April 10, 201411 yr Hello, Avec les histoires de heartbleed, ca m'a fait réalisé que NextInpact ne redirige pas en https au moment de l'identification (même chose pour le forum), ni même une fois identifie. Bon c'est pas forcement critique mais bon une identification en clair, c'est pas toujours ce qu'il y a de mieux (ne serais-ce que sur le principe). C'est prévu, normal, option a activer, prévu, obi-wan kenobi ?
April 11, 201411 yr J'avais jamais percuté mais c'est vrai que tout passe en clair. Bon en même temps je me log pas tous les jours non plus, ça reste stocké chez moi (petit cookie je crois)
April 11, 201411 yr Je viens de faire le test, si tu es en HTTPS, le site reste en HTTPS. Donc je pense que le login se fait en HTTPS. Après, il est vrai qu'on est pas sur un site de banque
April 11, 201411 yr Author Je viens de faire le test, si tu es en HTTPS, le site reste en HTTPS. Donc je pense que le login se fait en HTTPS. Après, il est vrai qu'on est pas sur un site de banque Bah c'est mieux (automatique) depuis que j'ai installe HTTPS Everywhere. Mais comme je disais c'est une question de principe -> je me log quelque part, donc j’envoie mon login/pass, ça serai mieux si ça ne se baladai pas en clair sur le réseau. Par contre pas d'https sur le forum. Edited April 11, 201411 yr by Kernelcoffee
April 11, 201411 yr Je viens de faire le test, si tu es en HTTPS, le site reste en HTTPS. Donc je pense que le login se fait en HTTPS. Après, il est vrai qu'on est pas sur un site de banque Bah c'est mieux (automatique) depuis que j'ai installe HTTPS Everywhere. Mais comme je disais c'est une question de principe -> je me log quelque part, donc j’envoie mon login/pass, ça serai mieux si ça ne se baladai pas en clair sur le réseau. Par contre pas d'https sur le forum. J'ai pas dit que c'était pas bien. Après, mais je pense que tu le sais vu que tu as l'air porté sur la sécu qu'il ne faut pas utilisé les mêmes ID/Password partout. Moi j'ai le même ID quasi partout mais mon mot de passe diffère constamment. C'est juste problématique quand tu ne retrouve pas le mot de passe que tu as utilisé pour tel ou tel site
April 11, 201411 yr Nan le combo culte azerty1234 est inoubliable Dire que c'est le mot de passe que nombre d'admins en tout genre mettent sur les sessions root de serveurs pro .... Avec sa meme plus besoin de faille, c'est du harakiri Edited April 11, 201411 yr by mantisis
April 12, 201411 yr Et encore, un poil de social engineering, c'est facile. Y'a quelques temps, il m'a fallu redémarrer une machine que j'ai proposé de dépanner (lenteurs--confirmé par une blinde de spywares, entre autres), sauf que le compte utilisateur était protégé par mot de passe. Petite réflexion, et au premier essai, j'ai trouvé : c'était le nom du fils de la personne. Même pas une majuscule. Non vraiment je me demande comment on a pu passer à côté de l'enfer aussi longtemps
April 25, 201411 yr Je viens de tester, sur le site et le forum, il n'y a pas de redirection HTTPS lors de la connexion. C'est vraiment pas top :( Edited April 25, 201411 yr by contre-maitre
April 25, 201411 yr Navigue sur le site directement en HTTPS, tout reste en HTTPS (authent compris). Pour le forum, ce n'est pas encore d'actualité.
April 25, 201411 yr Navigue sur le site directement en HTTPS, tout reste en HTTPS (authent compris). Pour le forum, ce n'est pas encore d'actualité. Oui certe, mais combien de personne vont le faire manuellement ? Alors qu'un petit réglage de redirection pour le login résoudrait le problème pour tout le monde.
April 25, 201411 yr Ah bah oui j'suis d'accord. Mais quitte à être parano, autant l'être jusqu'au bout en attendant l'authentification unifiée (qui sera je pense sécurisé).
Archived
This topic is now archived and is closed to further replies.