Journal Comportement bizarre xoopit

Posté par .
Tags : aucun
8
20
déc.
2008
Bonjour Journal, je t'écris pour te décrire le comportement pour le moins étrange et dérangeant du plugin xoopit pour firefox.
Ce plugin est censé ajouter des fonctions de récupérations des photos et vidéos dans un compte gmail directement depuis l'interface du webmail.
Je l'ai installé il y a 2 ou 3 heures pour l'essayer. Au démarrage il demande le mot de passe gmail, jusque là ça me paraît normal. Je l'essaye, je trouve ça pas terrible et je le désinstalle dans la foulée.
Il y a 5 mn, par curiosité je vais voir l'activité de mon compte gmail et là je vois une activité imap (option que je ne me rappelle pas avoir activé) il y a 1 minute.
Un coup de nmap m'apprend que l'adresse IP en question est celle d'un site xoopit.com.

Je ferme toutes les sessions, désactive l'option imap et change mon mot de passe mais :

Est-il normal qu'un site xoopit.com accède à ma messagerie alors que je ne pensais donner l'accès qu'à un plugin local sur ma machine ?
Est-il normal qu'àprès désinstallation du plugin le dit site continue d'accéder à ma messagerie ?

Dans le doute méfiance sur ce plugin.
Aplusdanslebus
  • # Addons, features, etc.

    Posté par (page perso) . Évalué à 4.

    La première chose à faire av ant d'utiliser l'un ou l'autre des plugins, add-ons ou autres extentions est de vérifier un minimum ce qu'il en est dit, et si possible, pas sur le site de la "boîte" qui le propose.

    Une piste à suivre :
    https://addons.mozilla.org/fr/firefox/addon/8257

    Ça n'a pas l'air brillant.

    Sed fugit interea, fugit inreparabile tempus, singula dum capti circumvectamur amore

    • [^] # Re: Addons, features, etc.

      Posté par . Évalué à 4.

      C'est clair que j'aurai dû lire les critiques. Il est pourtant recommandé par la mozilla fundation (je l'ai trouvé dans la liste des plugin recommandé, accessible depuis l'interface de firefox).
      Je serai plus méfiant la prochaine fois.
    • [^] # Re: Addons, features, etc.

      Posté par . Évalué à 10.

      Evidemment, faut toujours lire les "CLUF" bla bla bla... Mais bon, je suis quand meme choqué que quelqu'un (qui plus est de la carrure de Mozilla !!!) conseille un plugin qui demande login/mot de passe. C'est la base de la sécu de ne donner son mot de passe à personne !!!

      Bien la peine de se venter d'etre au top de la sécu si c'est pour après proposer des plugins qui s'assoient allègrement dessus.

      Lisez les commentaires, certains font peurs ! (notamment celui qui dit qu'il voit des photos qui ne sont pas du tout dans son mail...).

      Je vais voir si il y a moyen de leur signaler ce plugin, peut-etre est-ce que le listage dans les plugins automatiques sont plutot systématiques et pas très contrôlés ?
      • [^] # Re: Addons, features, etc.

        Posté par . Évalué à 10.

        notamment celui qui dit qu'il voit des photos qui ne sont pas du tout dans son mail...

        peut-être que ce sont des développeurs de voyage-sncf qui ont codé le plugin ?

        cf http://linuxfr.org/~Dinofly/27645.html

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: Addons, features, etc.

        Posté par (page perso) . Évalué à 5.

        C'est la base de la sécu de ne donner son mot de passe à personne !!!

        non, la base de la sécu est etre capable d'identifier les entités à qui tu peux donner en toute confiance tes identifiants pour t'identifier.

        Si tu ne t'identifie jamais, tu te retrouves à être la personne louche des systemes sécurisés.

        Le principe du SSO est de s'identifier auprès d'un seul et unique tiers qui est déjà identifié comme tiers de confiance auprès d'autres et qui pourra confirmer que tu es bien qui tu dis être.

        Mais quelque soit le modele de sécurité, tu es obligé de transmettre une donnée personnelle et confidentielle pour etre identifier comme étant celui que tu dis etre.

        l'erreur de Xoopit est de demander tes identifiants google en lieu et place d'utiliser le SSO de google.
        Mais le SSO ne transmet pas tout, donc, dans un interet de "collecte de données", disposer d'identifiants avec le maximum de droits est préférable.
      • [^] # Re: Addons, features, etc.

        Posté par . Évalué à 4.

        C'est la base de la sécu de ne donner son mot de passe à personne !!!

        Et pourtant, beaucoup d'applis Web "modernes" te demandent allégrement tes logins et mots de passe pour GMail, Hotmail, Yahoo, et autres, pour "faciliter l'importation de contacts"...
        Personnellement, je suis comme la peste ces fonctionnalités, surtout que bien souvent, ils proposent de faire la même chose via un import CSV (et les sites en question proposent bien souvent l'export correspondant)..
        Mais bon, j'ai peur peur que ça soit presque entré dans les moeurs :S
        • [^] # Re: Addons, features, etc.

          Posté par . Évalué à 5.

          Surtout qu'en pratique, ça sert le plus souvent à spammer tes contacts depuis ton compte pour les encourager à "te rejoindre dans la grande communauté [insérer ici nom du site]".
          Ce genre de truc devrait être carrément interdit!!
  • # Évidement !

    Posté par (page perso) . Évalué à 10.

    Toujours étudier le code source avant _o/ !

    ... bon, je retourne au code d'openoffice... Plus que 1500 fichiers et je pourrai l'utiliser :)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.