• # Le M dans MFA c'est pas pour Mono

    Posté par  (site web personnel) . Évalué à 4 (+1/-0). Dernière modification le 27 janvier 2025 à 11:14.

    Une idée pour contrer l'attaque de Microsoft pour s'authentifier par mail :

    1. demander son identifiant, récupérer le mail associé… bref comme d'habitude ;
    2. générer des codes A, B et C ;
    3. afficher le code A ;
    4. envoyer le code B par mail avec un lien https://monsite.lol/reset?code=C vers un formulaire ;
    5. demander de saisir sur le formulaire le code A et le code B.
    6. Vérifier que l'identifiant, A, B et C sont cohérents dans le temps imparti.

    On peut ajouter des variantes en demandant de saisir A et B sur des formulaires différents, d'envoyer B dans un mail à part…

    Et bien sûr, on doit informer l'utilisateur qu'il utilise un hébergeur de mail louche.

    Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

  • # Générateur de DOS ?

    Posté par  . Évalué à 3 (+1/-0).

    Dans l’article il est dit qu’il exécute le JS des lien et même les requêtes générées par ce dernier …
    On peux donc imaginé un petit malin qui piège les mail qui renvoie vers du JS qui exécute quelques requêtes vers une cible donnée … donc en gros transformer Microsoft en acteur de DOS.

    J’ai tord ?

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.