Depuis une ou deux semaine j'ai enregistré quelques mots de passe dans le gestionnaire de Firefox. Évidemment protégés par un mot de passe principal. Et surprise… en ouvrant des onglets sur des sites sans aucun lien, je me vois demandé de déverrouiller mes mots de passe.
Exemple : j'ouvre un onglet sur un agrégateur de nouvelles (yahoo), et hop on me demande mon mot de passe principal. Sachant que je n'ai enregistré que ceux des ent et autres ecoledirecte de mes enfants. Rien à voir donc.
Un tel comportement n'est-il pas suspect ? Un bogue ?
# non mais oui XD
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 8.
Le comportement est normal parce-que ton navigateur a besoin que le gestionnaire de mdp soit désactivé pour pouvoir vérifier si le domaine est recensé, et si c'est le cas te proposer la complétion…
Je dirai que c'est un bogue si Firefox le fait systématiquement en arrivant sur une page.
Cette fonctionnalité ne devrait s'activer que s'il y a un formulaire sur la page…
Si tu ne vois pas de formulaire sur la page, alors c'est suspect parce-que ça voudra dire que c'est caché/masqué à tes yeux (mais le moteur du navigateur l'a vu.)
Bon, faudrait aussi que le navigateur ne prenne pas tous les formulaires pour argent comptant : une boîte de recherche ne devrait pas déclencher le mécanisme mais facile à dire.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: non mais oui XD
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 2.
Merci. Aucun formulaire visible sur les pages en question.
Une fois le mot de passe principal saisi, les mécanismes de protection des données sont-ils fiables ? Sur quels éléments Firefox peut-il se reposer pour savoir s'il doit envoyer des informations ?
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: non mais oui XD
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 4.
En espérant ne pas dire de grosse bêtise (parce-qu'il peut y avoir une différence entre ce que l'on croit et le code source et/ou la doc), normalement ton navigateur n'envoie pas de donnée… : quand il y a un formulaire, ça va juste auto-compléter les champs nom/login/email/id/whatever et pass/key/whatever mais ce sera à toi d'envoyer après avoir éventuellement corrigé. https://support.mozilla.org/gl/questions/1350296
Tu peux aussi désactiver le remplissage ; le navigateur t'indiquera juste qu'il a les informations quand tu te positionneras dans les champs correspondants (et toujours pas d'envoi dans ton dos.) https://support.mozilla.org/en-US/kb/autofill-logins-firefox
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: non mais oui XD
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 4.
Ça par contre c'est étrange (ou alors firefox est bogué/inoptimisé dans le sens où ça interroge systématiquement le gestionnaire de mots de passe sur toutes les pages.) Faudra que t'affiches les sources de la page et cherche voir s'il n'y a pas de balise
<input“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: non mais oui XD
Posté par fearan . Évalué à 3.
sur mega typiquement; je suppose qu'il doit y'avoir un formulaire de login non visible dans l'interface via javascript/css
je suppose que c'est le cas des autres sites dont il parle.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: non mais oui XD
Posté par Donk . Évalué à 6.
Si tu as configuré Firefox pour qu'il se synchronise à un compte Firefox, alors il aura besoin du mot de passe principal pour s’y connecter.
[^] # Re: non mais oui XD
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 1.
Doucement ! Pas de synchronisation chez moi. C'est déjà quasiment une abdication de ma part que de donner des mots de passe imposés par l'administration à Firefox. Je suis encore à cent lieues d'y mettre le moindre identifiant sérieux. Et partant à des années lumières de jouer à de la synchronisation. Chez moi tout se fait encore au bon vieux ssh sur une toile loin des nuages.
Et il faut bien avouer que la demande de mot de passe principal par des pages qui aux mieux tentes de récupérer indûment des identifiants m'a quelque peu refroidie si j'avais quelque envie de partir dans cette direction.
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: non mais oui XD
Posté par floriang . Évalué à 2.
Hello,
Ce n'est pas la page qui tente de récupérer des identifiants, c'est Firefox qui voit un formulaire (ou pas, je ne connais pas l'algo derrière cette demande) et qui tente de vérifier dans sa base de données locale s'il y a des choses à préremplir pour cette page. Cette base de données étant protégée par le mot de passe principal, Firefox te le demande. Si tu ne le donnes pas, Firefox ne peux pas consulter sa BdD et vérifier s'il y a quelque chose à faire. Donc il ne se passera rien.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.