
 

Reprise du message précédent :
Ça se fait tout seul non ?

mood
Publicité
Posté le 29-07-2019 à 20:58:33  profilanswer
 

n°2529110
Dintr-un l​emn
in medio stat virtus
Posté le 29-07-2019 à 21:26:37  profilanswer
 

garath_ a écrit :

Y a pas de drapal dans les mps.
PJ en a codé une et pour ceux qui utilisent plusieurs devices il y a ce euh... service de synchronisation dans le cloud :o


Ah ok, merci pour l'explication :jap:

n°2529111
garath_
Posté le 29-07-2019 à 21:38:21  profilanswer
 

La signature  [:la chancla:1]


---------------
HFR Links Preview | HFR Giphy
n°2529112
roger21
Posté le 29-07-2019 à 22:38:54  profilanswer
 

bon bref en gros le script utilise vos hash hfr directement pour identifier et accéder à vos données de drapal des mps stockés en ligne
 
le problème c'est qu'on y a accès globalement, pas besoin de connaitre ce hash et du coup on peut voir les hash (et logins hfr) de tous ceux qui utilisent le script (ainsi que leur drapals)
 
l'utilisation du stockage en ligne ne semble pas conditionné non plus, tous les utilisateurs du script y passent
 
et il n'y a pas de faille (ou d'autorisation du navigateur) concernant l'accès à ce hash par le script, c'est une données comme une autre renvoyé par le serveur de hfr dans les pages et auquel le script a accès (voir point 13 de la faq)
 
et si comme dit xat ce hash n'est qu'un md5 alors il est potentiellement pas trop compliqué à inverser pour retrouver le mdp (voir la signature de pj)
 
et pour couronner le tout, la version précédente du script utilisait déjà vos hash (et login hfr) comme identifiant, donc ça fait un moment que le script dissémine vos mdp (avec login) un peu partout sur internet ...
 
bref une alerte du style "je vais faire n'importe quoi avec vos password hfr êtes-vous sûr de vouloir continuer" serait de bon aloi à la première utilisation du script


---------------
☭ ni patrie ni patron | power concedes nothing without a demand | free luigi | des scripts | des stats | y tho | stew is sus ඞ
n°2529113
Dintr-un l​emn
in medio stat virtus
Posté le 29-07-2019 à 22:55:37  profilanswer
 

Pour le novice en la matière que je suis, ça veut dire que nos identifiants de connexion au forum sont compromis ?

 

Et pour l'explication technique, le forum ne sécurise pas des masses ces données et le script les a stockés pour les besoins de son fonctionnement ailleurs sur le net ?

n°2529114
petitjean
Aspe rite
Posté le 29-07-2019 à 23:16:33  profilanswer
 

garath_ a écrit :

Bon on rigole mais l'autre site doit contenir tous nos hash de mdp  :sweat:


 
plus maintenant  :jap:
 
bon... quelqu'un a une solution pour synchro les drapeaux ?
le script dans sa dernière version ne synchronise plus en attendant


---------------
oui
n°2529115
remiche35
One day the flames will fade
Posté le 29-07-2019 à 23:20:42  profilanswer
 

roger21 a écrit :


[...] et si comme dit xat ce hash n'est qu'un md5 alors il est potentiellement pas trop compliqué à inverser pour retrouver le mdp (voir la signature de pj) [...]


 
Je confirme  :whistle:  
 
https://reho.st/self/daae8b6b4c593b24344b4255b366e29f059c3b4b.jpg

n°2529116
petitjean
Aspe rite
Posté le 29-07-2019 à 23:25:29  profilanswer
 


 
il stockait toujours en local depuis le début. le code pour synchroniser était en plus, s'est enlevé facilement :|


---------------
oui
n°2529117
roger21
Posté le 29-07-2019 à 23:47:05  profilanswer
 

Dintr-un lemn a écrit :

Pour le novice en la matière que je suis, ça veut dire que nos identifiants de connexion au forum sont compromis ?
 
Et pour l'explication technique, le forum ne sécurise pas des masses ces données et le script les a stockés pour les besoins de son fonctionnement ailleurs sur le net ?


si tu utilise ou as utilisé ce script alors ton hash de password hfr a été diffusé sur des sites tiers
 
et pour l'explication technique c'est à peu près ça, les données c'est le password (en effet faiblement chiffré par hfr) et en effet le script les a stocké ailleurs (avec les logins et les drapals) par contre "pour les besoin de son fonctionnement" c'est gentil, la réalité c'est "hey je vais utiliser cette donnée sensible comme une vulgaire clé d'identification et je vais la diffuser n'importe où et n'importe comment sur des sites tiers"


---------------
☭ ni patrie ni patron | power concedes nothing without a demand | free luigi | des scripts | des stats | y tho | stew is sus ඞ
n°2529118
petitjean
Aspe rite
Posté le 29-07-2019 à 23:48:36  profilanswer
 

roger21 a écrit :


si tu utilise ou as utilisé ce script alors ton hash de password hfr a été diffusé sur des sites tiers
 
et pour l'explication technique c'est à peu près ça, les données c'est le password (en effet faiblement chiffré par hfr) et en effet le script les a stocké ailleurs (avec les logins et les drapals) par contre "pour les besoin de son fonctionnement" c'est gentil, la réalité c'est "hey je vais utiliser cette donnée sensible comme une vulgaire clé d'identification et je vais la diffuser n'importe où et n'importe comment sur des sites tiers"


 
euh ...


---------------
oui
mood
Publicité
Posté le 29-07-2019 à 23:48:36  profilanswer
 

n°2529119
Profil sup​primé
Posté le 30-07-2019 à 00:10:40  answer
 

petitjean a écrit :


il stockait toujours en local depuis le début. le code pour synchroniser était en plus, s'est enlevé facilement :|


 
C'est à dire, tu as mis à jour le script ? Tu ne poste pas de lien + changelog comme d'habitude ?
 
Finalement c'est aussi la faute du forum qui stocke nos MDP en MD5 si j’ai bien compris...

n°2529120
roger21
Posté le 30-07-2019 à 00:13:21  profilanswer
 


non non non dans aucun monde et dans aucun cerveau d'informaticien sain l'utilisation de cette donnée de la manière dont il l'a fait n'a de sens
 
elles serait parfaitement chiffrée qu'elle ne devrait en aucun cas être diffusée non plus


---------------
☭ ni patrie ni patron | power concedes nothing without a demand | free luigi | des scripts | des stats | y tho | stew is sus ඞ
n°2529121
petitjean
Aspe rite
Posté le 30-07-2019 à 00:21:21  profilanswer
 

non parce que, quand c'était quelqu'un d'autre qui hébergeait les drapeaux, ça ne dérangeait personne. Là quand c'est moi ça gêne [:danid789:6]


---------------
oui
n°2529122
Daphne
kernel panic
Posté le 30-07-2019 à 09:12:51  profilanswer
 

Si on change nos mots de passe à partir de maintenant c'est bon ? Même si on a toujours le script multi-MP ? La "faille" est corrigée ?
Faut faire quoi en fait ?  [:daphne:4]

n°2529123
petitjean
Aspe rite
Posté le 30-07-2019 à 09:29:52  profilanswer
 

Daphne a écrit :

Si on change nos mots de passe à partir de maintenant c'est bon ? Même si on a toujours le script multi-MP ? La "faille" est corrigée ?
Faut faire quoi en fait ? [:daphne:4]

 

J'ai viré le code de synchronisation. Et les données n'existent plus.

 

Si tes scripts se mettent à jour automatiquement, rien à faire.

 

Mais si tu n'es pas sûre, et que tu n'es connectée à HFR depuis hier 17h30, tu peux changer ton mdp


---------------
oui
n°2529124
garath_
Posté le 30-07-2019 à 09:36:13  profilanswer
 

petitjean a écrit :

non parce que, quand c'était quelqu'un d'autre qui hébergeait les drapeaux, ça ne dérangeait personne. Là quand c'est moi ça gêne [:danid789:6]


Putain sans déconner c'est quoi ton site super louche eb4.be sur lequel t'hébergeais les drapeaux ?
Le truc héberge des noeuds tor et des images de merde de jv.com ?  :heink:


---------------
HFR Links Preview | HFR Giphy
n°2529125
spurina
Posté le 30-07-2019 à 09:38:00  profilanswer
 

vous parlez que du ''Multi MP - Synchro (version 0.4.4) par PetitJean'' ou aussi de "Multi MP (version 0.5.5.8) par PetitJean" ?


---------------
https://eumostwanted.eu/fr
n°2529126
petitjean
Aspe rite
Posté le 30-07-2019 à 09:40:20  profilanswer
 

garath_ a écrit :


Putain sans déconner c'est quoi ton site super louche eb4.be sur lequel t'hébergeais les drapeaux ?
Le truc héberge des noeuds tor et des images de merde de jv.com ? :heink:

 

Tu as lu le message au dessus ? Il n'est plus dans le code


---------------
oui
n°2529127
garath_
Posté le 30-07-2019 à 09:42:56  profilanswer
 

Ouais ok, mais c'était quoi ce site?
Parce que ce que j'arrive à trouver dessus me rassure pas des masses.
Donc potentiellement le propriétaire de ce site à tous nos hash de mdp?
 
Y a rien qui te choque ?


---------------
HFR Links Preview | HFR Giphy
n°2529128
petitjean
Aspe rite
Posté le 30-07-2019 à 09:46:32  profilanswer
 

garath_ a écrit :

Ouais ok, mais c'était quoi ce site?
Parce que ce que j'arrive à trouver dessus me rassure pas des masses.
Donc potentiellement le propriétaire de ce site à tous nos hash de mdp?

 

Y a rien qui te choque ?

 

J'ai testé hier avec plusieurs profils, les hash n'y étaient plus


---------------
oui
n°2529129
garath_
Posté le 30-07-2019 à 09:48:34  profilanswer
 

Super je suis rassuré  [:tim_coucou]  
Qui possédait ce service ?
 
Tu veux pas dire à tout le monde de changer son mot de passe?


---------------
HFR Links Preview | HFR Giphy
n°2529130
petitjean
Aspe rite
Posté le 30-07-2019 à 09:52:13  profilanswer
 

garath_ a écrit :

Tu veux pas dire à tout le monde de changer son mot de passe?

 

Bah change le si tu n'es pas sûr.


---------------
oui
n°2529131
garath_
Posté le 30-07-2019 à 09:57:47  profilanswer
 

Noooon ça va penses-tu:
https://reho.st/preview/self/051a6cd9c50bac49c3534ceebedac5f286de5af9.png


---------------
HFR Links Preview | HFR Giphy
n°2529132
Modération
Posté le 30-07-2019 à 09:59:17  answer
 

roger21 a écrit :

non non non dans aucun monde et dans aucun cerveau d'informaticien sain l'utilisation de cette donnée de la manière dont il l'a fait n'a de sens


C'est sympa de remercier ainsi quelqu'un qui met du code à disposition. Recommence et on te remerciera aussi à notre façon [:balledegolf:5]

n°2529133
petitjean
Aspe rite
Posté le 30-07-2019 à 10:00:32  profilanswer
 

 

Oui et ?


---------------
oui
n°2529134
garath_
Posté le 30-07-2019 à 10:01:38  profilanswer
 

Ah bah non rien effectivement.
https://ipinfo.io/176.31.80.124
 
http://dieudogifs.be/


---------------
HFR Links Preview | HFR Giphy
n°2529135
petitjean
Aspe rite
Posté le 30-07-2019 à 10:02:47  profilanswer
 

oui et ?
 
à la fin ça va être de ma faute si les mots de passe sont hashés en md5


---------------
oui
n°2529136
WirIpse
Sent from my 3310
Posté le 30-07-2019 à 10:04:18  profilanswer
 

Modération a écrit :


C'est sympa de remercier ainsi quelqu'un qui met du code à disposition. Recommence et on te remerciera aussi à notre façon [:balledegolf:5]


 
 [:poogz:5]  
 
Ça n'enlève rien à la reconnaissance envers le travail de PetitJean de dire que stocker en clair le combo user id/hash de password sur un service obscur accessible à tous et sans en avertir les utilisateurs est une énorme erreur.


---------------
Roads aren't just for vehicles—they are for people.
n°2529137
petitjean
Aspe rite
Posté le 30-07-2019 à 10:06:57  profilanswer
 

WirIpse a écrit :

 

[:poogz:5]

 

Ça n'enlève rien à la reconnaissance envers le travail de PetitJean de dire que stocker en clair le combo user id/hash de password sur un service obscur accessible à tous et sans en avertir les utilisateurs est une énorme erreur.

 

je suis d'accord avec wiripse (comme quoi :o)

 

edit : j'ai alerté mon propre message.

 

Au revoir


Message édité par petitjean le 30-07-2019 à 10:12:18

---------------
oui
n°2529138
roger21
Posté le 30-07-2019 à 10:20:33  profilanswer
 

Modération a écrit :


C'est sympa de remercier ainsi quelqu'un qui met du code à disposition. Recommence et on te remerciera aussi à notre façon [:balledegolf:5]


heu wat, le gars met un code tout pourrit qui diffuse les hash des password hfr sur des services tiers qui sont soit obscures soit accessible à tous dans un script très utilisé, et on peut pas critiquer ???????
 
quant à mettre du code à disposition au cas où t'aurais pas vu je fais ma part aussi


---------------
☭ ni patrie ni patron | power concedes nothing without a demand | free luigi | des scripts | des stats | y tho | stew is sus ඞ
n°2529139
roger21
Posté le 30-07-2019 à 10:22:33  profilanswer
 

pour tous :
 
oui changer son mdp serait pas mal
 
la dernière version du script dans la liste (0.5.5.8) est saine


---------------
☭ ni patrie ni patron | power concedes nothing without a demand | free luigi | des scripts | des stats | y tho | stew is sus ඞ
n°2529140
garath_
Posté le 30-07-2019 à 10:23:56  profilanswer
 

petitjean a écrit :

 

je suis d'accord avec wiripse (comme quoi :o)

 

edit : j'ai alerté mon propre message.

 

Au revoir


Non mais tu sais il suffisait de dire:
"Pardon à tous j'ai déconné, j'ai pas fait attention, changez vos mdp, désolé."
Et on passait à autre chose  [:garath_:3]


Message édité par garath_ le 30-07-2019 à 10:24:18

---------------
HFR Links Preview | HFR Giphy
n°2529141
WirIpse
Sent from my 3310
Posté le 30-07-2019 à 10:24:30  profilanswer
 

petitjean a écrit :


 
je suis d'accord avec wiripse (comme quoi :o)
 
c'est pourquoi je suis toujours en recherche d'une nouvelle méthode de stockage des drapeaux


 
Je ne sais pas comment ça marche JSONStore mais on peut pas imaginer un truc genre :
 

//jsonstore.io/endpoint_commun/user_id+key_extension_perso/


 
key_extension_perso ce serait le hash d'un input que tu demandes à l'user à chaque nouvelle installation de l'extension ?
 
Comme ça au lieu d'avoir un array commun à tous avec l'user_id en clair, chacun aurait son propre endpoint protégé par une clé que seul lui connait ? La clé étant différente de son MDP HFR, comme ça dans le pire des cas ça lui flingue ses drapeaux.


---------------
Roads aren't just for vehicles—they are for people.
n°2529142
petitjean
Aspe rite
Posté le 30-07-2019 à 10:25:42  profilanswer
 

un autre mdp pour le script ? pourquoi pas


---------------
oui
n°2529143
garath_
Posté le 30-07-2019 à 10:25:53  profilanswer
 

Ou un service où on renseigne un multi, et ça stocke les drapeaux dans un mp dédié.
Comme ça on ne dépend que d'hfr.


Message édité par garath_ le 30-07-2019 à 10:26:36

---------------
HFR Links Preview | HFR Giphy
n°2529144
petitjean
Aspe rite
Posté le 30-07-2019 à 10:26:33  profilanswer
 

ou "Administration", ça sera plus simple  :o

 

ou encore plus simple : "Administration" coche la case dans l'interface pour activer les drapeaux (parce qu'au final, "prive" n'est qu'une catégorie comme les autres)


Message édité par petitjean le 30-07-2019 à 10:27:21

---------------
oui
n°2529145
garath_
Posté le 30-07-2019 à 10:27:18  profilanswer
 

Ah bah si t'as son mdp :o
EDIT:
Ah bah oui remarque maintenant tu l'a :o


Message édité par garath_ le 30-07-2019 à 10:27:38

---------------
HFR Links Preview | HFR Giphy
n°2529146
CdE
|
Posté le 30-07-2019 à 10:28:17  profilanswer
 

Le contenu de ce message a été effacé par son auteur

n°2529147
roger21
Posté le 30-07-2019 à 10:37:06  profilanswer
 

CdE a écrit :


Tu as pas besoin d'un autre pwd, tu peux toper le hash de protection XSS (champs hash_check hidden) des gens et toper ça dans tes requêtes pour XSS tout ce que tu veux sur HFR depuis la session des gens sans devoir réutiliser leur password.
C'est une vieille protection moisie anti xss que md.net a ajouté y a quelques années, et c'est un hash fixe dans le temps, une fois que tu l'as tu peux balancer tes reqs direct dans HFR.


mais non c'est pareil, tu vas pas utiliser une donnée de protection du forum et la diffuser n'importe où

 

un autre password pour le stockage en ligne oui (et sans utiliser un service qui permet d’accéder à toutes les données de tout le monde, ce que ne permet pas jsonstore.io apparemment si on garde le même endpoint)


Message édité par roger21 le 30-07-2019 à 11:00:08

---------------
☭ ni patrie ni patron | power concedes nothing without a demand | free luigi | des scripts | des stats | y tho | stew is sus ඞ
n°2529148
remiche35
One day the flames will fade
Posté le 30-07-2019 à 10:54:13  profilanswer
 

Modération a écrit :


C'est sympa de remercier ainsi quelqu'un qui met du code à disposition. Recommence et on te remerciera aussi à notre façon [:balledegolf:5]

 

Et la modération aurait dis quoi si elle s'était fait piquer son mdp ?  :ange:

n°2529149
garath_
Posté le 30-07-2019 à 10:57:04  profilanswer
 

Alors un instant [:emmanuel_micron:5]  
Le md5 du mot de passe de M.arc me donne gone69


Message édité par garath_ le 30-07-2019 à 10:57:21

---------------
HFR Links Preview | HFR Giphy
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4  5  ..  112  113  114  ..  312  313  314  315  316  317

Aller à :
Ajouter une réponse
 

Sujets relatifs
HFR: web, android, iosFormulaire utilisateur de MAJ de paramètres utilisateur AzureAD
[MySQL] MAJ d'une table avec trigger et conditionsSimple connexion FTP avec user et mdp KO
Faire des scripts quant ta 0 connaissance =( PowerShellCollabo & Automatisation HFR
[PHP] droits du user du script ?Problème PHP (pour GLPI) après MAJ firmware Qnap
Possibilité de scripts clavier G510s? 
Plus de sujets relatifs à : • Pimp my HFR • User scripts et extensions • Maj du fp : 14/06/2026 •


Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)