Il n'y a aucune sécurité dans le nouveau système. ça revient à transmettre la clé de chiffrement en clair dans l'échange, c'est bien pour ça qu'un script écrit en 5 minutes le contourne.
depuis quand sous un site en https les données sont transmises en clair ?
Je parle du système de "pavé numérique" mis en place par FreeMobile, pas du HTTPS! C'est bien le sujet ici non?
Je ne comprend toujours pas ton "en clair"... Tu as un login qui est visible à l'écran que tu dois taper avec le pavé et le mot de passe que tu tapes à la main qui est caché.... Ce qui te gêne c'est que ton numéro d'utilisateur soit visible sur ton écran ?
Non. Ce qui me gène, c'est que quand on avait la boite de saisie "classique", on saisissait le login et voila. Maintenant on a un pavé numérique, qui "derrière" saisit simplement le login avec une conversion, style le 0 devient un 9, le 1 devient un 4...
La "clé" de cette conversion (pas question ici de la clé de session de SSL/TLS ou autre chiffrement) est bien évidemment visible dans le navigateur. Donc, le système de pavé numérique n'apporte pas plus de sécurité qu'une bête boite de saisie.
Imaginons qu'un programme quelconque ait cherché à récupérer des identifiants FreeMobile (ce qui est un peu idiot, l'identifiant n'est pas censé être secret...), s'il pouvait le faire avant il peut sans soucis continuer de le faire maintenant, modulo 2-3 minutes d'adaptation à chaque fois que le gars de FreeMobile change une lettre dans la page. C'est là que je dit que le nouveau système apporte zéro sécurité par rapport à l'ancien, il suffit de voir les plugins/scripts/extensions capable de le contourner en quelques lignes, développé dans les minutes suivant ça mise en place.