"bon, finalement, passez-moi le service résiliation plutôt..."

—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT Turbo Zeph Le 04/02/2015 à 16:40 Difficile, c'est la mutuelle de ma boite. Mais c'est toujours bon à avoir ce genre d'info, histoire de ne pas mettre le même mot de passe que sur un autre site.
Tiens d'ailleurs on devrait faire une liste noire/blanche des sites connus pour stocker les mots de passe en clair ou hashés ^^

All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez
par ici :)
Zeph Le 04/02/2015 à 17:05 Bof, la moitié du web a déjà accès à cette info via google analytics ou les 454645 solutions équivalentes, c'est pas un de plus qui va me tuer ^^

All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez
par ici :)
Zeph Le 04/02/2015 à 17:18 Bon je viens de regarder comment était faite l'extension ; elle télécharge toute la BDD de plaintextoffenders via l'API et fait des requêtes depuis son cache local uniquement, donc sois rassuré Godzil ^^

All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez
par ici :)
Zeph Le 04/02/2015 à 17:38 Oui, en fait ce site semble répertorier les sites qui envoient des mots de passe par mail (y compris la première fois) plutôt que ceux qui stockent des mots de passe en clair.
Si c'est ça, c'est totalement idiot.

All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez
par ici :)
ben oui c'est ça. comment ils pourraient connaitre le mode de stockage des mots de passe autrement que par l'envoi en clair dans un email?
Il y a des sites dont la fonction "j'ai oublié mon mot de passe" te renvoie ton mot de passe d'origine au lieu d'en générer un nouveau, pour le coup on est sûr qu'ils ne le hashent pas.
C'est certes pessimiste de considérer que tout envoi de mot de passe dans un mail, même la première fois, veut dire que le site ne hashe pas le mot de passe. Mais d'un autre côté, envoyer le mot de passe par mail reste une mauvaise pratique : si l'utilisateur ne prend pas la précaution d'effacer le mail, n'importe qui arrive à avoir accès à la boîte mail a accès au mot de passe. Idem si l'utilisateur lit ses mails via du POP/IMAP non séurisé sur un réseau public.

—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT Turboet un mail peux laisser des traces... cote exepediteur comme cote destinataire..

Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Zeph Le 04/02/2015 à 18:11 Bah oui mais il y a deux solutions quand tu crées un compte sur un site web :
- Soit tu saisis ton mot de passe à l'inscription, et le site n'a jamais besoin de le transférer en clair
- Soit le site génère ton mot de passe à l'inscription et te l'envoie, puis tu le changes à ta première connexion
Par exemple yAronet utilise la seconde solution, principalement pour valider l'adresse e-mail, et je ne vois pas trop en quoi c'est un problème de sécurité à partir du moment où on change bien le mot de passe à la première connexion. Rien à voir pour moi avec les sites qui stockent des mots de passe en clair.

All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez
par ici :)
L'email envoye peux n'etre qu'un simple token pour valider l'addresse et qui n'est valide qu'une fois.
J'ai deja vu des site t'envoyer le mot de passe que tu as tape a l'inscription pour te confirmer l'inscription, apres est-ce qu'il est stoque en clair ou non aucune idee.
Perso la seconde solution je ne l'ai utilse que pour un site ou il fallait inscrire des gens en masses, et le mot de passe etait a changer a la premiere connection en effet. Sinon je prefere largement la solution lien+token par email pour valider l'addresse email

Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Zeph Le 04/02/2015 à 18:37 Et sinon pour continuer le parallèle avec HTTPS, je trouve qu'envoyer un mot de passe initial (ou un token) par mail mais ne jamais le stocker, c'est un peu comme les sites HTTPS qui n'ont pas de certificat signé par une autorité de confiance. Bien sûr que ça n'est pas idéal, mais en pratique je sais qu'il y a de grandes chances pour que ce soit quand même bien plus sûr qu'un site qui n'a pas de HTTPS du tout.

All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez
par ici :)
La palme revient sans doute à Mailman, qui par défaut envoie un rappel du mot de passe par mail chaque mois! (Ça implique aussi qu'il est stocké en clair.)