Forum général.général sécurité : LOGIN/PASSWORD DANS L'URL

Posté par .
Tags : aucun
0
16
juin
2005
Question de sécurité à 1000 FF

Comme j'en ai marre de toujours rentrer mon login/password sur le
webmail de l'ETS Montréal (qui empeche la sauvegarde de login/password en changeant le groupe web aléatoirement), j'y accède en mettant le login/password dans l'url
http://user:password@host(...) ...

Maintenant je peux accéder à mon mail sans avoir à toujours m'authentifier grâce à mon URL http://user:password@host(...) .

Ma question est : est-ce que quelqu'un de mon labo ou de l'extérieur (à part l'admin réseau) peut accéder à l'URL qui est entrée en clair dans konqueror sous Linux ?

Genre quequ'un qui regarderait les URL qui sont entrées sur le proxy
SQUID, ou bien je ne sais pas quoi d'autre ?

Merci beaucoup !
  • # oui

    Posté par . Évalué à 5.

    les requêtes passent en clair sur les réseaux de la même manière que si tu les rentres dans les champs d'un formulaire posté en clair (http).

    https serait déjà un début de sécurisation mais en tout cas le user@password dans l'url est une très mauvaise idée: c'est mis en clair dans les historiques du navigateur.
    • [^] # Re: oui

      Posté par (page perso) . Évalué à 5.

      mais en tout cas le user@password dans l'url est une très mauvaise idée: c'est mis en clair dans les historiques du navigateur.

      Une solution intermédiaire serait de taper : http://user@host/(...) .
      Ton navigateur te propose alors une boîte de dialogue ou tu peux mettre ton mot de passe (et que tu peux sûrement enregistrer en plus !!)

      avantage : il n'est plus enregistré dans les bookmars/caches/historiques

      par contre, il passe toujours en clair sur le réseau... (mais bon, c'est pas le seul mot de passe qui passe en clair... suffit de regarder les connexions POP3 par exemple ;-p ).
      • [^] # Re: oui

        Posté par (page perso) . Évalué à 4.

        Konqueor n'enregistre pas le mot de passe dans l'historique

        Concrètement, il enlève automatiquement le mot de passe de l'URL pour tout ce qui pourrait être visible. (Historique, Barre d'adresse, referer, ...)
        • [^] # Re: oui

          Posté par (page perso) . Évalué à 2.

          ah oui, c'est vrai, maintenant que tu le dis...

          mais l'avantage de faire par la boîte de dialogue, c'est que ton mot de passe n'est jamais afficher à l'écran... et quand tu as du monde au dessus de ton épaule, c'est très intéressant !!!
  • # meuh

    Posté par (page perso) . Évalué à 2.

    Question de sécurité à 1000 FF

    Cette monnaie n'a plus cours.
  • # meuh

    Posté par (page perso) . Évalué à 5.

    La règle de base c'est que tout ce qui passe en clair sur un réseau même switché est accessible de n'importe quelle autre machine grâce à des attaques simples sur le protocole ARP, et tout ce qui passe en https aussi (un nouveau secret est partagé à chaque nouvelle connexion, un man-in-the-middle suffit pour berner ton client, ce qui se fait très bien de la même manière). Tu as un semblant de sécurité avec ssh pour peu que tu communiques le fingerprint avant la première connexion (concrètement, personne ne le fait).

    La sécurité dans un réseau local est relativement illusoire, à mon humble avis. Ceci dit, je m'éloigne de ta question initiale.

    Si tu te connectes dans un labo, il suffit que quelqu'un mette un keylogger en ton absence pour que tout ce que tu tappes les jours suivants soit capturé. Es-tu sûr de la sécurité physique des accès à ta machine ?


    Pour répondre à ta question, mettre user:pass dans l'URL est relativement équivalent à le tapper dans une boîte de dialogue si c'est de l'http, de toutes façons : la seule différence c'est que si c'est en user:pass on peut facilement capturer ton mot de passe en accédant physiquement à la machine en ton absence (logs, bookmarks), alors que si tu le tappes il faut faire une attaque ARP (trivial mais ça peut se remarquer s'il y a un monitoring ARP, ceci dit peu d'admin réseaux mettent ça en place à mon humble avis).
    • [^] # Re: meuh

      Posté par . Évalué à 2.

      > tout ce qui passe en https aussi

      bon , ben alors qu'est ce qu'il nous reste ?
      les pigeons voyageurs ?
    • [^] # Re: meuh

      Posté par (page perso) . Évalué à 3.

      > un nouveau secret est partagé à chaque nouvelle connexion, un man-in-the-middle
      > suffit pour berner ton client, ce qui se fait très bien de la même manière

      Le certificat du serveur reste le même. Tous les navigateurs mettent une grosse alerte si le certificat change. Ton attaque man-in-the-middle échouera si la personne est déjà allé sur le site en question auparavant

      Même pour la première connexion, le certificat est signé, le navigateur vérifie la signature à chaque fois à partir de sa base d'autorités. Si le méchant n'a pas accès à ta configuration il pourra certes envoyer un faux certificat mais ce faux certificat ne sera pas signé et un avertissement méchant apparait sur ton navigateur.

      Non, coté https, si tu n'ignores pas superbement toutes les boites de dialogue d'erreur que t'envoie ton navigateur et que tu ne laisses personne rajouter une autorité de certificat dans ta configuration, tu ne crains pas le man-in-the-middle et le HTTPs est sûr.


      SSH c'est la même chose, avec la certification en moins. (on peut très bien certifier mais là il n'y a pas d'autorité centrale que tout le monde reconnait donc ça demande une volonté des deux cotés). Si tu as fait une première connexion correcte tu repèreras tout changement ou toute interception par la suite.
      • [^] # Re: meuh

        Posté par (page perso) . Évalué à 3.

        En même temps, quand il s'agit d'un webmail de FAC, il est très rare que le certificat SSL soit signé par une autorité de certification donc bon ...
      • [^] # Re: meuh

        Posté par (page perso) . Évalué à 3.

        C'est vrai. Cependant, les gens sont tellement habitués à avoir une boîte de dialogue sur la sécurité lorsqu'ils se connectent en https qu'ils ne lisent pas souvent le contenu. Ce serait bien d'avoir une alerte comme sur gmail lorsqu'il détecte un fake ebay ou autre : un gros bandeau sur fond rouge. En général ce sont des bêtes boites grises sur les navigateurs ce qui est dommage.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.