ghunt/sh

// extension companion

GHunt Companion, expliquée

GHunt Companion est une extension Chrome et Firefox. Son seul rôle est de capturer une session Google et de transmettre les tokens à l'outil en ligne de commande GHunt pour que le CLI puisse s'authentifier. C'est un contournement du fait que le CLI ne peut pas se connecter à Google tout seul. Si vous utilisez ghunt.sh dans votre navigateur, vous n'en avez pas besoin.

Ce que fait l'extension Companion, concrètement

Quand vous installez le CLI GHunt, l'outil lui-même n'a aucun moyen de se connecter à un compte Google. Le flux de connexion Google est conçu pour tourner dans un vrai navigateur, pas dans un script Python. Pour contourner ça, l'extension Companion a été créée. Vous l'installez dans Chrome ou Firefox, vous vous connectez à Google dans ce navigateur, et l'extension exporte un payload base64 contenant les cookies et tokens dont le CLI a besoin. Vous collez ensuite ce payload dans la commande de login du CLI et le CLI se comporte alors comme s'il était l'utilisateur connecté.

C'est un contournement astucieux. C'est aussi fragile par conception, parce que ça dépend d'une cible mouvante : le format de session de Google.

Pourquoi les gens restent bloqués dessus

  • C'est une installation de plus. Vous avez déjà installé Python, le CLI GHunt, monté un virtualenv. Maintenant il faut aussi ajouter une extension à votre navigateur et comprendre où va le payload.
  • Ça casse aux mises à jour de Google. Chaque fois que Google change la façon dont il stocke les cookies de session, la Companion doit être patchée. Il y a de longues périodes où l'extension produit un payload mais où le CLI le rejette.
  • Pas toujours dans les stores officiels. Les validations sur les stores d'extensions peuvent prendre du retard. Des versions apparaissent, sont retirées, sont réuploadées sous des noms légèrement différents. Les gens finissent par sideloader l'extension, ce qui les rend, à raison, nerveux.
  • Le token expire. Même quand tout fonctionne, la session capturée ne dure pas éternellement. Vous réexportez le payload, vous vous reconnectez via le CLI, et vous espérez que ça tienne.
  • Les politiques de navigateur ripostent. Les profils Chrome ou Firefox gérés en entreprise refusent souvent d'installer des extensions hors d'une allowlist, ce qui bloque entièrement la Companion sur les machines de travail.

La Companion est le point de friction où beaucoup d'utilisateurs potentiels de GHunt abandonnent.

Avez-vous besoin de la Companion pour utiliser ghunt.sh ?

Non. ghunt.sh gère l'authentification en interne. Vous n'installez pas d'extension, vous ne capturez pas de tokens, vous ne collez pas de payload base64 nulle part. Du point de vue du visiteur, la seule chose qui existe est une barre de recherche et un rapport. C'est exactement le point de faire tourner GHunt comme un service web hébergé : les parties fragiles restent de notre côté, vous récupérez la sortie.

Quand vous avez vraiment besoin de la Companion

Vous avez besoin de la Companion si tous ces points sont vrais en même temps :

  • Vous avez installé le CLI GHunt sur votre propre machine.
  • Vous voulez que les recherches viennent de la session de votre propre compte Google.
  • Vous n'avez pas encore capturé un token de session valide par d'autres moyens.

En dehors de ce scénario, la Companion n'ajoute rien à votre flux. C'est de la plomberie exclusive au CLI.

Si vous lisez ceci parce que la Companion est cassée chez vous

Vous avez deux options. Vous pouvez attendre le prochain correctif de la Companion, refaire la danse d'installation, capturer un nouveau payload, et espérer que ça tienne. Ou vous pouvez coller l'email que vous vouliez enquêter dans ghunt.sh et obtenir le rapport en quelques secondes. La deuxième option, c'est précisément pour ça qu'on a fait ghunt.sh.

Pour aller plus loin