Math
Recherche de Documents : Math. Rechercher de 53 000+ Dissertation Gratuites et Mémoiresseule fois par jour…. => cookie! Cette technique est plutôt déconseillée car si l’utilisateur modifie ou supprime le petit gâteau, il pourra revoter.Là où ça peut devenir problématique, c’est si vous utilisez un ordinateur public (cyber café, université, …) et que vous ne supprimez pas vos cookies : tout le monde ayant accès au PC aura accès à vos informations!
Le cookie « user » de MegauploadMegaupload lors de votre connexion enregistre plusieurs cookies sur votre ordinateur. Celui qui nous intéresse est le petit dénommé « user ».Il contient les informations suivantes :Nom : userContenu : « hash de votre compte »Domaine : .megaupload.comChemin : /Envoyer vers : Tout type de connexionExpire : « –/–/—- –:–:– »En gros le cookie user envoie votre hash à chaque fois que vous allez sur Megaupload jusqu’à ce que la date d’expiration soit dépassée.
Mais c’est quoi un hash?
Depuis le début de cet exposé, je vous parle de hash. Mais crindieu que c’est quoi que ce truc ?!Le hash (que l’on peut traduire par signature en français) est le résultat d’une fonction mathématique (théoriquement) irréversible. C’est à dire que vous prenez un mot (exemple : sicw), vous le faites passer dans la fonction de hashage et il en ressort le hash : 0ed58a45b36cc8d9.Attention! Si je change un tout petit truc, le hash va être totalement différent : Sicw->fonction->a825f478e3f6a4b.Et par irréversible on entend qu’à partir du hash, il est impossible de retrouver le mot de départ.Il existe divers fonction de hashage (Whirlpool, SHA-x, MD-x (obsolète)). Jusque là c’est le MD5 qui était préféré, mais est à bannir car il est réversible (faites le test avec le logiciel MD5 Crackfast par exemple).
Utilisation du hash
Le hash ne sert pas que pour des mots ou des phrases. Vous pouvez effectuer un hash de tout ce que vous voulez sur votre ordinateur. Ainsi la signature numérique est le principe de base du fonctionnement de nombre de vos logiciels :- Antivirus (il compare la signature d’un fichier suspect avec la signature de virus connus)- Anti-spam (certains spam fonctionnent par image, pour échapper au filtrage sémantique. L’A-S compare alors la signature des images)- E-mule- Megaupload (afin de ne pas surcharger ses disques durs, si vous voulez uploader un fichier sur Megaupload, il va faire un hash de votre fichier et le comparer au hash de tous les fichiers déjà présent chez lui)
Ce qui nous intéresse nous est une autre fonction du hash : le contrôle d’accès. En effet pour des raisons de sécurité, il est fortement déconseillé de stocker sur un ordinateur les mots de passes « en clair » (tel quel). Donc sur votre ordinateur, seules des signatures de vos passwords sont stockées. Et pour encore plus de sécurité, ce n’est pas votre mot de passe tout seul qui est signé, mais votre mot de passe + une clé aléatoire. On appelle cela le H-MAC.
Que contient le hash Megaupload?
Là c’est un mystère. On peut supposer que les ingénieurs de MU ne sont pas trop bêtes et utilisent du H-MAC (info + clé aléatoire). Donc déjà vous ne connaitrez jamais la clé. Ensuite dans les infos on peut supposer qu’il y a :- le nom du compte- le mot de passe- le statut (membre ou premium)- la date d’expiration du compte
Récupération et modification du cookie membreSur Firefox allez dans Outils>Editeur de cookies :[img]http://4.bp.blogspot.com/_M2_znaKibg8/Spo_jPk_gZI/AAAAAAAABLw/zsA-QKuSw94/s400/firefox-outils-editeurcookie.png[/img]La fenêtre AnEC Cookie Editor s’ouvre. Dans le champ de recherche, tapez « megaupload » puis cliquez sur « Filtre / Rechargement ». N’apparaissent alors que les cookies enregistrés par Megaupload. Il peut y en avoir un nombre variable, mais celui qui nous intéresse est le fameux « user ». :[img]http://3.bp.blogspot.com/_M2_znaKibg8/SppBf81rxxI/AAAAAAAABMA/8oqaMElvWOY/s400/firefox-outils-editeurcookie-filtre-megaupload-user.png[/img]Si vous cliquez sur « user », vous voyez apparaitre le détail du cookie. Nous c’est le champs « Contenu » que nous allons modifier. Pour cela, il faut cliquer sur « Editer » :[img]http://1.bp.blogspot.com/_M2_znaKibg8/SppCf-GlJgI/AAAAAAAABMI/A0DA2L71XDA/s400/firefox-outils-editeurcookie-editer-membre.png[/img]..et remplacer le contenu actuel par le hash premium :[img]http://1.bp.blogspot.com/_M2_znaKibg8/SppElr16XwI/AAAAAAAABMY/gnqAgO-xaws/s400/firefox-outils-editeurcookie-editer-membre-to-premium.png[/img]On clique sur « Sauvegarder…et fin de chantier!Test de téléchargement avec le compte membre modifiéDernière étape : on reclique sur le lien de test que nous avons testé tout à l’heure.Pas de page intermédiaire, pas de captcha à rentrer, votre compe gratuit à le comportement d’un compte premium! Cela signifie que vous pouvez télécharger plusieurs fichiers en simultané, télécharger des fichiers de tailles supérieures à 1 Go, ….tous les avantages du premium, mais gratuitement!
Limites de cette techniqueContrairement aux autres petites astuces qui touchaient pour la plupart des failles de programmation inhérentes au site, il serait fort peu probable que Megaupload revoit son système de hash, et cela pour les raisons suivantes :
1/ Avoir un hash premiumEt oui, l’ingrédient principal de cette recette magique est
...