Read on Twitter
Bon après un café ce matin je me penche de près sur l'application de vote @avosvotes pour une consultation publique. Plus d'info ici : https://fr.cryptonews.com/news/verneuil-sur-seine-organise-la-premiere-consultation-citoyen-7899.htm
Essayons donc de nous rendre sur le site.
http://verneuil.avosvotes.com
Pour s'inscrire, il nous faut nom, prénom et email. Et un mot de passe. Bon déjà on comprend que la blockchain ne sera pas utilisé pour l'identité. Vérification de l'email à l'inscription
http://verneuil.avosvotes.com
Pour s'inscrire, il nous faut nom, prénom et email. Et un mot de passe. Bon déjà on comprend que la blockchain ne sera pas utilisé pour l'identité. Vérification de l'email à l'inscription
Bon après pour se logger, l'application envoie en clair le mot de passe. On espère que le serveur ne mémorise pas les mots de passes en clair dans sa base de donnée !?
Gentil le serveur nous revois quand même le hash du mot de passe, parce que on n'était pas assez grand pour le calculer... bon ca rassure un peu, ils ont la capacité de stocker seulement le mot de passe hashé/salé sur le serveur...
D'ailleurs le hash $2a$10 nous indique qu'il s'agit de l'algo bcrypt avec les paramètres par défaut, mais ce n'est pas la dernière version de la librarie (préfixe $2b, voir ici https://github.com/kelektiv/node.bcrypt.js)
on regarde d'un peu plus près, on est bloqué par un popup qui nous force à faire un KYC, ou bien de se déconnecter.
On va donc contourner tout cela, en supprimant le popup, évidemment !
On va donc contourner tout cela, en supprimant le popup, évidemment !
Rien de plus simple: click droit, inspection de la page et on clique 'supprimer l'élément'
nous voici donc dans l'interface après avoir détourner KYC.
Attention cela ne veut pas dire que nous allons pouvoir voter, mais nous pouvons aller plus loin pour examiner l'interface
Attention cela ne veut pas dire que nous allons pouvoir voter, mais nous pouvons aller plus loin pour examiner l'interface
Nous avons donc la possibilité de consulter le vote en cours et les paramètres de comptes.
Déjà regardons les appels API. Tiens, tiens, un truc intéressant, nous avons le nombre de vote en temps réels !
Déjà regardons les appels API. Tiens, tiens, un truc intéressant, nous avons le nombre de vote en temps réels !
rhoo, en plus l'API n'est pas protégée, donc tout le monde peut suivre celà. Bon on peut dire que c'est de la transparence :) mais en général, ce genre d'info est confidentiel avant la fin du vote.
https://apinode.avosvotes.com/consultationAccueil/2
https://apinode.avosvotes.com/consultationAccueil/2
