jeudi 1 janvier 2009

Puisqu'on parle de SSL ...

Un beau SSTIC-fail avec Google Chrome ...


Au moins avec une interface pareille, la légendaire Mme Michu devrait comprendre qu'il y a un problème de sécurité sur ce site.

Mais l'epic fail restait à venir - car après avoir passé outre cet avertissement et saisi toutes les informations utiles à ma soumission dans l'interface Web, ma session avait expiré et le POST final a été rejeté.

Aurez-vous la tristesse de ne pas me voir officier sur l'estrade du SSTIC cette année encore ? Non car heureusement en dumpant immédiatement le processus CHROME.EXE (avec memdump), j'ai pu récupérer le contenu de ma soumission dans un buffer.

Voici donc une année 2009 qui commence bien. Bonne année à tous !

PS. Ne vous enflammez pas, le JSESSIONID ci-dessus a expiré :)

3 commentaires:

Anonyme a dit…

Très bizarre car tu es forçément en SSL lorsque tu t'identifies, donc je veux bien que tu perdes tes credentials, mais pas ta soumission.

newsoft a dit…

@Nico: les 2 fail n'ont rien à voir, ils se sont produits à 1h d'intervalle.

Le problème c'est que - contrairement à Blogger (et d'autres sites 2.0 :) - il n'y a pas de sauvegarde automatique. Donc si tu n'as aucune activité sur le site pendant un temps donné (par exemple si tu écris ta bio), ta session a largement le temps d'expirer ...

Anonyme a dit…

Aie c'est con que c'est du SSL, car quand j'ai ce genre de problème je lance Wireshark et je fais un "repost" pour récupérer ma soumission... mais forcément ca marche pas en SSL.