Le forum français des radios FrSKY

Mot de passe utilisateur dévoilé (Insoluble)

Aller en bas

Mot de passe utilisateur dévoilé (Insoluble)

Message par cubitusclaudius le Jeu 3 Juil 2014 - 23:02

C'est plus qu'une suggestion. Il s'agit d'un gros problème de sécurité : à l'inscription sur ce forum, on reçoit un courriel avec notre mot de passe. Celui-ci ne devrait jamais apparaitre en clair. C'est une question basique de sécurité informatique. N'y aurait-il pas moyen dorénavant de remédier à ce gros soucis? Merci.


Dernière édition par cubitusclaudius le Ven 4 Juil 2014 - 16:32, édité 1 fois
avatar
cubitusclaudius

Messages : 81
Date d'inscription : 25/06/2014

Revenir en haut Aller en bas

Re: Mot de passe utilisateur dévoilé (Insoluble)

Message par CoyotteDundee le Ven 4 Juil 2014 - 8:32

Hello !
Pour remédier à ce gros trou de sécurité (Imagine, si la NSA s'intéresse à la Taranis, nous sommes cuits ;-) ) il suffit de changer le mot de passe dans le profil.
Je viens d'essayer : Pas de message envoyé, plus de copie, plus de problème...

Bonne journée,

Coyotte

_________________

Avec OpenTx 2.0, la question n'est plus "Est-ce possible ?" mais "Comment faire pour... ?"
Avec OpenTx 2.1, la question devient "Mais jusqu'où s'arrêteront-ils ?"
Avec OpenTx 2.2, on se dit "Mâtin, ils ont aussi pensé à cela ..."
Lien obligeamment prêté par le Lapin : [Vous devez être inscrit et connecté pour voir ce lien]<<<<<<<
[Vous devez être inscrit et connecté pour voir ce lien] (OO-AB1219)

Nous sommes sur un forum donc pas de support par messagerie privée :-)
avatar
CoyotteDundee

Messages : 2666
Date d'inscription : 03/03/2014
Age : 54
Localisation : Montegnée (Liège)

http://blog.baily-fouss.be/

Revenir en haut Aller en bas

Re: Mot de passe utilisateur dévoilé (Insoluble)

Message par cubitusclaudius le Ven 4 Juil 2014 - 8:56

CoyotteDundee a écrit:Hello !
Pour remédier à ce gros trou de sécurité (Imagine, si la NSA s'intéresse à la Taranis, nous sommes cuits ;-) ) il suffit de changer le mot de passe dans le profil.
Je viens d'essayer : Pas de message envoyé, plus de copie, plus de problème...

Bonne journée,

Coyotte
Salut Coyotte,

Ce n'est pas mon but de vexer quiconque. Je relève simplement que c'est une procédure erronée. Et s'il y a moyen de la corriger pour les futurs inscrits tant mieux. personnellement, j'ai supprimé ce message + suppression de la corbeille.

C'est la même optique que les Cci dans les courriels. Je reçois des fois des courriels avec 300 adresses email de personnes que je ne connais pas, alors qu'il est facile de les mettre dans les cci (Copie Carbone invisible). Si ma machine est infestée, elle ira infester la machine de 300 personnes, et chacun..., et quand j'explique aux gens que ça ne se fait pas, ils poussent des grands cris d'orfraies, comme si je les offensais. Désolé, mais ce n'est pas mon but.
avatar
cubitusclaudius

Messages : 81
Date d'inscription : 25/06/2014

Revenir en haut Aller en bas

Re: Mot de passe utilisateur dévoilé (Insoluble)

Message par CoyotteDundee le Ven 4 Juil 2014 - 9:21

Hello Cubitus,

Je ne me suis pas senti vexé du tout... c'était juste de l'humour (Désolé, mais en Belgique, patrie du surréalisme, le second degré est un minimum non négociable ;-) )
Entièrement d'accord avec toi pour les 300 CC. (Pour ma part, je jete ce type de mail sans même y jeter un oeil.)
L'idée générale de ma réponse est qu'il est facile de palier le problème alors que modifier le contenu du mail renvoyé peut nécessiter une intervention dans le code qui gère le forum (si ce n'est pas paramétrable), ce qui n'est pas à la portée de tout le monde.
Bonne journée et bonne découverte de ta radio (je te lis ici et là et cela semble bien avancer... :-) )

Coyotte

_________________

Avec OpenTx 2.0, la question n'est plus "Est-ce possible ?" mais "Comment faire pour... ?"
Avec OpenTx 2.1, la question devient "Mais jusqu'où s'arrêteront-ils ?"
Avec OpenTx 2.2, on se dit "Mâtin, ils ont aussi pensé à cela ..."
Lien obligeamment prêté par le Lapin : [Vous devez être inscrit et connecté pour voir ce lien]<<<<<<<
[Vous devez être inscrit et connecté pour voir ce lien] (OO-AB1219)

Nous sommes sur un forum donc pas de support par messagerie privée :-)
avatar
CoyotteDundee

Messages : 2666
Date d'inscription : 03/03/2014
Age : 54
Localisation : Montegnée (Liège)

http://blog.baily-fouss.be/

Revenir en haut Aller en bas

Re: Mot de passe utilisateur dévoilé (Insoluble)

Message par cubitusclaudius le Ven 4 Juil 2014 - 9:29

Merci Coyotte, et Ouf, un peu rassuré. Je préfère me faire des copains. En effet, j'avance, mais il faut dire que je pars de rien. Aucune connaissance ni en aviation, ni en simulation. C'est pas grave, car c'est passionnant.

Dans ce domaine il faut trimer.  Laughing 
avatar
cubitusclaudius

Messages : 81
Date d'inscription : 25/06/2014

Revenir en haut Aller en bas

Re: Mot de passe utilisateur dévoilé (Insoluble)

Message par Invité le Ven 4 Juil 2014 - 12:27

cubitusclaudius a écrit:C'est plus qu'une suggestion. Il s'agit d'un gros problème de sécurité : à l'inscription sur ce forum, on reçoit un courriel avec notre mot de passe. Celui-ci ne devrait jamais apparaitre en clair. C'est une question basique de sécurité informatique. N'y aurait-il pas moyen dorénavant de remédier à ce gros soucis? Merci.

Suffit de détruire de suite le courriel et c'est tout. N'importe comment il ne s'agit pas d'un mot de passe dévoilé pour qu'il n'est pas transmis à tout les participants du forum. Même l'Administrateur du forum ne peut pas connaitre le mot de passe.

Invité
Invité


Revenir en haut Aller en bas

Re: Mot de passe utilisateur dévoilé (Insoluble)

Message par cubitusclaudius le Ven 4 Juil 2014 - 12:55

Murphy a écrit:Suffit de détruire de suite le courriel et c'est tout. N'importe comment il ne s'agit pas d'un mot de passe dévoilé pour qu'il n'est pas transmis à tout les participants du forum. Même l'Administrateur du forum ne peut pas connaître le mot de passe.
C'est ce que j'ai fait. Je n'ai aucun doute au sujet des administrateurs, mais le mot de passe transite sur internet par courriel en "clair".

Si c'est facile de faire la modif, faites-la. Aucun site ne renvoie les mot de passe en clair, mais bon, il n'y a pas mort d'homme
avatar
cubitusclaudius

Messages : 81
Date d'inscription : 25/06/2014

Revenir en haut Aller en bas

Re: Mot de passe utilisateur dévoilé (Insoluble)

Message par Invité le Ven 4 Juil 2014 - 12:59

Je me demande quelle importance peut avoir un mot de passe de forum. C'est quand pas un code bancaire... A moins que tu utilise le même pour ta banque ou Paypal ? Dans ce cas il faudrait être plus prudent et vite les changer

D'un autre coté cela permet aux étourdis de se rappeler de leur mot de passe pour une connexion. Je m'occupe de deux autres forums concernant des clubs de ma régions et quand je voit certains qui me disent "j'ai pas pu me connecter car je n'ai plus mon mot de passe", bien content de l'avoir gardé parfois.

En plus le système Windows purge périodiquement les connexions aux forums et il faut à nouveau entrer identifiant+MP. Alors autant mêttre un postit au dessus de l'écran


Dernière édition par Murphy le Ven 4 Juil 2014 - 13:09, édité 1 fois

Invité
Invité


Revenir en haut Aller en bas

Re: Mot de passe utilisateur dévoilé (Insoluble)

Message par Nicolas le Banni le Ven 4 Juil 2014 - 13:03

J'ai regarder et aucun endroit qui me propose de modifier ça.

Et je confirme ont a pas accès aux mot de passe.

Par contre beaucoup de forum et site te transmette le mot de passe en clair si tu clique sur "mot de passe oublier".
Suffit de te faire pirater ta boite mail, ensuite la personne fait "mot de passe oublier" et voila, il a accès au forum Taranis.
 Wink 


Par contre inutile de pirater ma boite mail ou celle de Totof, les admin n'ont pas cette fonctions.  Twisted Evil 

_________________
 [Vous devez être inscrit et connecté pour voir ce lien]  
avatar
Nicolas le Banni

Messages : 841
Date d'inscription : 29/07/2013
Age : 42
Localisation : Angers

http://train-miniature-libr.forumgratuit.org/

Revenir en haut Aller en bas

Re: Mot de passe utilisateur dévoilé (Insoluble)

Message par cubitusclaudius le Ven 4 Juil 2014 - 13:08

Murphy a écrit:Je me demande quelle importance peut avoir un mot de passe de forum. C'est quand pas un code bancaire... A moins que tu utilise le même pour ta banque ou Paypal ? Dans ce cas il faudrait être plus prudent et vite les changer
tout ce qui est codes bancaires, j'ai des mots de passe que je change régulièrement et qui sont aléatoires, donc rien à craindre, mais je pense à d'autres qui sont moins prudents...

Je suis sûr que dans le protocole de la RC il doit y avoir des choses qui mal écrites fonctionnent quand-même dans presque tous les cas. Mais si on peut bien les écrire, c'est mieux. Ce sont des règles de sécurité. Aucun mot de passe ne devrait transiter sur la toile.

Nicolas, la procédure "normale" en cas de perte du mot de passe et d'envoyer un lien pour en refaire un autre, et non de renvoyer le mot de passe. Tous* les sites et forums procèdent de la sorte.

* 99%
avatar
cubitusclaudius

Messages : 81
Date d'inscription : 25/06/2014

Revenir en haut Aller en bas

Re: Mot de passe utilisateur dévoilé (Insoluble)

Message par Nicolas le Banni le Ven 4 Juil 2014 - 13:31

Tous les forum de chez Forumactif procède de la même sorte.
Et ça fait beaucoup plus que 1% des sites.

je vient de faire le test sur un forum amis :

Bonjour Nicolas le Banni

Vous recevez cet e-mail parce que vous avez (ou quelqu'un qui prétend être vous) demandé à ce qu'un nouveau mot de passe vous soit envoyé pour votre compte sur "RC Scale Trial, LE FORUM SCALE !" - [Vous devez être inscrit et connecté pour voir ce lien]

Si vous n'avez pas demandé cet e-mail, veuillez l'ignorer alors, si vous continuez à le recevoir, veuillez contacter l'administrateur du forum.

Pour utiliser le nouveau mot de passe, vous avez besoin de l'activer en cliquant sur le lien ci-dessous :

Cliquez ici


Si cela réussit, vous pourrez vous connecter avec le mot de passe suivant:

Mot de passe: 82f7f8fa

Vous pouvez bien sur changer vous-même ce mot de passe via votre profil. Si vous rencontrez des difficultés, veuillez contacter l'administrateur du forum.

--
Forum RC Scale


PS: J'ai rechanger le mot de passe après, inutile d'essayer celui là.  Razz 



Donc on reçois bien le mot de passe par mail.
 Wink


Dernière édition par Nicolas le Banni le Sam 12 Juil 2014 - 10:05, édité 1 fois

_________________
 [Vous devez être inscrit et connecté pour voir ce lien]  
avatar
Nicolas le Banni

Messages : 841
Date d'inscription : 29/07/2013
Age : 42
Localisation : Angers

http://train-miniature-libr.forumgratuit.org/

Revenir en haut Aller en bas

Re: Mot de passe utilisateur dévoilé (Insoluble)

Message par .AleX. le Sam 12 Juil 2014 - 2:15

cubitusclaudius a écrit:
Si c'est facile de faire la modif, faites-la.

Malheureusement, le forum bien que basé sur phpBB, donc open source et qui permettrait de faire "toutes les modifs possibles" est hébergé chez un prestataire qui l'a verrouillé et donc c'est cuitas les bananas pour ce genre de choses.

cubitusclaudius a écrit:
Aucun site ne renvoie les mot de passe en clair,

Euh ça par contre c'est pas vrai, il en existe plus d'un qui t’envoie ton mot de passe par mail, et en général avec le login associé !


cubitusclaudius a écrit: mais bon, il n'y a pas mort d'homme
Patience, ça viendra !

Bon, plus sérieusement, c'est très bien de se soucier de la sécurité informatique, mais 'les vilains pirates' agissent en général à grande échelle, c'est bien plus intéressant de passer des dizaines d'heures à percer un serveur pour récupérer 1000, 10000 ou 100000 login/pass que de passer quelques heures à tenter une intrusion sur un individu précis.

Du coup, la meilleure des protection est de ne pas mélanger ses pass (comme cubitusclaudius semble le faire) et en utiliser des valables.

La majorité des failles à petite échelle viennent d'un problème provenant d'entre la chaise et le clavier, une sorte de sélection naturelle 2.0 au final...
avatar
.AleX.

Messages : 1457
Date d'inscription : 24/11/2013
Localisation : Clermont-Fd(63) ou parfois Annecy(74)

Revenir en haut Aller en bas

Re: Mot de passe utilisateur dévoilé (Insoluble)

Message par Invité le Sam 12 Juil 2014 - 9:37

Pour l'exemple hier soir j'ai renouvelé mon abonnement à eCalc. Hé bien j'ai reçu pour confirmation un mail avec mon mot de passe en clair.

Bref c'est pas la Banque de France ni mon compte caché en Suisse. Alors je m'en fout.

Invité
Invité


Revenir en haut Aller en bas

Re: Mot de passe utilisateur dévoilé (Insoluble)

Message par CoyotteDundee le Sam 12 Juil 2014 - 14:42

.Alex a écrit:mais 'les vilains pirates' agissent en général à grande échelle, c'est bien plus intéressant de passer des dizaines d'heures à percer un serveur pour récupérer 1000, 10000 ou 100000 login/pass que de passer quelques heures à tenter une intrusion sur un individu précis.

Alors là... Il vaut mieux ne pas se bercer de douces illusions !

Ex-responsable du site internet de mon club de modélisme (Donc bien moins connu que ce forum), nous avons été plusieurs fois piratés. Le pirate n'est pas intéressé par l'accès aux données de Pierre, Paul ou Jacques... Ce qui l'intéresse c'est de pouvoir le logger sur le site afin d'utiliser les failles du code (il y en a toujours et comme nous utilisons souvent les mêmes logiciels, elles sont connues) pour spammer ou envoyer des virus à partir de l'infrastructure du site.

Dans ces cas là, l'intérêt du pirate n'est pas dans le contenu du site piraté mais dans l'outil qu'il met à disposition. En conséquence, un "petit" site l'intéresse autant qu'un grand, voire même plus si l'on considère que les petits sont gérés plus souvent par des gens moins concernés par la sécurité... (Ceci n'étant en aucun cas un reproche !!!)

Coyotte

_________________

Avec OpenTx 2.0, la question n'est plus "Est-ce possible ?" mais "Comment faire pour... ?"
Avec OpenTx 2.1, la question devient "Mais jusqu'où s'arrêteront-ils ?"
Avec OpenTx 2.2, on se dit "Mâtin, ils ont aussi pensé à cela ..."
Lien obligeamment prêté par le Lapin : [Vous devez être inscrit et connecté pour voir ce lien]<<<<<<<
[Vous devez être inscrit et connecté pour voir ce lien] (OO-AB1219)

Nous sommes sur un forum donc pas de support par messagerie privée :-)
avatar
CoyotteDundee

Messages : 2666
Date d'inscription : 03/03/2014
Age : 54
Localisation : Montegnée (Liège)

http://blog.baily-fouss.be/

Revenir en haut Aller en bas

Re: Mot de passe utilisateur dévoilé (Insoluble)

Message par soyann le Jeu 31 Juil 2014 - 3:02

dit Nico ! tu as fini d'utiliser mon forum pour faire des testes !! Very Happy
avatar
soyann

Messages : 19
Date d'inscription : 27/02/2014
Age : 41

http://www.rc-scale-trial.net

Revenir en haut Aller en bas

Re: Mot de passe utilisateur dévoilé (Insoluble)

Message par Totof1965 le Jeu 31 Juil 2014 - 15:27

crotte, soyann nous a mis a jour, lol

_________________
Premier batch de Taranis, je suis conquis
Soyez sympa présentez vous, c'est plus cool : [Vous devez être inscrit et connecté pour voir ce lien]

[Vous devez être inscrit et connecté pour voir ce lien]
avatar
Totof1965

Messages : 941
Date d'inscription : 23/07/2013
Age : 53
Localisation : Blain

Revenir en haut Aller en bas

Re: Mot de passe utilisateur dévoilé (Insoluble)

Message par soyann le Lun 17 Nov 2014 - 9:31

Totof1965 a écrit:crotte, soyann nous a mis a jour, lol


bah vi ça m'arrive de passer par ici, un peu comme toi sur RCST ! Laughing Laughing Laughing Laughing Razz
avatar
soyann

Messages : 19
Date d'inscription : 27/02/2014
Age : 41

http://www.rc-scale-trial.net

Revenir en haut Aller en bas

Re: Mot de passe utilisateur dévoilé (Insoluble)

Message par jpg74 le Mar 9 Déc 2014 - 13:36

Sur tous forums ou je me suis inscrit , le mot de passe nous arrives en clair.
Si on le connait par cœur, on l'efface vite, en faits il transite sur le net en code numérique et non en clair.

Avant j'avais trente six login et mots de passes, un bordel monstre pour tous les retrouver.

Une seule adresse, un passe sécurisé à haute sécurité et le tour est joué.
avatar
jpg74

Messages : 568
Date d'inscription : 19/11/2014
Age : 73
Localisation : La Balme de Sillingy 74330

Revenir en haut Aller en bas

Re: Mot de passe utilisateur dévoilé (Insoluble)

Message par Contenu sponsorisé


Contenu sponsorisé


Revenir en haut Aller en bas

Revenir en haut

- Sujets similaires

 
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum