Selon La Poste, si la fenêtre du navigateur est trop petite, alors il s'agit forcément d'un appareil mobile... *facepalm*

Chers développeurs, ne connaissez-vous donc pas les user agent et consorts ?

J'ai tenté de débusquer et comprendre le code JS fautif, mais je jette l'éponge : c'est indigeste, même en dé-minifiant 🤢

Tout ce que je peux dire, c'est que ça se trouve dans ce fichier : https://www.post.ch/api/headerjs?serviceid=ttb

Mon Dieu... Je regardais le code source de la page de login d'un site (dont l'absence de design en disait long) et je suis tombé sur une perle...

Déjà, je trouvais bizarre qu'il y ait une réimplémentation de MD5 en JS (seul code présent, d'ailleurs). Enfin soit, pourquoi pas, ça peut se justifier !

Je présentais un truc horrible et, malheureusement, mes craintes se sont trouvées fondées lorsque je suis tombé sur cette ligne (un peu modifiée pour des raisons de confidentialité et pour mieux y voir) :

<input name="login" type="submit" value="ENTRER" onClick="password.value = md5(md5(password.value) + 35755);">

Oui, regardez bien le code JS implémenté dans l'événement onClick : password.value = md5(md5(password.value) + 35755);

Visiblement, quelqu'un s'est renseigné sur comment sécuriser ses mots de passe, mais sans rien y comprendre au final oO

Ici, il fait un double hash MD5 du mot de passe (avec un sel)... c'est bien... mais du côté client !

Au final, ce hash sera envoyé au serveur et comparé tel quel avec celui stocké en BDD. Il est où l'intérêt ? Autant envoyer le mot de passe directement et le stocker en clair dans la BDD !

Évidemment, la connexion n'est pas sécurisée...

Rajouter WoT dans vos pages, c'est HYPER-SIMPLE : ajouter la ligne suivante n'importe où dans votre page et chaque lien sera vérifié par WoT avec le symbole à côté !

<script type="text/javascript" src="http://api.mywot.com/widgets/ratings.js"></script>;  

Si vous souhaitez exclure les liens internes de votre site, pour ne vérifier que les URL externes, ajoutez ceci :

<script type="text/javascript"
var wot_rating_options = {
exclude: /^(.+\.)*votresite\.com$/i
};
</script>

Et il y a plein d'autres moyens de personnaliser !

Pas d'API lourdingue ou de trucs compliqués à faire, bravo WoT ;)

On peut voir un exemple fonctionnel ici : http://googlof.com

Bon à connaître !