Question de sécurité à 1000 FF
Comme j'en ai marre de toujours rentrer mon login/password sur le
webmail de l'ETS Montréal (qui empeche la sauvegarde de login/password en changeant le groupe web aléatoirement), j'y accède en mettant le login/password dans l'url
http://user:password@host(...) ...
Maintenant je peux accéder à mon mail sans avoir à toujours m'authentifier grâce à mon URL http://user:password@host(...) .
Ma question est : est-ce que quelqu'un de mon labo ou de l'extérieur (à part l'admin réseau) peut accéder à l'URL qui est entrée en clair dans konqueror sous Linux ?
Genre quequ'un qui regarderait les URL qui sont entrées sur le proxy
SQUID, ou bien je ne sais pas quoi d'autre ?
Merci beaucoup !
Forum général.général sécurité : LOGIN/PASSWORD DANS L'URL
16
juin
2005
# oui
Posté par B. franck . Évalué à 5.
https serait déjà un début de sécurisation mais en tout cas le user@password dans l'url est une très mauvaise idée: c'est mis en clair dans les historiques du navigateur.
[^] # Re: oui
Posté par Sylvain Rampacek (site web personnel) . Évalué à 5.
Une solution intermédiaire serait de taper : http://user@host/(...) .
Ton navigateur te propose alors une boîte de dialogue ou tu peux mettre ton mot de passe (et que tu peux sûrement enregistrer en plus !!)
avantage : il n'est plus enregistré dans les bookmars/caches/historiques
par contre, il passe toujours en clair sur le réseau... (mais bon, c'est pas le seul mot de passe qui passe en clair... suffit de regarder les connexions POP3 par exemple ;-p ).
[^] # Re: oui
Posté par Gof (site web personnel) . Évalué à 4.
Concrètement, il enlève automatiquement le mot de passe de l'URL pour tout ce qui pourrait être visible. (Historique, Barre d'adresse, referer, ...)
[^] # Re: oui
Posté par Sylvain Rampacek (site web personnel) . Évalué à 2.
mais l'avantage de faire par la boîte de dialogue, c'est que ton mot de passe n'est jamais afficher à l'écran... et quand tu as du monde au dessus de ton épaule, c'est très intéressant !!!
# meuh
Posté par gc (site web personnel) . Évalué à 2.
Cette monnaie n'a plus cours.
[^] # Re: meuh
Posté par phoenix (site web personnel) . Évalué à 3.
# meuh
Posté par gc (site web personnel) . Évalué à 5.
La sécurité dans un réseau local est relativement illusoire, à mon humble avis. Ceci dit, je m'éloigne de ta question initiale.
Si tu te connectes dans un labo, il suffit que quelqu'un mette un keylogger en ton absence pour que tout ce que tu tappes les jours suivants soit capturé. Es-tu sûr de la sécurité physique des accès à ta machine ?
Pour répondre à ta question, mettre user:pass dans l'URL est relativement équivalent à le tapper dans une boîte de dialogue si c'est de l'http, de toutes façons : la seule différence c'est que si c'est en user:pass on peut facilement capturer ton mot de passe en accédant physiquement à la machine en ton absence (logs, bookmarks), alors que si tu le tappes il faut faire une attaque ARP (trivial mais ça peut se remarquer s'il y a un monitoring ARP, ceci dit peu d'admin réseaux mettent ça en place à mon humble avis).
[^] # Re: meuh
Posté par kesako . Évalué à 2.
bon , ben alors qu'est ce qu'il nous reste ?
les pigeons voyageurs ?
[^] # Re: meuh
Posté par lom (site web personnel) . Évalué à 3.
[^] # Re: meuh
Posté par Éric (site web personnel) . Évalué à 3.
> suffit pour berner ton client, ce qui se fait très bien de la même manière
Le certificat du serveur reste le même. Tous les navigateurs mettent une grosse alerte si le certificat change. Ton attaque man-in-the-middle échouera si la personne est déjà allé sur le site en question auparavant
Même pour la première connexion, le certificat est signé, le navigateur vérifie la signature à chaque fois à partir de sa base d'autorités. Si le méchant n'a pas accès à ta configuration il pourra certes envoyer un faux certificat mais ce faux certificat ne sera pas signé et un avertissement méchant apparait sur ton navigateur.
Non, coté https, si tu n'ignores pas superbement toutes les boites de dialogue d'erreur que t'envoie ton navigateur et que tu ne laisses personne rajouter une autorité de certificat dans ta configuration, tu ne crains pas le man-in-the-middle et le HTTPs est sûr.
SSH c'est la même chose, avec la certification en moins. (on peut très bien certifier mais là il n'y a pas d'autorité centrale que tout le monde reconnait donc ça demande une volonté des deux cotés). Si tu as fait une première connexion correcte tu repèreras tout changement ou toute interception par la suite.
[^] # Re: meuh
Posté par LaBienPensanceMaTuer . Évalué à 3.
[^] # Re: meuh
Posté par gc (site web personnel) . Évalué à 3.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.