Salut,
Cet aprèm, j'ai acheté des barres de toit pour ma voiture.
J'ai trouvé ce qu'il me faut sur un site web. Je me lance donc dans le processus d'achat :
Tout d'abord, créer un compte : formulaire pas en https, mes login / mot de passe et tout le reste vont transiter en clair...
Ne parlons même pas du https lorsque je suis connecté, le vole de session c'est des problèmes de paranos hystériques...
Après avoir créé un compte je reçois un mail de confirmation.
Dans ce mail, j'ai la joie de découvrir mon login et mon mot de passe récapitulés.
Donc en plus de ne pas sécuriser le formulaire d'inscription, on peut en déduire que mon mot de passe est stocké de manière lisible chez eux (merci la confiance), et ils se permettent de faire circuler mon mot de passe en clair dans un mail sans m'avoir rien demandé.
Une expérience de ce type, moi qui suis un peu sensible sur la question, ça me file des boutons. Pas que je craigne pour ma vie (sur ce type de site je sais bien qu'il faut pas leur faire confiance, et je suis méfiant), mais je trouve incroyable que des développeurs puissent se permettre de tels pratiques totalement irrespectueuses envers leurs clients. Et je sais très bien que le système de ce site qui me semble si insécurisé et si peu digne de confiance semblera tout à fait digne de confiance par la grande majorité des utilisateurs, ce qui est un peu flippant.
Étant vexé par ce manque de respect, je me suis donc permis de leur envoyer un message récapitulant les problèmes que leur système d'authentification me pose, et leur présentant des pistes d'évolutions qui pourraient améliorer leur service (hash des mot de passe en base, https, pas de pass dans le mail..., et idéalement OpenID).
Voila c'est tout, je voulais juste partager cette expérience afin éventuellement de motiver d'autres personnes à faire de même. Je me dis qu'en faisant systématiquement un retour négatif aux sites trop irrespectueux, peut-être que ça pourra participer à une petite prise de conscience des implications de cet irrespect. Et au passage ça pourrait faire de la pub à l'OpenID, ce qui ne peut pas faire de mal.
Ciao à tous
# Pareil
Posté par xenom . Évalué à 3.
Je viens justement d'avoir la même expérience, et je m'apprêtais à envoyer un mail au site.
C'est regrettable quand même, surtout pour les mots de passes en clair.
J'ai vu aussi le cas d'un site qui s'était fait voler les mots de passes de tous ses utilisateurs (avec en plus des directeurs/cadres d'entreprises, un membre de l'assemblé,...), et qui même après ca continue de stocker ses mots de passes en clair.
[^] # Re: Pareil
Posté par JGO . Évalué à 10.
Punaise y'a tant de monde que ça qui veut acheter des barres de toit ?
[^] # Re: Pareil
Posté par Elfir3 . Évalué à 10.
Hum c'est pas parce que le mot de passe est envoyé en clair qu'il est forcément stocké en clair...
Mais j'avoue que vu le reste... il y a des chances ;)
[^] # Re: Pareil
Posté par Thomas Debesse (site web personnel) . Évalué à 9.
moi j'ai un site alacon qui tout les ans m'envoie un mail « pour votre bien, comme chaque fois l'an, je vous rappelle que votre login et mot de passes sont … »
En fait ils ont peut-être pensé que c'était une bonne raison de se rappeler à ma mémoire… m'enfin vive la sécu de la pratique commerciale ! Il faudra que je me désinscrive un jour, mais comme ils ne me spamment qu'une fois par an, j'avoue ne pas avoir fait le pas. Ce mot de passe est unique, et le service est un service alacon, je peux l'écrire ici si je veux… Mais dans l'idée, c'est tout de même impressionnant de bêtise !
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Pareil
Posté par xenom . Évalué à 6.
Oui, mais il suffit de faire une demande de mot de passe oublié, si il est renvoyé, c'est qu'il est stocké en clair.
[^] # Re: Pareil
Posté par Papey . Évalué à 7.
ou en rot13 !
[^] # Re: Pareil
Posté par syntaxerror . Évalué à 10.
mieux, en double rot13!
[^] # Re: Pareil
Posté par Romuald Brunet (site web personnel) . Évalué à 1.
… qui ne vaudra jamais le rot26 !
[^] # Re: Pareil
Posté par totof2000 . Évalué à 2.
vos histoires e rots sont à gerber ....
[^] # Re: Pareil
Posté par pasScott pasForstall . Évalué à -4.
De meme si le formulaire de creation de compte n'est pas heberge sur une page https ne veut pas dire qu'il n'est pas poste en https.
Et la page suivante peut aussi etre en http tout court, si leur serveur est suffisament malin pour balancer un 302 vers du chteuteupeu tout court en reponse au formulaire.
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Pareil
Posté par Jean B . Évalué à 2.
C'est tout aussi peu sécurisé. Car rien ne te dit qu'il y a pas un script malcieux type keylogger inséré frauduleusement sur la page. cf Le hack du login de Facebook en tunisie: http://nawaat.org/portail/2011/01/03/tunisie-campagne-de-piratage-des-comptes-facebook-par-la-police-tunisienne/ (désolé j'ai la flemme de trouver un lien plus sérieux mais il y en a plein)
[^] # Re: Pareil
Posté par pasScott pasForstall . Évalué à -2.
si ta page est sujette a une faille XSS qui injecte un keylogger, forcement, tu vas avoir des soucis.
Mais dans ce cas, https ou pas, t'es baise.
De meme, si la police bloque le port 443, c'est sur qu'https va moins bien marcher (accent de bourvil inside), mais je vois pas en quoi c'est pertinent comme remarque.
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Pareil
Posté par Jean B . Évalué à 7.
On parle pas d'une faille XSS là.
Le FAI Tunisien insérait à la volée un code malicieux dans la page de login de Facebook qui était en http et postait les sur une URL en https.
Si la page de login de Facebook avait été en https cette attaque n'aurait pas été possible. Ça ne résous pas tous les problèmes certes, mais poster les donées en https ne suffit pas le formulaire doit lui aussi être servit en https.
[^] # Re: Pareil
Posté par pasScott pasForstall . Évalué à -3.
C'etait pas vraiment ca le probleme, plutot un bon vieux mitma.
Et quand l'homme de le milieu c'est ton fai, que son autorite de certification est inclue dans ton navigateur, ya pas grand chose Que tu puisses faire.
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Pareil
Posté par Juke (site web personnel) . Évalué à 2.
tu peux retirer le certificat de ton navigateur
[^] # Re: Pareil
Posté par pasScott pasForstall . Évalué à -3.
Oui, une fois que t'as compris que tu t'es fait avoir, et que donc c'est deja trop tard...
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Pareil
Posté par Juke (site web personnel) . Évalué à 3.
T'es pas obligé d'attendre de te t'être fait cambriolé pour fermer ta porte.
[^] # Re: Pareil
Posté par pasScott pasForstall . Évalué à -4.
Tu proposes quoi alors?
Virer tous les certificats racines de ta machine et ne plus utiliser ssl?
Pour autant que je sache, le certificat de la tunisie etait de confiance jusqu'a ce qu'on se rende compte qu'ils s'en servaient a des fins malhonnetes, donc on fait quoi?
On vire tous les certifs de confiance sous le pretexte qu'un mechant pourrait avoir un certificat signe par un gentil?
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Pareil
Posté par Juke (site web personnel) . Évalué à 2.
commencer par virer les certif de confiance qu'on utilise pas, ou qui n'ont pas prouvé leur confiance
[^] # Re: Pareil
Posté par pasScott pasForstall . Évalué à -3.
Super! Et tu la verifie comment la confiance?
C'est justement le but des organisations racines, si tu part de ce genre de postulat, ne te connectes surtout pas a internet, tu ne peux faire confiance a personne...
Avec tes belles idees, tu vas finir par virer thawte et verisign, ca va etre sympa la navigation sur internet chez toi...
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Pareil
Posté par ~ lilliput (site web personnel) . Évalué à -2.
Enfin en même temps tant qu'a faire une injection SQL est plus rapide que de se prendre la tête avec du XSS persistent (et plus 'discret') pour récupérer les cookies de session.
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
[^] # Re: Pareil
Posté par KiKouN . Évalué à 1.
Il suffit de demander une récupération de mots de passe pour en savoir un peu plus.
# OpenID
Posté par JGO . Évalué à 5.
Pourrait-on dissiper mes craintes concernant OpenID ? J'aurais donc un login unique, mettons jean.dupont. Si un attaquant découvre le mot de passe de jean dupont (soit l'attaquant découvre les mots de passes en clair chez www.barres-de-toit.com, soit directement un admin malveillant de ces site), il peut ensuite utiliser mon identité sur tous les sites du monde ?
[^] # Re: OpenID
Posté par jjay . Évalué à 7.
A mon avis la majorité des utilisateurs de services en lignes ont 1 login et mot de passe qu'ils utilisent pour tous les sites (quand c'est possible)
[^] # Re: OpenID
Posté par KPTN (site web personnel, Mastodon) . Évalué à 5.
Tous les sites du monde compatibles OpenID (et acceptant ton serveur OpenID) : oui
Bienvenue dans le monde du SSO !
Cela dit, il existe des fournisseurs OpenID qui savent faire autre chose que du login/mot de passe. On parle plutôt de problème d'authentification forte dans ce cas.
[^] # Re: OpenID
Posté par allcolor (site web personnel) . Évalué à 6.
Ben le principe c'est que ton mot de passe n'est pas chez www.barres-de-toit.com mais chez ton provider openId...
Donc www.barres-de-toit.com n'y pourra rien... par contre rien n'empêche un maichant admin de ton provider openId (qui je l'espère lui ne stockers pas en clair) de resetter le mot de passe (vu qu'il est pas en clair il peut pas piquer le mot de passe) et usurper ton identité.
Le maichant admin de ton provider openId il s'en fout à la limite du mot de passe si lui peut le changer.
Mais même si je sais que www.barres-de-toit.com ne pourra pas avoir mon passe si j'utilise openId, ce qui me gène avec la protection openId c'est l'unique point de défaillance qu'il implique... mon compte openId compromis donne accès à tous les sites openId... alors qu'un compte d'un site (si tu t'amuses pas à mettre toujours le même pass) n'a compromis que ce compte. Ce problème est rédhibitoire pour moi et j'utilise donc pas openId. Le SSO rin à foot !
[^] # Re: OpenID
Posté par Jean B . Évalué à 7.
Rien ne t'empèche d'être ton propre provider OpenID, c'est un des services les moins compliqués à mettre en place.
Mais c'est vrai que moi aussi je préférerai une authentification sans "tiers de confiance". Genre ton navigateur stocke une clé privée et tu te logue à la SSH.
[^] # Re: OpenID
Posté par totof2000 . Évalué à 7.
Mais même si je sais que www.barres-de-toit.com ne pourra pas avoir mon passe si j'utilise openId, ce qui me gène avec la protection openId c'est l'unique point de défaillance qu'il implique...
T'as qu'à créer un compte OpenID par site ... :)
# Y a pire
Posté par Anonyme . Évalué à 10.
Chez pixmania, pour changer son mot de passe il faut l'envoyer par email à un pseudo responsable de la sécurité ! Ça me fait penser que j'ai demandé la suppression de mon compte il y a 7 mois et que ça n'a toujours pas été mis en application allez hop, mail de rappel avec référence à la loi informatique et liberté
[^] # Re: Y a pire
Posté par moules . Évalué à 7.
Demande à la CNIL de le faire pour toi.
[^] # Re: Y a pire
Posté par Kerro . Évalué à 7.
J'utilise une base de donnée toute bête (des fichiers texte) avec mes identifiants. Un différent pour chaque site.
Je regarde dans pixmania.fr.txt...
Le contenu de mon fichier est: "Ne plus acheter chez eux" :-)
Modification datée de 6 mois après la création du fichier.
[^] # Re: Y a pire
Posté par claudex . Évalué à 1.
C'est original comme pseudo. Ils acceptent les espaces? À moins que ce soit le mot de passe.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# Parano
Posté par Ymage . Évalué à -8.
Si tu n'as rien à te reprocher, tu n'as rien à cacher.
Si vous n'aimez pas ce commentaire c'est qu'il est ironique.
[^] # Re: Parano
Posté par Thomas Debesse (site web personnel) . Évalué à 10.
"Privé" et "Reprochable" ne sont pas synonymes
"Personnel" et "Coupable" ne sont pas synonymes
"Sécurisé" et "Immoral" ne sont pas synonymes
"Public" et "Honnête" ne sont pas synonymes
"Mutuel" et "Innocent" ne sont pas synonymes
"Insécure" et "Bon" ne sont pas synonymes
Alors les bêtises du genre "si tu n'as rien à te reprocher tu n'as rien à cacher" ou encore "si tu es honnête tu n'as pas besoin de veiller à ta sécurité", on s'en passera, trois petits tour et puis s'en vont !
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Parano
Posté par Ymage . Évalué à 10.
Ironie
PS: J'ai mis le lien en SSL, juste au cas où ... :-p
Si vous n'aimez pas ce commentaire c'est qu'il est ironique.
[^] # Re: Parano
Posté par Kerro . Évalué à 6.
C'est exactement ce que dit le gouvernement Iranien aux homosexuels.
Mais je crois que tu n'as pas compris. Il ne craint pas que l'état vérifie ses achats de barre de toit. Il craint qu'un méchant lui pique se fasse passer pour lui. Et là, le "rien à se reprocher", je ne vois pas ce qu'il fait là.
C'est comme si tu te fais agresser dans la rue. Tu n'as rien à te reprocher, mais tu as 3 dents cassées tout de même.
[^] # Re: Parano
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 5.
Rassure-moi, c'était ironique, n'est-ce pas ?
[^] # Re: Parano
Posté par barmic . Évalué à 5.
Je présume aussi à quand les tags humour pour les commentaires ?
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Parano
Posté par Nitchevo (site web personnel) . Évalué à 3.
curieusement ça m'a fait sourire et il est à -10...
[^] # Re: Parano
Posté par Kerro . Évalué à 2.
Le tag humour existe depuis longtemps. Suivant la langue on nomme ça un smiley, un rigolard, une émoticône, etc.
C'est fait pour transmettre quelques nuances basiques, et ça fonctionne bien.
[^] # Re: Parano
Posté par Ymage . Évalué à 7.
Oui, mais ça coupe un peu l'effet pince-sans-rire que je voulais donner.
En même temps, je récolte les conséquences de cet effet :-)
Si vous n'aimez pas ce commentaire c'est qu'il est ironique.
[^] # Re: Parano
Posté par DLFP est mort . Évalué à 5.
Je pense que le pince-sans-rire ne peut pas marcher sur un espace de discussion où les gens ne se connaissent pas forcément, et surtout, où des gens sincèrement cons peuvent intervenir. Du coup, on ne sait pas forcément si la personne est sincère ou non… sauf à regarder ses précédents commentaires.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Parano
Posté par barmic . Évalué à 6.
Une signature ça peut le faire aussi :
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Parano
Posté par daeldir . Évalué à 10.
Pour un effet pince sans rire, c'est à dire quand on veut éviter une émoticône qui diminue la « crédibilité » du message, il y a un signe de ponctuation que j'avais eu le plaisir de découvrir dans une encyclopédie de 1900 mais qui a disparut dans les encyclopédies récentes faute d'usage (je ne sais pas depuis quand).
Néanmoins, ce symbole reste connu, et quelque personnes l'utilisent. Il existe en Unicode, et Wikipédia possède une page à son sujet.
J'ai nommé… Le point d'ironie !
Est-ce que le message semble suffisamment sérieux de ce point de vue ?
« Si tu n'as rien à te reprocher, tu n'as rien à cacher ⸮ »
… Après, on perd peut être de l'effet si toute la compréhension de la phrase est bafoué par ce point que ton interlocuteur ne connaît pas. Mais j'aime bien ce point, alors quand je fais de l'ironie (ce qui est trop rare par écrit, chez moi), j'utilise ce point, et j'en profite pour augmenter la culture de mes interlocuteurs.
[^] # Re: Parano
Posté par Ymage . Évalué à 5.
Merci, je ne connaissais pas :-)
Mais bon, un message pince-sans-rire indiquant explicitement qu'il l'est, l'est-il toujours autant ⸮
Si vous n'aimez pas ce commentaire c'est qu'il est ironique.
[^] # Re: Parano
Posté par Ymage . Évalué à 6.
It was :-D
Manifestement, ça n'a pas semblé si évident à beaucoup de monde...
Si vous n'aimez pas ce commentaire c'est qu'il est ironique.
[^] # Re: Parano
Posté par khivapia . Évalué à 2.
Tu ne mets pas de rideaux à ta fenêtre de chambre à coucher ? (encore plus si tu vis avec quelqu'un ?).
Tu ne fermes pas la porte quand tu vas aux toilettes, ou quand tu te douches ?
# Et alors ...
Posté par ptit_o . Évalué à -10.
Tes barres de toits tu n'es pas obligé de les acheter sur Internet si tu es parano. Donc ton journal on s'en branle :)
# Il y a une page linuxfr pour ça
Posté par devnewton 🍺 (site web personnel) . Évalué à 7.
J'ai commencé une page sur les problèmes de sécurité du point de vue de l'utilisateur lambda. Elle est un peu légère pour l'instant, mais il ne faut pas hésiter à l'enrichir!
https://linuxfr.org/wiki/Paranoia
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Il y a une page linuxfr pour ça
Posté par BFG . Évalué à 1.
[Vu que LinuxFR ne propose plus de messages privés, je me permets de faire ici une remarque qui change un peu de sujet.]
Votre générateur de "passgrid" crée des grilles qui peuvent être reconstruites à l'identique en utilisant le login (qui est d'ailleurs imprimé avec la carte). Si cette façon de faire a bien une utilité, elle ne permet pas de vérifier ce point que vous indiquez sur la page :
La façon de réussir ce point est au contraire de ne jamais pouvoir reconstruire une grille.
[^] # Re: Il y a une page linuxfr pour ça
Posté par Kerro . Évalué à 4.
Le principe d'un wiki, c'est qu'on peut participer directement au lieu d'envoyer un message...
[^] # Re: Il y a une page linuxfr pour ça
Posté par BFG . Évalué à 1.
C'est à propos de son site que je fais une remarque (pas à propos des passgrids), or son site n'est pas un wiki.
Quant au wiki de LinuxFR, il y a peu de chances qu'il voit ma remarque rapidement. En revanche, en répondant à un de ces messages, il y a au contraire toutes les chances pour qu'il la voit.
[^] # Re: Il y a une page linuxfr pour ça
Posté par yellowiscool . Évalué à 1.
Dans le wiki, il y a justement une section à ce sujet. Ça aurait été plus simple de lui passer le lien.
Envoyé depuis mon lapin.
[^] # Re: Il y a une page linuxfr pour ça
Posté par BFG . Évalué à 1.
Quelle section ?
[^] # Re: Il y a une page linuxfr pour ça
Posté par devnewton 🍺 (site web personnel) . Évalué à 2.
Bien vu!
J'ai ajouté un mode non déterministe au générateur.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Il y a une page linuxfr pour ça
Posté par BFG . Évalué à 2.
Le script ne fonctionne plus, mon navigateur se plaint de l'utilisation de "console" dans passgrid.js, variable qui n'existerait pas.
La présence des 2 modes est une bonne idée, mais il faudrait ajouter une note d'explication, comme par exemple :
[^] # Re: Il y a une page linuxfr pour ça
Posté par insert_coincoin . Évalué à 1.
Le commentaire parent est pertinent.
[^] # Re: Il y a une page linuxfr pour ça
Posté par devnewton 🍺 (site web personnel) . Évalué à 2.
Voilà c'est corrigé (normalement)!
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
# pub openid
Posté par BAud (site web personnel) . Évalué à 2.
hmmm, peux-tu élaborer ?
Quitte à faire de la pub' autant que tu reprennes les mérites que tu as vantés, cela peut donner des idées et cela permettra de proposer un exemple sur la page OpenID accessible de Paranoïa ;-) (même si je n'apprécie pas trop le terme de paranoïa, j'avais commis un début de recensement de parano ordinaire à une époque).
[^] # Re: pub openid
Posté par devnewton 🍺 (site web personnel) . Évalué à 3.
J'ai appelé la page ainsi, car quand je parle de sécurité, la génération "no private life" me réponds généralement "ça sert à rien, t'es parano". Plutôt que d'argumenter longuement, je préfère finalement assumer sur le mode "oui être parano et savoir que le fbi ne pourra pas voir mes photos de vacances me fait du bien" :-)
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
# OpenID ?
Posté par yellowiscool . Évalué à 6.
Je suis très mitigé sur OpenID.
Déjà, ça permet d'avoir un identifiant unique pour tracer une identité d'un utilisateur. Il est donc facile de savoir qu'est-ce qu'il l'intéresse.
Mais surtout, c'est la complexité du bousin. Le site marchand dont tu parles a vraisemblablement été codé par des personnes non compétentes.
OpenID est vraiment trop compliqué pour des développeurs de ce niveau. Même avec une bonne librairie.
Sans parler de la complexité du protocole, qui demande des requêtes dans tout les sens, une confirmation, et plein d'autres choses.
Envoyé depuis mon lapin.
# à propos
Posté par foudfou . Évalué à 1.
je dévie un peu, mais je crois avoir entendu parler d'une alternative à la PKI centralisée pour HTTP... une sorte de HTTP-over-GPG. Ça vous dit quelque chose ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.