[Cley Faye]

Il n'y a aucune sécurité dans le nouveau système. ça revient à transmettre la clé de chiffrement en clair dans l'échange, c'est bien pour ça qu'un script écrit en 5 minutes le contourne.

depuis quand sous un site en https les données sont transmises en clair ?

Je parle du système de "pavé numérique" mis en place par FreeMobile, pas du HTTPS! C'est bien le sujet ici non?

[tarass]

Il n'y a aucune sécurité dans le nouveau système. ça revient à transmettre la clé de chiffrement en clair dans l'échange, c'est bien pour ça qu'un script écrit en 5 minutes le contourne.

depuis quand sous un site en https les données sont transmises en clair ?

Je parle du système de "pavé numérique" mis en place par FreeMobile, pas du HTTPS! C'est bien le sujet ici non?

Je ne comprend toujours pas ton "en clair"... Tu as un login qui est visible à l'écran que tu dois taper avec le pavé et le mot de passe que tu tapes à la main qui est caché.... Ce qui te gêne c'est que ton numéro d'utilisateur soit visible sur ton écran ?

[Cley Faye]

Il n'y a aucune sécurité dans le nouveau système. ça revient à transmettre la clé de chiffrement en clair dans l'échange, c'est bien pour ça qu'un script écrit en 5 minutes le contourne.

depuis quand sous un site en https les données sont transmises en clair ?

Je parle du système de "pavé numérique" mis en place par FreeMobile, pas du HTTPS! C'est bien le sujet ici non?

Je ne comprend toujours pas ton "en clair"... Tu as un login qui est visible à l'écran que tu dois taper avec le pavé et le mot de passe que tu tapes à la main qui est caché.... Ce qui te gêne c'est que ton numéro d'utilisateur soit visible sur ton écran ?

Non. Ce qui me gène, c'est que quand on avait la boite de saisie "classique", on saisissait le login et voila. Maintenant on a un pavé numérique, qui "derrière" saisit simplement le login avec une conversion, style le 0 devient un 9, le 1 devient un 4...
La "clé" de cette conversion (pas question ici de la clé de session de SSL/TLS ou autre chiffrement) est bien évidemment visible dans le navigateur. Donc, le système de pavé numérique n'apporte pas plus de sécurité qu'une bête boite de saisie.

Imaginons qu'un programme quelconque ait cherché à récupérer des identifiants FreeMobile (ce qui est un peu idiot, l'identifiant n'est pas censé être secret...), s'il pouvait le faire avant il peut sans soucis continuer de le faire maintenant, modulo 2-3 minutes d'adaptation à chaque fois que le gars de FreeMobile change une lettre dans la page. C'est là que je dit que le nouveau système apporte zéro sécurité par rapport à l'ancien, il suffit de voir les plugins/scripts/extensions capable de le contourner en quelques lignes, développé dans les minutes suivant ça mise en place.

[cotesFree]

De Nouveau HS 17h 39 

[Cley Faye]

De Nouveau HS 17h 39 

Je vous laisse deviner le niveau de cette dernière modification, et le temps qu'il va falloir pour s'y adapter

[Yoann Ferret]

Une petite piste pour vous avant un article plus complet sur le sujet : http://korben.info/mettre-a-jour-des-scripts-greasemonkey-facilement.html

[Cley Faye]

Dans Chrome ça se met à jour tout seul sinon

[cotesFree]

Nouvel version 1.6, = Opérationnel.

[tenenb]

Semble ne pas fonctionner sur Chrome mac. En revanche OK sur FF mac.

[Noname]

Sous firefox j'ai deux fenêtres de saisie identifiant l'une au dessus de l'autre mais ça ne fonctionne pas, de plus la mémorisation identifiant a disparu ainsi que les mdp enregistrés.

[phyl_75]

Firefox aussi, et ça fonctionne très bien.
(la 1ère case en haut n'affiche rien, j'utilise la seconde au centre)

[Noname]

Ha oui, effectivement comme ça c'est ok, merci
J'ai pu voir en passant par la version officielle qu'ils avaient mis en place l'aide vocale :

[Blount]

Version 1.7. Le champ en doublon ne devrait plus apparaître.

Sous Chromium, cette version semble faire fonctionner l'enregistrement du login/mot de passe.

[phyl_75]

Version 1.7. Le champ en doublon ne devrait plus apparaître.

Sous Chromium, cette version semble faire fonctionner l'enregistrement du login/mot de passe.

Blount t'es un cador ! 

merci

EDIT: le doublon supérieur est toujours présent mais sans importance.

[Thibault]

Version 1.7. Le champ en doublon ne devrait plus apparaître.

Sous Chromium, cette version semble faire fonctionner l'enregistrement du login/mot de passe.

"Détection automatique impossible" sous Chrome.
Mais effectivement, l'auto remplissage marche

[Yoann Ferret]

Dans Chrome ça se met à jour tout seul sinon

Pas chez moi, ou alors pas vite.

[tenenb]

Ne fonctionne toujours pas avec Chrome sur mac.

[Blount]

Chrome n'a pas aimé ma modif. La version 1.8 devrait faire l'affaire.
http://userscripts.org/scripts/show/126488

[cotesFree]

Ce jour à 12h45  ne fonctionne plus correctement, il faut cliquer plusieurs fois sur valider pour rentrer dans le compte.

[Noname]

Ce jour à 12h45  ne fonctionne plus correctement, il faut cliquer plusieurs fois sur valider pour rentrer dans le compte.

Pareil !

[phyl_75]

pareil.
Ne fonctionne plus sous firefox . (script 1.7 ou 1.

[Blount]

Salut,

Il ont modifié les images du pavé.

Version 1.9 : install | source

[phyl_75]

Salut,

Il ont modifié les images du pavé.

Version 1.9 : install | source

Comme quoi ils suivent aussi ton boulot 

EDIT: Sous Firefox, je viens d'essayer, il faut 2 fois le numéro d'identifiant (dans les cases supérieures) puis le code dans la case basse.

[Blount]

Tu n'as pas une ancienne version du script installée ?
Ça expliquerait ce problème. Si oui, tu pourras me dire quel était la version ?

[phyl_75]

ta derniere version 1.9

je suppose qu'en chargeant une nouvelle version ça remplace l'ancienne, non ?

[Blount]

En théorie oui.
Je n'ai pas les deux champs, donc je suppose que tu as peut-être deux versions différentes installées.

Regarde dans la liste des extensions Greasemonkey afin de vérifier que tu n'aie pas d'autres versions, ou encore un autre script en parallèle.

[phyl_75]

bien vu !

j'avais la 1.3 qui était resté, là c'est parfait !

encore merci   

[Leinad89]

Salut,

Il ont modifié les images du pavé.

Version 1.9 : install | source

Fonctionne chez moi sous Chrome et Xp pour trois id différents... Bravo... jusqu'à la prochaine c... de Free !...

[Blount]

bien vu !

j'avais la 1.3 qui était resté, là c'est parfait !

encore merci   

Effectivement, j'ai changé le titre du script ce qui provoque ce problème de duplication.
Le principal est que ce soit résolu.

[Leinad89]

C'est bien ce que je craignais !... ils sont rapides chez Free ! la 1.9 ne fonctionne déja plus chez moi 

[phyl_75]

c'est clair ils ont un espion ici.

[Blount]

Nouvelle version, avant la prochaine …

http://userscripts.org/scripts/show/126488

[Leinad89]

Nouvelle version, avant la prochaine …

http://userscripts.org/scripts/show/126488

Bien vu Blount ! la 2.0 fonctionne !

[Blount]

Ça devient lourd leur truc.
Ce n'est même plus un problème de sécurité des comptes pour les applis sur mobile. Je crois qu'il n'y en a plus de fonctionnel.

[Cley Faye]

Ça devient lourd leur truc.
Ce n'est même plus un problème de sécurité des comptes pour les applis sur mobile. Je crois qu'il n'y en a plus de fonctionnel.

C'est un défi ?

[cotesFree]

Bien vu Blount ! la 2.0 fonctionne !

+1 Merci Blount

[Noname]

Il semblerait que la version 2.00 ne fonctionne plus (firefox 11)

[cotesFree]

Idem Hs  sur Firefox 10.0.2

[cotesFree]

Version 2.1 à jour, Fonctionne avec décompte des secondes.

[Blount]

Voilà, version 2.1

Il était vicieux le timer. Désolé, maintenant il faut attendre 4 secondes avant l'envoie du formulaire :/

[Cley Faye]

Voilà, version 2.1

Il était vicieux le timer. Désolé, maintenant il faut attendre 4 secondes avant l'envoie du formulaire :/

Ah, c'était ça... pendant un temps j'ai cru à un contrôle sur le chargement des images "small" 

[Blount]

Il y a un aussi je crois.
D'ailleurs, je les charge en fond ^^

[Macnew]

Bravo et merci à Blount !! Trop fort !

[hayvan]

C'est clair, merci Blount, tous les jours, je vérifie (plus ou moins), et quand ça ne marche plus, je file direct sur ta page pour mettre à jour.

Mais une vraie appli (sous Symbian en ce qui me concerne) serait la bienvenue, ce serait plus constructif de la part de Free que de jouer avec Blount.

[Blount]

Mise à jour 2.2.

J'ai ajouté la détection des chiffres via les fichiers audio
Il y a juste un petit couak avec les chiffres 3 et 4. Alors je me suis dis que mixer les deux détections, ça pourrait être pas mal.
Je commence par tester comme d'habitude les images. Si ça échoue, je passe à la détection du son. On tente de récupérer le 3 et 4 via les images.

Ça ajoute un peu de file à retorde. Changer les images ne suffira plus.

Votre navigateur doit bien prendre en charge les fichiers sons. En claire, si vous activez l'aide audio et que vous n'entendez pas le son en passant sur les chiffres, il y a de forte chance que la détection ne fonctionne pas.

je précise tout de même qu'activer l'aide audio via leur bouton n'est pas une obligation, heureusement.

Enjoy.

[Leinad89]

Bonjour à tous,

Ca fait une dizaine d'heures que les gars de Free sont sous la couette et on s'en rend compte !...

Qu'est-ce qu'ils nous concoctent à leur réveil ?

Blount, tu es toujours dans les starting-blocks ?

[phyl_75]

Blount, tu es toujours dans les starting-blocks ?

 

le suspens a monté d'un cran, on a maintenant un décompte de 4 secondes , c'est torride ! 
 

[Cley Faye]

le suspens a monté d'un cran, on a maintenant un décompte de 4 secondes , c'est torride ! 

Ce qui est rigolo, c'est qu'en terme de sécurité, ça aurait été malin le délai de 4 secondes, mais après une tentative ratée, pour les brute force, pas avant, pour ralentir l'utilisateur légitime.
M'enfin on sait bien que c'est pas l'objectif ici 

[Noname]

Et voilà, ça ne marche plus une fois de plus ! Vraiment lourds les gars de chez free ! Qu'est ce que ça peut leur faire que l'on utilise un script en parallèle, ils feraient mieux de passer du temps à terminer l'interface au lieux de faire mumuse, on n'est pas dans un jeu vidéo. Si vraiment c'est si nuisible que ça d'employer les scripts qu'ils viennent nous dire ici le pourquoi du comment.

[cotesFree]

Idem ne fonctionne plus.