Blog AirProx & Co

L'accès AirProx/PNTAF.com sera progressivement fermé depuis les sites AF à partir de demain.

Si vous arrivez à vous connecter depuis AF, ou si à l'inverse vous n'y arrivez plus, envoyez moi un email avec l'adresse IP concernée. Pour trouver votre adresse IP, vous pouvez par exemple aller sur le site de la CNIL

MAJ du 03 Fév. 2004Le bug d'Internet Explorer est enfin corrigé, si l'exploit fonctionne appliquez la mise à jour!

Ce billet concerne les utilisateurs d'Internet Explorer 6 (vous savez le logiciel recommandé/obligé pour aller consulter son planning CREW), un advisory de sécurité vient d'être lancé.

CrewTala reconnu par Air France ? c'est ce que pourrait faire croire les liens qui suivent. J'espère qu'Air France ne me tiendra pas rigueur de cette parodie. (il est explicitement demandé dans la page qu'elle ne soit pas mémorisée par les moteurs de recherche)

Lien classique : Tester Exploit

ou alors un bouton: Tester Exploit

Pas compris ce qui se passe ? Regardez la barre de status (en bas du navigateur) au moment du clic et la barre d'adresse (en haut du navigateur) après le clic: on a vraiment le sentiment d'être sur www.airfrance.fr... pourtant vous avez été redirigé sur un 'fake' que j'ai mis sur crewtala.com.

Conclusion: attention au moment du paiement en ligne et plus généralement méfiez des liens de site inconnu vers des sites nécessitant un mot de passe comme CREW ou AirProx.

L'alerte de sécurité est lisible en cliquant ici

Le nom de l'archive crewtala.zip était mal choisi car certains désarchiveurs extrayaient les fichiers dans un répertoire crewtala, du coup l'arborescence ressemblait à crewtala/crewtala/fichiers et il y avait confusion pour placer le dossier crewtala à la racine du serveur...

J'ai donc modifié le nom de l'archive qui s'appelle dorénavant crewtala-php.zip, ce qui fait que l'arborescence ressemblera plutôt à crewtala-php/crewtala et le doute est levé.

Pour les installateurs de la première heure, téléchargez à nouveau si vous avez un doute sur la manip à réaliser.

sur PC , le répertoire racine du serveur EasyPhp est par défaut:
Program Files\EasyPhp1-7\www
Curieusement 2 cas d'ordinateurs ne reconnaissant pas localhost m'ont été signalés, dans ce cas, utilisez à la place de localhost le nom de l'ordinateur. Le nom de l'ordinateur est indiqué en affichant sous XP le Poste de Travail puis sur la gauche "Afficher les informations systèmes", puis dans l'onglet "Nom de l'ordinateur".

sur Mac OSX, il peut y avoir un problème d'autorisation sur les fichiers. Dans ce cas, tapez la commande suivante depuis le Terminal:
cd /Library/WebServer/Documents;chmod -R 777 crewtala

Accès serveur XML-RPC, si vous ne pouvez pas faire de login avec votre matricule sur AirProx vous n'aurez pas accès au serveur CrewTala, envoyez moi votre matricule par email ou votre pntafid que vous pouvez calculer ici.

Compatible PNC depuis le 12 Décembre 14h Le serveur xml-rpc a été mis à jour pour tromper la CrewClass qui dans sa version 1.49 ne fonctionne que pour les PNT.

ou comment accepter le matricule comme moyen de login sans pour autant le stocker en base de données ?

La solution retenue, appellée sosueme consiste en une transformation mathématique irréversible:
soit so = partie utile du matricule, alors le pntafid= MD5(so)
exemple: MD5(123456)=e10adc3949ba59abbe56e057f20f883e

La transformation MD5 est irréversible mais en testant le million de possibilités du matricule, il est possible par "brute force" de savoir à quel matricule correspond un pntafid d'où la deuxième étape:

Et en base de données on stocke un sosueme = MD5(MD5(so) + clé). là par contre, tant que la clé reste secrète, les possibilités sont infinies et pourtant les utilisateurs ont la possibilité d'utiliser leur sosueme ou leur matricule comme login.

PS: pour connaître l'origine du So sue me : lire cet article du Nouvel Obs

Voilà, c'est fait, il est en ligne sur AirProx et des captures d'écran sont disponibles sur crewtala.com . J'y ai passé pas mal de temps car j'ai refais toute la partie barre de progression, j'ai également du revoir l'analyse des activités sol vu qu'AF utilise CSS à présent. (d'ailleurs AF vous les utilisez mal ! mais bon j'ai fait les mêmes erreurs sur AirProx v2...).

Le plus gros travail fût lié au protocole d'échange crewtala.com <-> crewtala, je ne détaillerai mais ceux qui comprennent verront que le source n'enfreint pas un quelconque copyright AF.

Au niveau sécurité je ne suis pas passé en https vu que CREW n'y ait toujours pas passé.

Dernier point CrewTala peut être mis en ligne sur n'importe quel serveur acceptant php (Free, ovh, ....). Si vous mettez CrewTala en ligne, vous pouvez l'indiquer sur le wiki du pnt af. Votre matricule et le mot de passe AirProx/pntaf.com sont nécessaires.

Ben j'ai commencé aujourd'hui alors forcément... Le point:

- Mise en place serveur XML-RPC pour récupérer le code ->fait
- Correction CrewClass pour fonctionnement sans la librairie curl -> fait
- Amélioration de la barre de progression -> en cours (ne fonctionnera toujours pas sur MacOSX sans Mozilla)
- Adaptation AirProx pour recevoir le planning issu de CrewTala -> fait
- Interface graphique -> à faire

Bref encore un peu de patience...