Wenvjgol

Le cookie wenvjgol (logjvnew à l'envers) était un cookie de Jeuxvideo.com qui permettait d'enregistrer les informations de connexion d'un membre afin qu'il puisse se connecter sur chaque page de jeuxvideo.com.

Structure[modifier | modifier le wikicode]

Ils est sous la forme :

764616$058FluxBB$124f2ff78b712e2c53fd7b17c2cbfbf4552

Ce qui donne, après décodage :

764616:FluxBB|f2ff78b712e2c53fd7b17c2cbfbf4552

Où :

• 764616 est l'identifiant de l'utilisateur dans la base de données.
• FluxBB est le pseudo.
• f2ff78b712e2c53fd7b17c2cbfbf4552 est un hash généré à partir de l'identifiant et du mot de passe.

Historique[modifier | modifier le wikicode]

Le cookie s'appelait à l'origine logjeuxvideocom, il ressemblait à ceci :

login:MasTerShadow|815775125|

Où :

• login est invariable.
• MasTerShadow est le pseudo.
• 815775125 est un identifiant unique de 9 chiffres lié au pseudo.

À l'origine de problèmes de sécurité, il fût le 14 mars 2006 renommé en mocoedivxuejgol (la même chose à l'envers), le nombre à la fin étant alors remplacé par un hash, qui ne dépendait plus seulement du pseudo mais aussi du mot de passe. Le wenvjgol actuel lui succéda en 2010.

Faille technique[modifier | modifier le wikicode]

Il était possible d'accéder au compte de quiconque sur certains endpoints, via la création de cookies à la main. Nécessairement, il fallait créer un cookie de ce type :

764616$058FluxBB$124

On peut constater qu'au début, il y a l'ID du compte, ensuite, son pseudo, puis par la suite, un nombre qui était hardcodé dans les sources de l'ancien Jeuxvideo.com. Grâce à la génération de ce type de cookies, il était possible de :

• modifier l'avatar de quiconque (une validation par un admin restait nécessaire)
• modérer un forum de façon plus ou moins anonyme (entre autre sur ForumJV où les boutons de suppression, gestion d'épingles/kicks étaient présents)
• création de tokens anti-CSRF valides pour le compte concerné

Cette faille sera patchée sur ForumJV suite à une exploitation par edwado, mais la faille ne sera pas patchée sur Jeuxvideo.com pour des raisons inconnues.

Sources historiques[modifier | modifier le wikicode]

• http://www.jeuxvideo.com/forums/1-71-13-92-0-1-0-0.htm#message_14835
• http://stelfer.free.fr/forums/1-103-8752888-1-0-1-0-0.htm#message_8756528
• http://www.jeuxvideo.com/forums/1-10085-2558-55-0-1-0-0.htm#message_12389
• http://www.jeuxvideo.com/forums/1-50-5094709-2-0-1-0-0.htm#message_5095186

Références[modifier le wikicode]

Fonctionnement technique de Jeuxvideo.com

A.jeuxvideo.com • Badges de JVC • Bugs actuels • Citation • Coniunctio • Documentation de l'API Jeuxvideo.com • Erreur 404 • Erreur 410 • Erreur 429 • Erreur 500 • Fonctionnement technique de Jeuxvideo.com • GLaDOS • Karma • Liaison des comptes JVC • Liste des mots censurés • Niveaux • PEMTHack • Suppression • Tehlogin • Webedia • Wenvjgol

★ Meilleurs articles — Fonctionnement technique de Jeuxvideo.com • Niveaux

× Articles manquants ou incomplets — GLaDOS • Liaison des comptes JVC

 Page au hasard dans cette catégorie | Liste de tous les articles manquants | Liste de tous les articles incomplets | Toutes les catégories | Accès Modèle