Posté(e) le 10 avril 201411 a Hello, Avec les histoires de heartbleed, ca m'a fait réalisé que NextInpact ne redirige pas en https au moment de l'identification (même chose pour le forum), ni même une fois identifie. Bon c'est pas forcement critique mais bon une identification en clair, c'est pas toujours ce qu'il y a de mieux (ne serais-ce que sur le principe). C'est prévu, normal, option a activer, prévu, obi-wan kenobi ?
Posté(e) le 11 avril 201411 a J'avais jamais percuté mais c'est vrai que tout passe en clair. Bon en même temps je me log pas tous les jours non plus, ça reste stocké chez moi (petit cookie je crois)
Posté(e) le 11 avril 201411 a Je viens de faire le test, si tu es en HTTPS, le site reste en HTTPS. Donc je pense que le login se fait en HTTPS. Après, il est vrai qu'on est pas sur un site de banque
Posté(e) le 11 avril 201411 a Auteur Je viens de faire le test, si tu es en HTTPS, le site reste en HTTPS. Donc je pense que le login se fait en HTTPS. Après, il est vrai qu'on est pas sur un site de banque Bah c'est mieux (automatique) depuis que j'ai installe HTTPS Everywhere. Mais comme je disais c'est une question de principe -> je me log quelque part, donc j’envoie mon login/pass, ça serai mieux si ça ne se baladai pas en clair sur le réseau. Par contre pas d'https sur le forum. Modifié le 11 avril 201411 a par Kernelcoffee
Posté(e) le 11 avril 201411 a Je viens de faire le test, si tu es en HTTPS, le site reste en HTTPS. Donc je pense que le login se fait en HTTPS. Après, il est vrai qu'on est pas sur un site de banque Bah c'est mieux (automatique) depuis que j'ai installe HTTPS Everywhere. Mais comme je disais c'est une question de principe -> je me log quelque part, donc j’envoie mon login/pass, ça serai mieux si ça ne se baladai pas en clair sur le réseau. Par contre pas d'https sur le forum. J'ai pas dit que c'était pas bien. Après, mais je pense que tu le sais vu que tu as l'air porté sur la sécu qu'il ne faut pas utilisé les mêmes ID/Password partout. Moi j'ai le même ID quasi partout mais mon mot de passe diffère constamment. C'est juste problématique quand tu ne retrouve pas le mot de passe que tu as utilisé pour tel ou tel site
Posté(e) le 11 avril 201411 a Fais comme moi utilises ton nom et ton N° de CB, comme ça pas besoin de chercher
Posté(e) le 11 avril 201411 a Nan le combo culte azerty1234 est inoubliable Dire que c'est le mot de passe que nombre d'admins en tout genre mettent sur les sessions root de serveurs pro .... Avec sa meme plus besoin de faille, c'est du harakiri Modifié le 11 avril 201411 a par mantisis
Posté(e) le 12 avril 201411 a Et encore, un poil de social engineering, c'est facile. Y'a quelques temps, il m'a fallu redémarrer une machine que j'ai proposé de dépanner (lenteurs--confirmé par une blinde de spywares, entre autres), sauf que le compte utilisateur était protégé par mot de passe. Petite réflexion, et au premier essai, j'ai trouvé : c'était le nom du fils de la personne. Même pas une majuscule. Non vraiment je me demande comment on a pu passer à côté de l'enfer aussi longtemps
Posté(e) le 25 avril 201411 a Je viens de tester, sur le site et le forum, il n'y a pas de redirection HTTPS lors de la connexion. C'est vraiment pas top :( Modifié le 25 avril 201411 a par contre-maitre
Posté(e) le 25 avril 201411 a Navigue sur le site directement en HTTPS, tout reste en HTTPS (authent compris). Pour le forum, ce n'est pas encore d'actualité.
Posté(e) le 25 avril 201411 a Navigue sur le site directement en HTTPS, tout reste en HTTPS (authent compris). Pour le forum, ce n'est pas encore d'actualité. Oui certe, mais combien de personne vont le faire manuellement ? Alors qu'un petit réglage de redirection pour le login résoudrait le problème pour tout le monde.
Posté(e) le 25 avril 201411 a Ah bah oui j'suis d'accord. Mais quitte à être parano, autant l'être jusqu'au bout en attendant l'authentification unifiée (qui sera je pense sécurisé).
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.