Journal : Quand La Caisse d'Épargne s'y met aussi...
Posté par GCN (Jabber id, page perso, ) le 19 juillet 2006
Depuis quelques jours, la Caisse d'Épargne emboîte le pas de certaines de ses petites camarades et propose comme seul et unique moyen de saisir son code d'accès un clavier virtuel. C'est joli comme tout, ahh ça c'est joli... Mais alors, p*t*in, qu'est-ce que c'est chiant leur bidule.
Sous Firefox le clavier-virtuel se retrouve caché derrière les divers bandeaux en Flash(c)(tm) le rendant impossible à utiliser.
Après quelques essais, je me suis rendu compte en utilisant Konqueror (ou en utilisant l'extension UA Switcher pour Firefox) que ce satané clavier-virtuel disparaissait pour laisser place à l'ancienne méthode de saisie !
Si ce nouveau joujou vous irrite tout autant que moi, vous savez à présent ce qu'il vous reste à faire.
Je profite de ce petit journal pour poser également une 'tite question: Connaissez-vous une extension similaire à User-Agent Switcher mais qui ne permettrait de changer l'UA que pour certains domaines seulement (Genre: si domaine=example.com => utiliser l'UA: Machin/1.0)
Merci.
Sous Firefox le clavier-virtuel se retrouve caché derrière les divers bandeaux en Flash(c)(tm) le rendant impossible à utiliser.
Après quelques essais, je me suis rendu compte en utilisant Konqueror (ou en utilisant l'extension UA Switcher pour Firefox) que ce satané clavier-virtuel disparaissait pour laisser place à l'ancienne méthode de saisie !
Si ce nouveau joujou vous irrite tout autant que moi, vous savez à présent ce qu'il vous reste à faire.
Je profite de ce petit journal pour poser également une 'tite question: Connaissez-vous une extension similaire à User-Agent Switcher mais qui ne permettrait de changer l'UA que pour certains domaines seulement (Genre: si domaine=example.com => utiliser l'UA: Machin/1.0)
Merci.
> Lire le journal (94 commentaires, moyenne: 2,9).
Vous avez demandé le commentaire #735937.
Run by 
Cette page a été générée par Templeet en 0.0756s (dont 0.0082 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Astuce
Fais un lien direct dans tes favoris :
*ttps://www.net[CODE_CE].caisse-epargne.fr/private/identification/index2.asp?nuce=[CODE_CE]&nuabbd=[NUM_ABO]&codconf=[CODE_CONF]
où :
- CODE_CE est ton code de Caisse d'Épargne (par exemple 15455)
- NUM_ABO est ton numéro d'abonné (9 chiffres)
- CODE_CONF est ton code d'accès confidentiel
Biensûr, ça suppose que tu sois le seul à utiliser l'ordinateur, sinon n'importe qui pourra accéder à ton compte...
[^]Re: Astuce
le code confidenciel passé dans l'URL...... pourquoi pas....
[^]Re: Astuce
Via HTTPS, tout passe par une connexion sécurisée (et chiffrée), donc je ne vois pas de problème ; autre que celui d'avoir le code confidentiel dans ses favoris, évidemment.
Il est toujours possible de garder le "template" d'URL sous la main, et de le compléter à la main à chaque fois qu'on veut consulter son compte en ligne...
Et un code confidentiel dans l'URL, ce n'est pas pire que de le donner chez ton boulanger ou au guichet automatique de ta banque (on voit tellement de trucs de nos jours).
[^]Re: Astuce
Perso je n'ai aucune confiance dans qui que ce soit (même pas les banques) pour avoir désactivé les logs d'accès, surtout s'ils attendant les données en POST (et donc que par défaut ça n'apparait pas dans les logs). Je ne parle même pas de l'historique de ton navigateur.
[^]Re: Astuce
Heu...
Le code d'accès apparait en clair dans l'URL ?
[^]Re: Astuce
Oui mais je crois savoir que ça ne transite pas en clair sur Internet dès lors que la connexion est chiffrée (HTTPS).
Bon, vous commencez à me mettre le doute là ! :-)
[^]Re: Astuce
C'est pas le problème, le digicode est censé éviter les keylogger. Si il suffit de remplacer les keylogger par des screenshoot logger* ou des parser d'historique, c'est ridicule.
*bête est méchant, pas un qui vérifie la position des chiffre et enregistre cahque clic
[ Répondre ] Ce commentaire est-il impertinent ou utile ?
[^]Re: Astuce
Bon les gars faut que vous vous documentiez sur les protocoles GET et POST
avant de flipper.
Quand tu utilise leur clavier virtuel le formulaire est envoyé en utilisant le
protocole POST (donc rien dans l'url), *mais* comme beaucoup de scripts web
ils ne forcent pas le transfert des variables en POST et il est possible de les
faire passer en GET.
Il [e2fsck] a bien démarré, mais il m'a rendu la main aussitot en me disant "houlala, c'est pas beau à voir votre truc, je préfèrerai que vous teniez vous même la tronçonneuse" (traduction libre)
[^]Re: Astuce
Je suis pas totalement sur, mais effectivement en théorie c'est chiffré lors de la transaction https.
Mais par contre si tu entre l'URL avec ton code dans ton navigateur, est-ce qu'il ne va pas enregistrer ça dans ton historique par hasard ??
Résultat, n'importe qui fouillant dans tes historique pourra aller sur ton compte.
Donc moi ça me semble vraiment pas terrible comme idée.
[^]Re: Astuce
Vous croyez que les access.log de leurs serveurs sont bien sécurisés ?
[^]Re: Astuce
Je suppose qu'un serveur web en mode sécurisé ne log pas en clair les infos reçu.
Si c'est le cas, c'est une très grave erreur de sécu de la part du serveur web, pas directement de la banque.
En l'occurance le serveur utilisé par la caisse d'épargne est un IIS il me semble.
Enfin, j'ai jamais vérifié comment faisait apache (et IIS j'ai pas moyen de voir) sur ce genre de choses, mais ça me parrait évident que les données ne sont pas dans les logs. Concernant les données fournient par la methode GET, c'est à vérifier.
[^]Re: Astuce
Euh, il faut différencier les requêtes :
La partie xhtml1.1 :
GET :
<form action="http://site/quelquepart.php" method="get">
<input type="text" name="login" />
<input type="password" name="pass" />
</form>
C'est ce que vous retrouverez dans vos /var/log/httpd/access.log :
HTTP/1.1 GET /quelquepart.php?login=machin&pass=lol
C'est ce que vous retrouverez dans vos tableaux globaux php :
<form action="http://site/quelquepart.php" method="post">
<input type="text" name="login" />
<input type="password" name="pass" />
</form>
$_GET = array(
'login' => 'machin',
'pass' => 'lol'
);
POST :
<form action="http://site/quelquepart.php" method="get">
<input type="text" name="login" />
<input type="password" name="pass" />
</form>
access.log :
HTTP/1.1 POST /quelquepart.php
php :
$_POST = array(
'login' => 'machin',
'pass' => 'lol'
);
Mais on peux faire plus subtil :
POST:
<form action="http://site/quelquepart.php?cryptvalue=dsfkjjkgkj&tagada=tsouintsouin" method="post">
<input type="text" name="login" />
<input type="password" name="pass" />
</form>
access.log :
HTTP/1.1 POST /quelquepart.php?cryptvalue=dsfkjjkgkj&tagada=tsouintsouin
php :
$_GET = array(
'cryptvalue' => 'dsfkjjkgkj',
'tagada' => 'tsouintsouin'
);
$_POST = array(
'login' => 'machin',
'pass' => 'lol'
);
site perso : http://rapsys.free.fr/
[^]Re: Astuce
Astuce pour Firefox :
Au lieu de mettre le code dans les bookmark, il est posible de mettre %s à la place du code dans l'url et de remplir le champ "mot clé" quand on édite le bookmark.
Ensuite pour accéder au site, il suffit de taper dans la barre d'adresse : "Le_mot_clé le_code_secret" (sans les guillements) et normalement ça marche et sans stoquer le code secret dans ses bookmarks !
[^]Re: Astuce
Effectivement, les bookmarks keywords peuvent aider ici... Mais ca rentrera quand meme dans l'historique!
Le plus simple serait une petite extension qui fasse ca pour toi automatiquement quand tu vas sur la page (i.e., elle enleverait le flash pour le remplacer par le formulaire classique)