Sécurité web - Page 3

Un autre vieux DailyWTF (2006 toujours)
<html> <head> <link href="dynsitebase/styles.php" rel="stylesheet" type="text/css" /> <script src="dynsitebase/base.php" language="JavaScript"></script> <script src="dynsitebase/themes.php" language="JavaScript"></script> <script src="dynsitebase/sitedata.php" language="JavaScript"></script> <script src="dynsitebase/pagelayout.php" language="JavaScript"></script> <script language="JavaScript"> document.write("<title>" + CurrentPage.Title + "</title>"); </script> </head> <body> <script language="JavaScript"> DataInterface.initialize(); DataInterface.bindToPage(CurrentPage); ImageLoader.preload(CurrentPage); LinkLoader.bindToContext(CurrentPage); PagePrinter.printHeader(CurrentPage); PagePrinter.printNavigation(CurrentPage); PagePrinter.printTitle(CurrentPage); PagePrinter.printSubTitle(CurrentPage); PagePrinter.printMainContent(CurrentPage); PagePrinter.printFooter(CurrentPage); DataInterface.close(); ImageLoader.close(); LinkLoader.close(); PagePrinter.close(); </script> </body> </html>



Source, parce que l'extrait montrant la génération du JS par PHP est classe aussi.
Et cela pour un site au contenu statique.

À l'instant avec la hotline téléphonique de ma mutuelle, pke je n'arrivais pas à me connecter à leur site :

- Moi : bonjour, je viens de générer des identifiants et de recevoir un e-mail, mais ils ne sont pas reconnus par le site
- Employée : pouvez-vous me donner les deux premiers caractères de votre mot de passe svp ?
- Moi : ah parce que vous pouvez l'afficher chez vous là ?- Employée : oui mais ne vous inquiétez pas, on ne le communique pas !

Aie confiansssss !

"bon, finalement, passez-moi le service résiliation plutôt..."

Difficile, c'est la mutuelle de ma boite. Mais c'est toujours bon à avoir ce genre d'info, histoire de ne pas mettre le même mot de passe que sur un autre site.

Tiens d'ailleurs on devrait faire une liste noire/blanche des sites connus pour stocker les mots de passe en clair ou hashés ^^

Pour la liste noire, il y a ce site :
http://plaintextoffenders.com/

Ah oui on en avait parlé mais j'avais perdu le lien. Je vais tester leur extension firefox, merci

Question securite je suis pas tres fan perso d'une extension qui donne a un site tier les site que je visite

Bof, la moitié du web a déjà accès à cette info via google analytics ou les 454645 solutions équivalentes, c'est pas un de plus qui va me tuer ^^

pas mercer quand même?

Bon je viens de regarder comment était faite l'extension ; elle télécharge toute la BDD de plaintextoffenders via l'API et fait des requêtes depuis son cache local uniquement, donc sois rassuré Godzil ^^

Il y a du bon et du mauvais sur ce site quand même :
http://plaintextoffenders.com/post/109975336585/ovh-com-web-hosting-number-one-host-of-spam-in
Il s'agit d'un rappel des infos de connexion du VPS une fois qu'il a été correctement configuré, tant que OVH l'a encore en mémoire. C'est autre chose qu'un "rappel de mot de passe", je ne suis même pas certain qu'on puisse obtenir un reset du pass admin dans ces conditions sans faire un reset du système.
Il n'est pas rare que des sites envoient un email donnant les infos de connexion après inscription (c'est fréquent dans ma boîte), c'est la dernière trace qu'il en reste sur le site avant que le seul password enregistré soit l'empreinte hashée.

Oui, en fait ce site semble répertorier les sites qui envoient des mots de passe par mail (y compris la première fois) plutôt que ceux qui stockent des mots de passe en clair.

Si c'est ça, c'est totalement idiot.

ben oui c'est ça. comment ils pourraient connaitre le mode de stockage des mots de passe autrement que par l'envoi en clair dans un email?

Il y a des sites dont la fonction "j'ai oublié mon mot de passe" te renvoie ton mot de passe d'origine au lieu d'en générer un nouveau, pour le coup on est sûr qu'ils ne le hashent pas.

C'est certes pessimiste de considérer que tout envoi de mot de passe dans un mail, même la première fois, veut dire que le site ne hashe pas le mot de passe. Mais d'un autre côté, envoyer le mot de passe par mail reste une mauvaise pratique : si l'utilisateur ne prend pas la précaution d'effacer le mail, n'importe qui arrive à avoir accès à la boîte mail a accès au mot de passe. Idem si l'utilisateur lit ses mails via du POP/IMAP non séurisé sur un réseau public.

et un mail peux laisser des traces... cote exepediteur comme cote destinataire..

Bah oui mais il y a deux solutions quand tu crées un compte sur un site web :

- Soit tu saisis ton mot de passe à l'inscription, et le site n'a jamais besoin de le transférer en clair
- Soit le site génère ton mot de passe à l'inscription et te l'envoie, puis tu le changes à ta première connexion

Par exemple yAronet utilise la seconde solution, principalement pour valider l'adresse e-mail, et je ne vois pas trop en quoi c'est un problème de sécurité à partir du moment où on change bien le mot de passe à la première connexion. Rien à voir pour moi avec les sites qui stockent des mots de passe en clair.

L'email envoye peux n'etre qu'un simple token pour valider l'addresse et qui n'est valide qu'une fois.

J'ai deja vu des site t'envoyer le mot de passe que tu as tape a l'inscription pour te confirmer l'inscription, apres est-ce qu'il est stoque en clair ou non aucune idee.

Perso la seconde solution je ne l'ai utilse que pour un site ou il fallait inscrire des gens en masses, et le mot de passe etait a changer a la premiere connection en effet. Sinon je prefere largement la solution lien+token par email pour valider l'addresse email

Zeph : sauf qu'en pratique, à part si tu forces l'utilisateur à changer le mot de passe avant de pouvoir accéder au site, y'a toutes les chances qu'il ne le fasse pas. Et en transmettant son mot de passe par mail, tu compromets la sécurité.

Donc pour moi, la première solution est clairement meilleure que la seconde.

Tu vas me dire "c'est pas mon problème, c'est celui de l'utilisateur", mais dans ce cas, tu peux aussi laisser tomber le HTTPS (parce que dans le fond, les sites marchands s'en foutent que tu balances tes coordonnées bancaires en clair, c'est aux clients que ça pose un problème )

Non mais bien sûr qu'il y a plein de meilleures solutions, là n'est pas la question, je dis juste que ça n'est pas aussi grave que stocker des mots de passe en clair. Du coup plaintextoffenders, qui fait l'amalgame entre les deux, mélange un problème qui me gène avec un problème qui ne me gène pas tellement, et ne permet pas de faire la différence entre les deux.

./79 : générer un token utilisable une fois ou bien générer un mot de passe et imposer son changement à la première connexion, c'est strictement équivalent

Je ne suis pas d'accord, le HTTPS a ete mis pour garder le client pour qu'il ai confiaaaaaaannnnccceeeee #hypnose#

Zeph oui on est d'accord

Et sinon pour continuer le parallèle avec HTTPS, je trouve qu'envoyer un mot de passe initial (ou un token) par mail mais ne jamais le stocker, c'est un peu comme les sites HTTPS qui n'ont pas de certificat signé par une autorité de confiance. Bien sûr que ça n'est pas idéal, mais en pratique je sais qu'il y a de grandes chances pour que ce soit quand même bien plus sûr qu'un site qui n'a pas de HTTPS du tout.

La palme revient sans doute à Mailman, qui par défaut envoie un rappel du mot de passe par mail chaque mois! (Ça implique aussi qu'il est stocké en clair.)

./81 ils confusionnent pas

le mot d'ordre du site est: Did you just email me back my own password?!

rien de plus, officiellement.

Zeph (./84) :
Et sinon pour continuer le parallèle avec HTTPS, je trouve qu'envoyer un mot de passe initial (ou un token) par mail mais ne jamais le stocker, c'est un peu comme les sites HTTPS qui n'ont pas de certificat signé par une autorité de confiance. Bien sûr que ça n'est pas idéal, mais en pratique je sais qu'il y a de grandes chances pour que ce soit quand même bien plus sûr qu'un site qui n'a pas de HTTPS du tout.

(C'est pas toi qui disais exactement l'inverse pour yN ? )

Heu je sais pas, où ?