Le 24/05/2018 à 14h 43

Le site d’un ami à moi :https://www.divindefaut.com/ s’arrête aussi aujourd’hui faute de capacité humaine et financière de se fader un gros dev pour tout mettre au propre.

Le 24/05/2018 à 08h 26

Furanku a écrit :



J’ai regardé très rapidement un morceau de son passage… Il est aussi inquiétant que l’usage qui est fait de Facebook et les fuites de données.

Il a vraiment encore quelque chose d’humain ?



Déjà son passage au Congrès, qui a vu sortir tout un tas de GIF, donnait le droit de s’interroger. Mais là… j’ai vraiment du mal à y voir quoi que ce soit d’humain dans ses réactions et sa froideur.

Et du coup énormément de mal à faire confiance à ses dires (si cela est possible).







C’est parce que c’est un reptilien " />

Le 23/05/2018 à 12h 55

Ricard a écrit :



Ca a l’air aussi mauvais que le remake de l’arme fatale ou Mac Gyver…







Oui, y’a pas tromperie sur la marchandise, c’est de la mouise.







Ricard a écrit :



L’agence tous risques. " />



Sans oublier Shérif fais-moi peur. " />







Starsky & Hutch " />

Le 22/05/2018 à 19h 24

Guinnness a écrit :



La BA annonce direct la couleur : par les producteurs de Fast & Furious, autrement dit gros navet d’action sans scénario en approche … " />

Par contre d’entrée une F488 explosée, et beaucoup d’autres autos par la suite, ils doivent avoir eu plus de budget pour 1 seul film que pour l’ensemble de la série originale " /> (de mémoire on a quasiment jamais vu la 308 abîmée dans la série)









Ah… le numérique et le CGI….

Le 22/05/2018 à 19h 22

Ricard a écrit :



Magnum…. " />" />" />







Et c’est ainsi que disparaît dans les flots, devant nos yeux embrumés de larmes, la dépouille de Magnum.



Tu m’étonnes que Tom Selleck n’a pas voulu faire de caméo dans cette merde." />

Le 22/05/2018 à 19h 15

obi_one a écrit :



Zuckerberg va s’excuser et promettre des changements comme il le fait depuis 2003…

Source illustrée :https://www.washingtonpost.com/graphics/2018/business/facebook-zuckerberg-apolog…







Putain excellent, merci !

Le 22/05/2018 à 16h 36

Ah mon dieu comme c’est beau. J’en ai la larme à l’oeil… " />

Le 22/05/2018 à 15h 07

On va quand même regarder ça avec attention " />

Le 19/05/2018 à 10h 21

Bejarid a écrit :



Pour moi ce que tu décris là, et clairement qu’on voit de plus en plus, c’est du sadisme. L’acte de torture, ce n’est pas du gore (seul le résultat l’est), et ce n’est de l’horreur que tant que c’est fictionnel.



Quand c’est réel, c’est du barbarisme, et s’en délecter (c’est à dire le regarder sans raison concrète telle qu’une investigation policière) c’est juste du sadisme. Que ça soit avec des animaux, ou des hommes. Et ce n’est pas pour rien que ce genre de diffusion est condamné par la loi… Mais comme beaucoup d’acteurs (économique) tire de l’argent du trafic généré par ce type de contenu, ben ça prospère.







Youp là boum !







Pardon " />

Le 19/05/2018 à 10h 18

127.0.0.1 a écrit :



Même pas mention du film “Freaks” de 1932… " />







L’un des meilleurs films de tous les temps. Tod Browning. " />

Le 17/05/2018 à 16h 41

A y hé !

Le 16/05/2018 à 14h 35

heu…. qui va être le traite à la suite de ce repas ? " />

Le 16/05/2018 à 05h 46

Demilitarized Zone a écrit :



Pour faire avancer le débat, quelles seraient donc les informations sur LinkedIn qui ne peuvent pas être reproduites par un intermédiaire (site factice) ?







Je ne dirais pas cela comme ça, mais plutôt le fait que l’on peut mettre en place des moyen pour détecter cette tentative. Comme expliqué à juste titre ici par tous on peut empecher de le faire, par contre on peut s’en rendre compte et à ce moment là mettre en stand-by la connection effective.

Le 15/05/2018 à 15h 49

Non c’est bien écrit, je suis d’accord avec toi sur beaucoup de points. Sauf le TOUT sur le TL;DR " /> Que je remplacerai par un beaucoup ou pas mal. Dans la vie concrete le 100% ou le 0% c’est rare, d’où mon avis sur les défenses de linkedin. Mais je crois qu’on a tous donné notre avis, chacun étant responsable de ses propos.

Le 14/05/2018 à 13h 53

TheMyst a écrit :



Je n’ai pas lu toute la conversation, mais tu répète plusieurs fois que ça te semble difficilement possible sur LinkedIn.



J’aimerais savoir ce qui te fait penser ça, et qu’elle(s) mesure(s) pourrait empêcher de faire ça.



Comme répété plusieurs fois par d’autres personnes, cette technique est connue (je m’en amusait pendant mes études) depuis des années, il n’y a rien de nouveau dedans et il est impossible (a ma connaissance) de s’en protéger.







Je l’ai dis plus haut, la technique vise a utiliser une technique qui fait passer le serveur de l’assaillant comme un proxy et que les sites de cette importance comme FB, google, twitter ont des contre mesure qui permet de reconnaître ou suspecter un proxy, des techniques qui voit que le login mot de passe passé l’est depuis un navigateur complètement inconnu jusque là, que le fingerprint est inconnu également, pour les plus connues.



Comme cette technique d’attaque est connue depuis longtemps, des mesures techniques peuvent être mise en place. Pas fiable à 100% mais dans le doute on laisse pas passer.



Pour des groupes internationaux pour qui je vais des SaaS, cette attaque est donc connue, et en plus de la 2F ont mets en place des techniques liés au fingerprint. Lorsqu’on détecte un navigateur, une machine, un fingerprint inconnu, la connexion n’est pas validée et l’utilisateur est alerté par mil ou SMS d’une connexion depuis un endroit, une machine, un navigateur, inconnus ou une IP suspectes. Un troisième éléments d’authentification est demandé.



Ce ne sont que des suppositions. Je doute -simplement- que linkedin n’est pas mis en place ce type de contre mesure. Mais encore une fois je ne demande qu’à croire ce qu’on me dit.







brice.wernet a écrit :



Le CSRF, ça ne marche que pour se protéger d’un site qui se lie à des morceaux du tien de mémoire.



Si maintenant, le faux site émule complètement un utilisateur - le CSRF ne sert à rien.

Pense par exemple à un exemple très concret: les outils comme ceux de Nokia à l’époque pour accélérer le web: c’était un serveur qui exécutait le navigateur, tu ne recevais que l’image. Un peu comme si tu voyais une image via TeamViewer et que le navigateur est sur l’ordi d’un autre: où se trouve le cookie de session dans ce cas?

 

Le MIM n’a qu’à faire pareil: recevoir tes infos, les ressaisir dans un navigateur et te renvoyer la page. Par contre, il faut la renvoyer dans un format “web”, pas image.



Ca permet de faire un phishing générique et très fidèle…







Comme je le dis depuis le début, ce n’est pas l’attaque qui me fait poser question on sait que ça marche, mais la cible. C’est tout. Mais j’ai du mal à me faire comprendre, je dois sans doute mal m’exprimer.

Le 12/05/2018 à 13h 27

Demilitarized Zone a écrit :



En quoi le CSP empêche-t-il un site factice d’interroger un site réel afin d’en récupérer un formulaire, puis d’afficher ce formulaire à la victime afin d’en récupérer identifiant, mot de passe et 2FA, puis de soumettre ces informations au site réel afin d’en obtenir un cookie ?



Le site factice procède côté serveur à une authentification normale et complète auprès d’un site réel, au nom de la victime en se servant des informations que lui aura communiqué cette dernière. C’est comme si un premier utilisateur cherchait à s’authentifier sur un site réel avec les informations que lui aura soufflé un deuxième utilisateur assis à côté de lui.







Oui tu as 100% raison. Ça c’est la théorie, et ça marche très bien d’ailleurs sur le terrain. Après il y’a des moyens de contre mesure contre ça, et mon humble opinion qui n’engage quoi moi après lecture de la video et du blog de l’assaillant, c’est que je pense que linkedin sait se défendre contre ce type d’attaque. Comme sait le faire google ou facebook.



Je peux me tromper, c’est ce que je dis depuis le début. Je ne remet pas en cause la méthode, on sait bien que ça marche. C’est pas un débat, le débat c’est que se soit faisable, de cette façon, sur linkedin qui me parrait louche. C’est pourquoi je souhaite en savoir plus, et surtout de voir quelqu’un d’autre le faire, avant de lever complètement mon doute. Pour l’heure on a qu’une video sur YT



Je ne dis rien d’autre depuis le début. Mais sans doute me suis je mal exprimé.



Pour le CSP je parlais du fait d’embed, iframe le formulaire.

Le 12/05/2018 à 12h 49

empty a écrit :



Quand on connait les principes évoqué, on sait que c’est faisable.

Je me moque légèrement parce que tu restes buté sur ton idée et on voit bien que tu ne comprends pas ce qu’est un mitm, malgré que tu t’en défendes, et malgré les explication détaillées de moi et d’autres.

 Il ne “blouse” pas linkedin mais l’utilisateur, qui donne ses données à un pirate. Ca fonctionne sur n’importe quel site, même correctement sécurisé. Il démontre juste que l’U2F n’est pas plus sécurisant qu’un mot de passe vis-à-vis d’une attaque par phishing, puisque l’U2F se réduit à un cookie de session qui se copie et se réutilise.







C’est pas parce que on n’est pas d’accord que ça veut dire que je ne sais pas de quoi je parle et que de fait tu sais. Moi mon postulat de départ c’est qu’on sait tous les deux de quoi on parle, mais qu’on est pas d’accord.



Quant on connait les principes évoqué j’ai un doute sur la faisabilité sur linkedin, j’emets un doute, car la méthode utilisée, justement, linkedin s’en défend. Je ne dis pas que ce n’est pas faisable, ça l’est depuis très longtemps, relis le thread : je dis que j’ai un doute de le faire sur linkedin



D’ailleurs, dans le lien que tu as fourni me donne raison :https://breakdev.org/evilginx-advanced-phishing-with-two-factor-authentication-b… le hacker le dit dans ses FAQ et conclusion, que ça ne marche pas partout et que des “gros” sites savent se défendre. Il donne l’exemple tout bête de la gestion de l’injection hors domaine ou tout simplement de la reconnaissance du fait que ce son script se comporte comme un proxy. Il donne l’exemple de google qui se défend tout à fait bien de ce type d’attaque.



Bref, je reste sur mon analyse depuis le début : j’ai un doute sur la possibilité de faire cette attaque sur linkedin (pas ailleurs hein) et je ne demande qu’à être convaincu par une preuve autre qu’une simple video sur youtube. Si tu le crois sur parole et sans autre preuve, c’est ton droit. Ça se trouve tu as raison, il a réussi.



Moi pour ma part, je ne suis pas aussi catégorique que vous. Mais je ne demande qu’à être convaincu.



D’ailleurs, si tu arrives à reproduire son attaque -et je suis prêt à faire le cobaye et participer à l’expérience- et la réussir avec sa méthode et sur Linkedin. Je te promet que je prends ma bagnole, je viens chez toi et je te paye un bon resto ! je suis sûr qu’on aurait plein de truc à échanger tous les deux " />" />

Le 12/05/2018 à 11h 04

empty a écrit :



Et bien si. C’est exactement ce qu’il a fait.  " />

 

 Lâche ton CSRF 2 secondes, puisqu’on te dis que c’est pas ça. T’es borné et tu n’écoute pas, j’aimerais pas travailler avec toi.

 

Va lire ces articles (un du créateur de l’outil, qui dit lui-même que c’est un MITM), qui expliquent plus en détail la mise en place de l’attaque par Mitnick :

https://breakdev.org/evilginx-advanced-phishing-with-two-factor-authentication-bypass/

 https://www.extremetech.com/extreme/269121-this-tool-can-hack-your-accounts-even-with-two-factor-authentication







C’est pas en te roulant par terre de rire que ça fait avancer la discussion. Je défend mon propos tranquillement avec autant d’envie que toi, j’ai le droit non ? Me permets tu d’exprimer mon opinion (qui peut être fausse) sans être galvaudé ? tu as ton opinion, tu me dis que c’est toi qui a raison, je te crois, mais permet moi au moins d’exprimer mon opinion et de débattre.



Par contre les liens sont interressants. Je vais aller voir.



Moi je ne demande qu’à croire, mais je me me fit qu’aux preuves et à la répétabilité scientifique d’un expérience, quelle qu’elle soit. Pas d’une simple vidéo où je devrai croire sur parole ce qu’il me dit.



C’est sans doute vrai, mais j’aimerai voir le code. Voir faire l’expérience moi même. Ou toi même, tu m’as l’air d’en avoir largement les compétences. Apparemment blouser linkedin est très aisé et c’est inquiétant.

Le 12/05/2018 à 10h 59

Demilitarized Zone a écrit :



Le code 2FA n’est pas autre chose que l’affichage d’un CAPTCHA sur un téléphone. Ce code étant lié à un jeton (pour que le site réel sache qu’il s’agit du bon code 2FA), il suffit que le site factice reproduire à l’identique les données et jeton du formulaire réel.







Oui certes. C’est la théorie, très bien, mais concrètement il fait comment pour contourner la protection mise en place par linkedin pour empêcher ça ? Mais encore une fois, je ne demande qu’à être convaincu. Je ne dis pas que c’est faux sont truc, je dis simplement que je n’ai pas vu le code et la méthodologie exacte dans la vidéo. Donc il raconte ce qu’il veut, on va le croire sur parole ?







Demilitarized Zone a écrit :



Je pense que nous sommes dans ce cas dans un MITM puisque la victime interagit avec un formulaire généré par le site réel mais présenté par le site factice.







Non justement, ce n’est pas possible, je l’ai expliqué plus haut il n’est pas possible de faire cela, le CSP de linkedin l’empêche (voir plus haut dans les commentaires). C’est pour ça que ce n’est pas vraiment une attaque MITM, mais plus du CSRF. Et c’est pour ça que la méthode qu’il montre ne devrait pas fonctionner. Donc je demande des explications précises et techniques.



Je ne demande qu’à croire moi, mais pour l’instant je ne vois aucune preuve. Juste une vidéo dont j’ai déjà soulevé les points étrange, comme par exemple lors que la procédure est terminé le hacker dit dans la video que l’internaute est ensuite redirigé (et connecté) sur linkedin, or ce n’est pas vrai l’internaute reste sur llnkedin. Il faudrait pouvoir répéter l’expérience.

Le 12/05/2018 à 10h 22

empty a écrit :



Y a pas de bot ou script, juste un intermédiaire qui retransmet les requêtes et réponses qui transitent.

Comme le fait un simple routeur.



Tu dis que tu connais le principe du MITM, mais tu n’en as pas l’air.







Y’a forcément un script quelque part mon poulet. Des lignes des codes écrites par l’assaillant, un automatisme (bot) qui fait se connecter ou faire l’intermédiaire comme tu dis.



MITM c’est pas vraiment ce qu’il à fait. WikipediaCe qu’il fait c’est du fishing->usurpation->CSRF



Mais je ne demande qu’à être convaincu hein, j’aimerai voir le code qu’il a mis en place simplement.

Le 11/05/2018 à 22h 30

empty a écrit :

• présenter une fausse page à la victime pour aspirer ses identifiants (rôle: serveur web)
  


• se connecter à linkedin.com en tant qu’utilisateur avec les identifiants (rôle: utilisateur)
  
  
  
  
  
  
  
  J’ai compris la philosophie de l’attaque hein, t’inquiètes pas. C’est pas le principe qui m’interrese, mais le concret. Je reste septique quant à la possibilité de faire vraiment ce qu’il dit, car je pense (pour ne pas dire je sais) que linkedin se défend -justement- d’un connexion depuis un serveur via un bot/script.
  
  
  
  Je mets moi même en place ces contre-mesures sur les serveurs que je déploie pour des boites lorsqu’on leur fait des SaaS avec des connexion web login/pass/ + 2F
  
  
  
  Mais bon, on va partir du principe que c’est possible avec linkendin. Dans ce cas l’attaque est facile à faire, et elle existe depuis longtemps.

Le 11/05/2018 à 20h 41

Firefly’ a écrit :



une extention sur un navigateur dans une vm qui remplis les champs, qui recoit les infos en direct du serveur de la fausse page ? c’est pas très scalable mais ça marche bien et sans aller chercher dans les client webs simulé dans un serveur nodejs







y’a même plus simple qu’une vm ou node.js, comme snoopy par exemple => GitHub" />



Ce n’est pas cela qu’il montre sur sa video. Sur la video il n’en parle même pas. Ça ressemble à un tour de magie son truc, pas une attaque. Pour être compris, il faudrait qu’il explique vraiment ce qu’il fait.



Je ne dit pas que c’est pas possible, je dis qu’en l’état de sa démonstration ça ne me convainc guerre. Mais c’est moi sans doute qui ne comprend pas " />

Le 11/05/2018 à 20h 34

empty a écrit :



Le serveur de l’attaquant se connecte tout à fait normalement sur linkedin.com, il n’a rien à “faire croire”.

 Il a tous les identifiants nécessaires, puisque la victime les lui donne.







Et comment le serveur de linkedin à l’information alors pour envoyer le SMS ?









empty a écrit :



Il n’y a aucune injection distante, c’est un MITM tout à fait classique.

La victime ne se connecte pas à linkedin, elle donne ses identifiants au pirate, et se trouve face à une page maquillée pour ressembler au vrai site.







Ah si, il y’a obligatoirement une connexion distante car l’assaillant à besoin que l’internaute reçoive le SMS

lorsqu’il est toujours sur le site pirate pour le piquer le cookie de session. Il faut donct que le pirate fasse rester l’internaute sur le site pirate le temps que le SMS arrive, qu’il rentre le code du SMS et là le connecter définitivement pour prendre le cookie. Et c’est là que je ne vois pas comment ça marche techniquement, car linkedin empêche ça justement la connexion distante.



Ce n’est pas du MIM c’est du CSRF

Le 11/05/2018 à 13h 54

Cashiderme a écrit :



Par quel moyen ?







Peut-etre juste une frame qui affiche le vrai site dans le faux ?







Il y’a pas mal de moyen de se protéger d’un connexion distante, est de forcer un token (qu’on appelle souvent CSRF token) voilà un exemple :https://support.detectify.com/customer/portal/articles/1969819-login-csrf



Il y’a d’autres méthodes plus compliquées à mettre en place qui joue sur le fingerprint par exemple.



Pour la frame ça c’est impossible, linkedin l’interdit, voilà son SCP :



default-src ‘none’;

base-uri ‘self’;

form-action ‘self’;

connect-src ‘self’ wss: static.licdn.com s.c.lnkd.licdn.com static-fstl.licdn.com static-src.linkedin.com dms.licdn.com static-exp1.licdn.com static-exp2.licdn.com s.c.exp1.licdn.com s.c.exp2.licdn.com static-lcdn.licdn.com s.c.lcdn.licdn.com media.licdn.com m.c.lnkd.licdn.com platform.linkedin.com LinkedIncdn.lynda.com media-exp2.licdn.com media-exp1.licdn.com video-uploads-prod.s3.amazonaws.com video-uploads-prod.s3-accelerate.amazonaws.com LinkedInimg-src data: blob: *;

font-src data: *;

frame-src ‘self’ *.doubleclick.net www.slideshare.net radar.cedexis.com platform.linkedin.com media-exp1.licdn.com media-exp2.licdn.com m.c.exp1.licdn.com m.c.exp2.licdn.com media-lcdn.licdn.com m.c.lcdn.licdn.com cdn.embedly.com LinkedInlichat.azurewebsites.net www.youtube.com www.facebook.com player.vimeo.com embed.ted.com livestream.com embed.gettyimages.com w.soundcloud.com www.lynda.com media.licdn.com;

child-src ‘self’ *.doubleclick.net www.slideshare.net radar.cedexis.com;

style-src ‘unsafe-inline’ static.licdn.com s.c.lnkd.licdn.com static-fstl.licdn.com static-src.linkedin.com static-exp1.licdn.com static-exp2.licdn.com s.c.exp1.licdn.com s.c.exp2.licdn.com static-lcdn.licdn.com s.c.lcdn.licdn.com LinkedIn/sc/ LinkedIn/scds/https://qprod.www.linkedin.com/sc/;

script-src ‘report-sample’ ‘sha256-6gLjSWp3GRKZCUFvRX5aGHtECD1wVRgJOJp7r0ZQjV0=’ ‘unsafe-inline’ static.licdn.com s.c.lnkd.licdn.com static-fstl.licdn.com static-src.linkedin.com LinkedIn/voyager/service-worker-push.js LinkedInstatic-exp1.licdn.com static-exp2.licdn.com s.c.exp1.licdn.com s.c.exp2.licdn.com static-lcdn.licdn.com s.c.lcdn.licdn.com LinkedIn/sc/ LinkedIn/scds/https://qprod.www.linkedin.com/sc/ LinkedIn/sw.js LinkedIn/voyager/abp-detection.js;

media-src blob: *;

manifest-src ‘self’;

frame-ancestors ‘self’;







titomate a écrit :



Ce n’est pas le pc de l’utilisateur qui appelle le site (là ça marcherait pas) mais le faux site qui en arrière plan contact le site, récupère le token envoi le formulaire avec le bon token etc.. aucun moyen de le détecter, à part bloquer l’ip depuis laquelle le site se connecte, car même si tu mets un captcha il peut le screener par exemple et le proposer à la victime qui le remplira aussi :)







Je sais bien que c’est pas le pc de l’utilisateur, mais le serveur de l’assaillant. ;)



Un capcha n’empêche pas une attaque CSRF :https://blog.detectify.com/2017/12/06/captcha-csrf/



Encore une fois, je ne vois comment linkedin peut être trompé par la méthode qu’il montre car pour déclencher l’envoi du SMS il faut faire croire à linkedin qu’on est bien sur le domaine linkedin.com en train de tenter de s’authentifier. Linkedin, et c’est justement le but de la protection des CSRF, se protège de ça. Une injection distante des login+pass dans le formulaire d’authentification n’est pas possible, de fait l’envoi du SMS ne peut pas se faire.



donc comment son attaque peut elle marcher ? J’ai plutôt l’impression que c’est un peu bidonné son truc, mais ce n’est que mon avis, je peux me tromper.

Le 11/05/2018 à 12h 39

yope7 a écrit :



Ça s’appelle une attaque MITM (Man In The Middle pour l’homme du milieu).



 Le site factice sert à récupérer les identifiants de l’utilisateur dans un premier temps (car ce dernier croit qu’il est sur le vrai site). Une fois récupérés, comme tu l’a deviné, le site factice se fait passer pour l’utilisateur grâce à ses identifiants et se connecte au vrai site.

Le vrai site envoie donc ensuite à l'utilisateur un code par SMS pour vérifier sa connexion. Pendant ce temps, le site factice va demander à l'utilisateur d'entrer ce code comme l'aurait fait le vrai site pour valider la double-authentification (il doit y avoir une seconde connexion faux site -> vrai site donc).     

 

Une fois ces deux étapes achevées, le site factice récupère le cookie de session correspondant à la session de l’utilisateur avec double authentification.

 

Comme l’a expliqué un internaute précédent, ce n’est pas vraiment une faille de la double authentification car elle n’a pas été conçue pour ça !









j-dub a écrit :



C’est bien ça, le faux site a donc l’identifiant et mot de passe et tente de se connecter au vrai site pour récupérer un cookie de session.



edit : grillé " />









Sniperovitch a écrit :



Tu as un compte sur un site A.

Le pirate crée un site B qui est une copie du site A graphiquement.

Il t’envoie dessus (phishing ou autre).

Tu arrives sur la page d’authentification.

Tu indiques ton identifiant et ton mot de passe.

Le site B envoie ça au site A

Le site A demande le code du 2FA (soit soft token, soit SMS)

Le site B te demande le code 2FA

Tu reçois le SMS ou tu regardes ton soft token

Tu donnes au site B le code

Le site B donne le code au site A

Le site A envoie le cookie de session à B

Le site B enregistre le cookie de session et te l’envoie puis te redirige sur le site A officiel.



L’authentification s’est déroulée entièrement, au milieu quelqu’un a récupéré ton cookie.







Je vous remercie, beaucoup. Vous m’avez éclairé.



Néanmoins, faire une connexion à distance comme ça s’appelle une attaque CSRF :https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF) Ce dont linkedin s’est protégé.



Pour éviter ce type d’attaque, le formulaire sur le site génère un token CSRF pour vérifier que celui qui tente de se connecter est bien présent sur le site légitime. Vous ne pouvez pas non plus faire la même chose sur OVH par exemple. Expliquez moi du coup comment vous faites un bot qui va se logger sur linkedin



Ensuite, cela induit que l’attaqué soit délogué de linkedin pour lancer le SMS.



En plus sur la video on voit qu’à la fin de la procédure l’attaqué reste sur llnkedin, il n’est pas redirigé effectivement vers linkedin. Ce qui n’est pas étonnant, la protection CSRF mise en place par linkedin l’empêche.



Encore une fois, je ne comprends pas " />

Le 11/05/2018 à 11h 42

Je trouve sa démonstration étrange, il utilise un faux linkedin pour voler les login/pass/session qu’il a appellé llnkedin



Cela veut dire que l’internaute est sur le faux site, il rentre ses identifiants pour se les faire voler. OK. Mais comment le vrai linkedin sait que l’internaute essaye de se connecter pour lui envoyer le SMS ? Cela veut dire qu’en parallèle le faux site requête chez likedin une tentative de connexion ? je ne comprends pas.



je ne comprend pas non plus qu’après avoir mis le code SMS et valider sa connexion il dit dans sa vidéo qu’il se retrouve sur son compte linkedin alors qu’il est toujours sur llnkedin



Je ne comprends pas comme ça marche sa démonstration car cela veut qu’il a fait un script qui tente de se connecter également au vrai linkedin pour que linkedin envoi le SMS. C’est une attaque de type CSRF dans ce cas. Or linkedin est protégé de ce type d’attaque CSRF.



si quelqu’un peut m’expliquer, je ne comprends pas.

Le 15/05/2018 à 09h 06

Ah merde… Je l’ai croisé une fois il y’a quelques années, un bon mec.



Toutes mes condoléances à sa famille et ses proches.

Le 11/05/2018 à 15h 31

secouss a écrit :



En même temps la fonction SS à toujours posé problème dans l’histoire récente ^^







" />

Le 11/05/2018 à 15h 09

PtiDidi a écrit :



Ya deux fois linux dans le titre :/







Y’a tellement de distrib aussi " />

Le 11/05/2018 à 15h 07

Ah bah ça l’air d’être exécutable à distance tient.



Bon bah y’a plus qu’à. " />



\( nano /etc/apt/sources.list





debhttp://ftp.us.debian.org/debian/ stretch main contrib non-free

deb-srchttp://ftp.us.debian.org/debian/ stretch main contrib non-free



debhttp://security.debian.org/debian-security stretch/updates main contrib non-free

deb-srchttp://security.debian.org/debian-security stretch/updates main contrib non-free





\) apt-get update && apt-get upgrade -y

Le 11/05/2018 à 15h 01

CryoGen a écrit :



Il suffit d’aller à la concurrence. Au moins il y a des alternatives.







Comme tu dis ce sont des alternatives, aucunes n’arrivent à la cheville de google maps. Mais oui, heureusement qu’il y a open street maps et c’est bien heureux

Le 11/05/2018 à 13h 58

127.0.0.1 a écrit :



Moi ce que je vois c’est que Twitter fait enfin des bénéfices depuis 6 mois. Est-ce lié à la fermeture des fameuses API, peut-être bien… peut-être pas. Et si Twitter avait fermé boutique faute de bénéfices, les “applications tierces” auraient certainement pleurées beaucoup plus fort que maintenant.



Bref, si vous construisez votre business-model sur le bon vouloir d’une unique autre société ayant pignon sur rue, faut pas venir chouiner quand les CGU changent et amenuisent vos espoirs.







Tout est dit.



Autre exemple avec l’API de google maps qui devient très très payante



En 13 ans Google Maps sera passé de la gratuité totale, à la gratuité partielle et le 11 juin 2018 au très peu gratuit et très cher !

Le 08/05/2018 à 16h 37

Google Research devient Google AI :https://ai.google/

Le 06/05/2018 à 17h 08

On notera que l’envoi se fait avec une ATLAS V, et se servira de la rotation de la terre pour acquérir une vélocité plus grande dès le départ. Ce n’est pas toujours le cas évidemment. C’est pour cela que la NASA et l’ESA voulaient un lancement le plus tôt possible dans la fenêtre de tir.



Par contre, la date d’atterrissage ne sera pas avancé, ça restera en fin septembre.

Le 05/05/2018 à 11h 58

I was there, fifteen years ago, in a galaxy far far away…



Putain, 2003. Je me souviens de l’arrivée de pcinpact et d’autres sites de news. Beaucoup n’ont pas survécu.



Bravo en tout cas d’avoir survécu à la disruption (comme disent les VC) du monde et d’avoir trouver un modèle économique sain et durable.



Une bises particulière à Marc " />



Keep pushing fellows.

Le 05/05/2018 à 11h 55

Minikea a écrit :



c’est juste moi ou on dirait qu’il s’est fait ramoner le fion par un équidé, le twit-twit?







Des souvenirs ? " />

Le 04/05/2018 à 12h 58

J’ai changé mon mot de passe de password à drowssap



Nickel.

Le 02/05/2018 à 14h 41

QuaL a écrit :



…



(deux premiers raccord fibre en deux ans, 1er => 2 mois, 2eme => passage chez concurrence après 1 mois, raccord en 3 jours )







FTTH ?

Le 02/05/2018 à 13h 52

Les goonies " />

Le 02/05/2018 à 12h 48

C’est pas aussi clair que ça semble t il :



https://www.numerama.com/pop-culture/364575-le-dernier-telegramme-de-france-un-m…

Le 27/04/2018 à 09h 27

Vesna a écrit :



Toujours plus de contraintes, toujours moins de libertés. Arrêtez d’emmerder les Européens !







En quoi c’est une contrainte pour le citoyen européen ? en quoi ça entrave nos libertés ? je ne vois pas concrètement. Merci d’étayer ton propos.



Sauf si c’est un troll du vendredi.

Le 26/04/2018 à 21h 12

Z-os a écrit :



Tu oublie la prorogation de guerre du coup il faut ajouter 8 ans et 120 jours. " />





Edith : ajout du lien pour ceux qui ne connaissent pas.







Oui exact donc 2043

Le 26/04/2018 à 15h 47

Radithor a écrit :



l’auteur de Mein Kampf serait mort en 1965 ? " />











tpeg5stan a écrit :



Théories du complot sur Hitler vivant toujours caché en Amérique latine pendant des années " />







" />

Le 26/04/2018 à 14h 25

tpeg5stan a écrit :



Pour Mein Kampf, c’est dans le domaine public, mais il me semble que (même avant l’entrée dans le domaine public) toute réédition devait comporter des commentaires, notamment expliquant les horreurs nazies.







Mein Kampf, c’est pas dans le domaine public, car c’est 70 ans après la mort de l’auteur. Donc 2035 " />

Le 25/04/2018 à 16h 29

gavroche69 a écrit :



En même temps, s’il ne vit pas assez vieux pour voir les premiers pas de l’homme sur Mars, ça lui fera une belle jambe que ce soit filmé… " />







" />" />

Le 25/04/2018 à 12h 25

Papa Panda a écrit :



t’inquiète, tout sera filmé mais peut être pas par le même réalisateur que pour la Lune " />







Ah bah oui, officiellement Stanley K. est mort " />

Le 25/04/2018 à 12h 05

Bien vu la photo de la plante et le sous-titre. I got it ;)



Dossier bien sympa sur Mars. Espérons que je vive assez vieux pour voir les premiers pas de l’homme sur Mars. J’ai loupé ceux de la lune, j’étais pas encore arrivé " />

Le 25/04/2018 à 06h 13

MarcRees a écrit :



Moi :), mais je l’annonce sur NXI.  

J’allais pas me faire piéger pas une erreur aussi grossière ;)







C’est pas à un vieux singe… " />

Le 24/04/2018 à 12h 58

C’est la personne morale NXI qui a fait le requête auprès de la Hadopi ou une personne physique, genre toi Marc, qui fait cette requête ?

Le 23/04/2018 à 16h 53

David_L a écrit :



Pour CF on étudie des alternatives justement, après c’est la même chose que pour LE : trouver des solutions tierces et raisonnables ce n’est pas simple…







Yep. Je ne suis même pas sûr qu’une alternative à CF dans les même prix avec les même services existe tout simplement. Après ça dépend de ce que tu veux faire, mais CF est devenu hégémonique parce qu’il propose des services gratuits très utiles et très fiables, trouver l’équivalent est aujourd’hui une gageure.