ALERTE!! Elon Musk s'est fait piraté

Le 16 juillet 2020 à 01:11:24 KOL32 a écrit :
Le frameloop bordel, on leur dit depuis le début que leur frameloop va finir en event.horizon si le PAZ88 surpasse le PNL32....

C'est clairement à cause du moteur V8 js de google et de la gestion de l'event-loop

Le 16 juillet 2020 à 01:10:33 Luther_N-02 a écrit :

Le 16 juillet 2020 à 01:09:52 LightsMotion a écrit :

Le 16 juillet 2020 à 01:09:24 Luther_N-02 a écrit :

Le 16 juillet 2020 à 01:08:54 LightsMotion a écrit :
les kheys microsoft est safe ou pas?

J'ai une maj aussi

ALERTE

C'est pas normal j'ai un logiciel qui désactive les maj

N' éteint pas ton ordinateur sinon elle va s' installer automatiquement au redémarrage.....

Le 16 juillet 2020 à 01:12:08 3Virgule141592 a écrit :

Le 16 juillet 2020 à 01:11:24 KOL32 a écrit :
Le frameloop bordel, on leur dit depuis le début que leur frameloop va finir en event.horizon si le PAZ88 surpasse le PNL32....

C'est clairement à cause du moteur V8 js de google et de la gestion de l'event-loop

C'est tellement pas drôle

Le 16 juillet 2020 à 01:12:31 KOL32 a écrit :

Le 16 juillet 2020 à 01:10:33 Luther_N-02 a écrit :

Le 16 juillet 2020 à 01:09:52 LightsMotion a écrit :

Le 16 juillet 2020 à 01:09:24 Luther_N-02 a écrit :

Le 16 juillet 2020 à 01:08:54 LightsMotion a écrit :
les kheys microsoft est safe ou pas?

J'ai une maj aussi

ALERTE

C'est pas normal j'ai un logiciel qui désactive les maj

N' éteint pas ton ordinateur sinon elle va s' installer automatiquement au redémarrage.....

Je fais comment khey
Tu connais un moyens pour interdire cette maj ?

Le 16 juillet 2020 à 01:12:49 Pounchi a écrit :
Bon vous me fatiguez les troll, en plus YRR donc je vais me coucher bonne nuit les kheys

c'est quel langage ça YRR ?

https://mobile.twitter.com/KerlZ2/status/1283539939276267521

Récap du hack de ce soir

Le 16 juillet 2020 à 01:12:08 3Virgule141592 a écrit :

Le 16 juillet 2020 à 01:11:24 KOL32 a écrit :
Le frameloop bordel, on leur dit depuis le début que leur frameloop va finir en event.horizon si le PAZ88 surpasse le PNL32....

C'est clairement à cause du moteur V8 js de google et de la gestion de l'event-loop

This

Le 16 juillet 2020 à 01:11:24 KOL32 a écrit :
Le frameloop bordel, on leur dit depuis le début que leur frameloop va finir en event.horizon si le PAZ88 surpasse le PNL32....

J’ai honte d’avoir ri

Le 16 juillet 2020 à 01:12:49 Pounchi a écrit :
Bon vous me fatiguez les troll, en plus YRR donc je vais me coucher bonne nuit les kheys

YRR alors qu'il a fais l'impensable

Le 16 juillet 2020 à 00:43:43 25468756 a écrit :
Je comprends rien, j'ai de vagues notion en cyber sécurité mais c'est tout. Les tokens c'est pas les trucs censé être généré toute les 15mn ? Comment il peut y avoir une faille sur ça ?

Un token ça se partage, y'a de plus en plus de hack via les token

Le 16 juillet 2020 à 01:11:31 SpyOunet a écrit :

Le 16 juillet 2020 à 01:10:04 ShitWorld a écrit :
Résumé ?

86 pages, c'est un peu trop

En gros c'est une faille dans HTML++ JVS avant le détour pare-feu plugin GRPX après un straf et rocket jump vers le mid-air du langage scripté JHDP

Faut juste que Twitter downgrade leur pare-feu sous une CTT+ en slump avec un serveur externe pour comb-ent la faille puis ils mettent a jour Microsoft et problème réglé.

Le 16 juillet 2020 à 01:13:37 Irelia_v3 a écrit :

Le 16 juillet 2020 à 01:09:59 clemphy a écrit :

Le 16 juillet 2020 à 01:05:25 CleanCodeur a écrit :

Le 16 juillet 2020 à 01:03:44 LePlusBeauKhey a écrit :

Le 16 juillet 2020 à 01:01:26 CleanCodeur a écrit :

Le 16 juillet 2020 à 01:00:00 LePlusBeauKhey a écrit :

Le 16 juillet 2020 à 00:58:14 banni90 a écrit :

Le 16 juillet 2020 à 00:54:25 Sexenmain a écrit :

Le 16 juillet 2020 à 00:50:38 Hispano-Suiza a écrit :

[00:49:34] <3Virgule141592>
Même en accès interne t'es pas censé avoir accès aux comptes des utilisateurs, le hash + salage de mdp c'est pas pour rien.

This

C'est faux un accès interne en admin il voit tout ce qu'il y a dans la bdd . Le MDP est bien stocké a un endroit un . Même si il est chiffré à chaque instant entre le moment où il entré et la bdd

tu crois qu'un seul compte admin peut faire ce qu'il veut dans la base de donnée de prod

non y'a des mutltiple controle un seul compte peut pas faire ce qu'il veut avec le compte du president des USA et du PDG d'amazon ca serait du suicide

oui un compte dev peut avoir accès à toutes les fonctionnalités et à un pannel permettant de gérer les comptes c'est tout à fait plausible
après de là a avoir accès à la bdd non mais des features pour poster, supprimer etc c'est tout à fait logique

Sauf que j'imagine que dans leur logs ils ont un système de log / action event, et qu'ils voient qui a fait quoi. Et si ça avait été ça la faille, le compte admin aurait été désactivé en quelques minutes et pas en 1h30.

Donc je pense plutôt à un bug côté API.

ça clairement ça doit être loggé pour éviter les abus d'employés
à part si c'est vraiment un compte dev+ mais j'imagine que c'est impossible qu'il se retrouve entre les mains d'inconnus

Impossible en effet, j'ai bossé chez un gros site français et on logguait toutes les actions BO. Ce genre de bug ça aurait été détecté en quelques minutes.

Et un dev dans une grosse boite comme ça il a accès à rien en prod. Chez les très grosses boites les secrets de production ne sont pas transmis aux équipes de dev. Seule l'exploitation / dev ops y ont accès.

Chez Twitter c'est impossible. Par contre j'te garantis que chez des boîtes dont le métier de base n'est pas l'informatique il y a des aberrations en terme de sécurité. J'ai même eu l'occasion de bosser pour une mutuelle qui pèse plusieurs milliards dont l'API métier était une passoire. Tu pouvais librement accéder, depuis internet, même pas besoin de t'authentifier auprès du serveur, encore moins d'être connecté via l'intranet, aux endpoints. Et t'avais accès à toutes les infos sur les clients, les contrats, les documents scannés par l'éditique... Un scandale.

Non mais même dans les grosses boîtes croyez pas
La mienne si les gens savaient a quel point on était une passoire alors qu'on est censé être des cracks on aurait plus de clients

nom de ta boite ?

Le 16 juillet 2020 à 01:11:31 SpyOunet a écrit :

Le 16 juillet 2020 à 01:10:04 ShitWorld a écrit :
Résumé ?

86 pages, c'est un peu trop

En gros c'est une faille dans HTML++ JVS avant le détour pare-feu plugin GRPX après un straf et rocket jump vers le mid-air du langage scripté JHDP

je veux bien que tu simplifies la chose mais de la a sauter plusieurs étapes c'est un peu inutile, je sais pas s'il va bien comprendre.

Le 16 juillet 2020 à 01:08:27 Echapanus a écrit :

Le 16 juillet 2020 à 01:05:05 Irelia_v3 a écrit :

Le 16 juillet 2020 à 01:02:49 clemphy a écrit :

Le 16 juillet 2020 à 00:56:12 kanyeGod a écrit :

Le 16 juillet 2020 à 00:49:45 clemphy a écrit :

Le 16 juillet 2020 à 00:48:25 kanyeGod a écrit :

Le 16 juillet 2020 à 00:43:43 25468756 a écrit :
Je comprends rien, j'ai de vagues notion en cyber sécurité mais c'est tout. Les tokens c'est pas les trucs censé être généré toute les 15mn ? Comment il peut y avoir une faille sur ça ?

Ton token de session c'est justement ce qui te définies sur un site, ça comporte tom pseudo et mdp et en clair (c'est pas crypté)
si t'as la clé de quelqu'un tu peux l'utuliser pour détourner sa session et poster à sa place (tu peux le refresh avec un refresh token)

N'importe quoi... Justement, le token ne contient aucun mdp, c'est une clé spécifique + des datas qui permet de t'authentifier durant la durée de vie du token que tu peux régénérer pour éviter une authentification complète à refaire. Le token est chiffré à chaque échange avec le serveur si le protocole HTTPS est utilisé, ce qui est toujours le cas sur des sites sérieux...

Ayaaa, les JWT sont décryptable hein, donc tes infos sont bel et bien en clair. Il ne permet pas de t'authentifier il te donne l'autorization du site à performer des actions (authorization bearer) et justement c'est pour ça qu'il contient ton mdp (pour pas le passer de page en page)
Par contre y'a pas seulement tes infos, c'est une clé unique et validée coté serveur.

T'y connais rien, arrête de forcer.
Comme je l'ai écrit, les infos sont chiffrées sur les requêtes si le protocole HTTPS est utilisé. Localement tu peux y accéder, évidemment. Encore que les données sont encodées en base64, alors il faudra déjà traduire ça.

De plus, si il faut "décrypter" comme tu dis, alors les infos ne sont pas en clair.
Et il n'y aucun mot de passe dans un token. Je te parle de token Oauth au sens large, tu parles de JWT parce que c'est le standard, mais même ce type de token ne contient aucun mot de passe. T'as qu'à vérifier la documentation :
https://auth0.com/docs/tokens/references/jwt-structure

Header: contains metadata about the type of token and the cryptographic algorithms used to secure its contents.
Payload (set of claims): contains verifiable security statements, such as the identity of the user and the permissions they are allowed.
Signature: used to validate that the token is trustworthy and has not been tampered with. You must verify this signature before storing and using a JWT.

Bref, ferme-la.

Https
Mais putain stop ça fait des années que je https be fais plus peur aux hackeurs, nomprote quel débile leur générer un certificat ssl et il y a des méthodes pour les casser

Les token oauth 2 je confirme ils ne contiennent pas de MDP
Le token est juste crée a partir de l'uid et du secret

tu racontes de la merde toi et lui
vous êtes des clowns
Sérieusement vous avez obtenu votre diplôme info dans une pochette surprise ?
Le https en base 32 tu peux l'overcloack en local avec rubis ça fait qu'en séparant la requête sur une liste dans un dd où tu override toutes les requetes entrantes nouvelles pour saturer le serveur quand il est en ligne, tu peux accèder mais seulement si les token sont fire ready

C'est totalement glucose

Le 16 juillet 2020 à 01:12:08 3Virgule141592 a écrit :

Le 16 juillet 2020 à 01:11:24 KOL32 a écrit :
Le frameloop bordel, on leur dit depuis le début que leur frameloop va finir en event.horizon si le PAZ88 surpasse le PNL32....

C'est clairement à cause du moteur V8 js de google et de la gestion de l'event-loop

le v8 n' est plus un JS depuis longtemps, aujourd' hui tout le monde est en LS small block pour consommer moins d' énergie, vu la taille des data center ça compte énormément.