Kernelcoffee Posté(e) le 10 avril 2014 Partager Posté(e) le 10 avril 2014 Hello, Avec les histoires de heartbleed, ca m'a fait réalisé que NextInpact ne redirige pas en https au moment de l'identification (même chose pour le forum), ni même une fois identifie. Bon c'est pas forcement critique mais bon une identification en clair, c'est pas toujours ce qu'il y a de mieux (ne serais-ce que sur le principe). C'est prévu, normal, option a activer, prévu, obi-wan kenobi ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
beankylla Posté(e) le 11 avril 2014 Partager Posté(e) le 11 avril 2014 obi-wan kenobi Lien vers le commentaire Partager sur d’autres sites More sharing options...
seboss666 Posté(e) le 11 avril 2014 Partager Posté(e) le 11 avril 2014 J'avais jamais percuté mais c'est vrai que tout passe en clair. Bon en même temps je me log pas tous les jours non plus, ça reste stocké chez moi (petit cookie je crois) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Nemasix Posté(e) le 11 avril 2014 Partager Posté(e) le 11 avril 2014 Je viens de faire le test, si tu es en HTTPS, le site reste en HTTPS. Donc je pense que le login se fait en HTTPS. Après, il est vrai qu'on est pas sur un site de banque Lien vers le commentaire Partager sur d’autres sites More sharing options...
Kernelcoffee Posté(e) le 11 avril 2014 Auteur Partager Posté(e) le 11 avril 2014 Je viens de faire le test, si tu es en HTTPS, le site reste en HTTPS. Donc je pense que le login se fait en HTTPS. Après, il est vrai qu'on est pas sur un site de banque Bah c'est mieux (automatique) depuis que j'ai installe HTTPS Everywhere. Mais comme je disais c'est une question de principe -> je me log quelque part, donc j’envoie mon login/pass, ça serai mieux si ça ne se baladai pas en clair sur le réseau. Par contre pas d'https sur le forum. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Nemasix Posté(e) le 11 avril 2014 Partager Posté(e) le 11 avril 2014 Je viens de faire le test, si tu es en HTTPS, le site reste en HTTPS. Donc je pense que le login se fait en HTTPS. Après, il est vrai qu'on est pas sur un site de banque Bah c'est mieux (automatique) depuis que j'ai installe HTTPS Everywhere. Mais comme je disais c'est une question de principe -> je me log quelque part, donc j’envoie mon login/pass, ça serai mieux si ça ne se baladai pas en clair sur le réseau. Par contre pas d'https sur le forum. J'ai pas dit que c'était pas bien. Après, mais je pense que tu le sais vu que tu as l'air porté sur la sécu qu'il ne faut pas utilisé les mêmes ID/Password partout. Moi j'ai le même ID quasi partout mais mon mot de passe diffère constamment. C'est juste problématique quand tu ne retrouve pas le mot de passe que tu as utilisé pour tel ou tel site Lien vers le commentaire Partager sur d’autres sites More sharing options...
Kori Posté(e) le 11 avril 2014 Partager Posté(e) le 11 avril 2014 Fais comme moi utilises ton nom et ton N° de CB, comme ça pas besoin de chercher Lien vers le commentaire Partager sur d’autres sites More sharing options...
mantisis Posté(e) le 11 avril 2014 Partager Posté(e) le 11 avril 2014 Nan le combo culte azerty1234 est inoubliable Dire que c'est le mot de passe que nombre d'admins en tout genre mettent sur les sessions root de serveurs pro .... Avec sa meme plus besoin de faille, c'est du harakiri Lien vers le commentaire Partager sur d’autres sites More sharing options...
seboss666 Posté(e) le 12 avril 2014 Partager Posté(e) le 12 avril 2014 Et encore, un poil de social engineering, c'est facile. Y'a quelques temps, il m'a fallu redémarrer une machine que j'ai proposé de dépanner (lenteurs--confirmé par une blinde de spywares, entre autres), sauf que le compte utilisateur était protégé par mot de passe. Petite réflexion, et au premier essai, j'ai trouvé : c'était le nom du fils de la personne. Même pas une majuscule. Non vraiment je me demande comment on a pu passer à côté de l'enfer aussi longtemps Lien vers le commentaire Partager sur d’autres sites More sharing options...
contre-maitre Posté(e) le 25 avril 2014 Partager Posté(e) le 25 avril 2014 Je viens de tester, sur le site et le forum, il n'y a pas de redirection HTTPS lors de la connexion. C'est vraiment pas top :( Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amnesiac Posté(e) le 25 avril 2014 Partager Posté(e) le 25 avril 2014 Navigue sur le site directement en HTTPS, tout reste en HTTPS (authent compris). Pour le forum, ce n'est pas encore d'actualité. Lien vers le commentaire Partager sur d’autres sites More sharing options...
contre-maitre Posté(e) le 25 avril 2014 Partager Posté(e) le 25 avril 2014 Navigue sur le site directement en HTTPS, tout reste en HTTPS (authent compris). Pour le forum, ce n'est pas encore d'actualité. Oui certe, mais combien de personne vont le faire manuellement ? Alors qu'un petit réglage de redirection pour le login résoudrait le problème pour tout le monde. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amnesiac Posté(e) le 25 avril 2014 Partager Posté(e) le 25 avril 2014 Ah bah oui j'suis d'accord. Mais quitte à être parano, autant l'être jusqu'au bout en attendant l'authentification unifiée (qui sera je pense sécurisé). Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.