Mot de passe utilisateur dévoilé (Insoluble)

C'est plus qu'une suggestion. Il s'agit d'un gros problème de sécurité : à l'inscription sur ce forum, on reçoit un courriel avec notre mot de passe. Celui-ci ne devrait jamais apparaitre en clair. C'est une question basique de sécurité informatique. N'y aurait-il pas moyen dorénavant de remédier à ce gros soucis? Merci.

Hello !
Pour remédier à ce gros trou de sécurité (Imagine, si la NSA s'intéresse à la Taranis, nous sommes cuits ;-) ) il suffit de changer le mot de passe dans le profil.
Je viens d'essayer : Pas de message envoyé, plus de copie, plus de problème...

Bonne journée,

Coyotte

CoyotteDundee a écrit:Hello !
Pour remédier à ce gros trou de sécurité (Imagine, si la NSA s'intéresse à la Taranis, nous sommes cuits ;-) ) il suffit de changer le mot de passe dans le profil.
Je viens d'essayer : Pas de message envoyé, plus de copie, plus de problème...

Bonne journée,

Coyotte

Salut Coyotte,

Ce n'est pas mon but de vexer quiconque. Je relève simplement que c'est une procédure erronée. Et s'il y a moyen de la corriger pour les futurs inscrits tant mieux. personnellement, j'ai supprimé ce message + suppression de la corbeille.

C'est la même optique que les Cci dans les courriels. Je reçois des fois des courriels avec 300 adresses email de personnes que je ne connais pas, alors qu'il est facile de les mettre dans les cci (Copie Carbone invisible). Si ma machine est infestée, elle ira infester la machine de 300 personnes, et chacun..., et quand j'explique aux gens que ça ne se fait pas, ils poussent des grands cris d'orfraies, comme si je les offensais. Désolé, mais ce n'est pas mon but.

Hello Cubitus,

Je ne me suis pas senti vexé du tout... c'était juste de l'humour (Désolé, mais en Belgique, patrie du surréalisme, le second degré est un minimum non négociable ;-) )
Entièrement d'accord avec toi pour les 300 CC. (Pour ma part, je jete ce type de mail sans même y jeter un oeil.)
L'idée générale de ma réponse est qu'il est facile de palier le problème alors que modifier le contenu du mail renvoyé peut nécessiter une intervention dans le code qui gère le forum (si ce n'est pas paramétrable), ce qui n'est pas à la portée de tout le monde.
Bonne journée et bonne découverte de ta radio (je te lis ici et là et cela semble bien avancer... :-) )

Coyotte

Merci Coyotte, et Ouf, un peu rassuré. Je préfère me faire des copains. En effet, j'avance, mais il faut dire que je pars de rien. Aucune connaissance ni en aviation, ni en simulation. C'est pas grave, car c'est passionnant.

Dans ce domaine il faut trimer.   

cubitusclaudius a écrit:C'est plus qu'une suggestion. Il s'agit d'un gros problème de sécurité : à l'inscription sur ce forum, on reçoit un courriel avec notre mot de passe. Celui-ci ne devrait jamais apparaitre en clair. C'est une question basique de sécurité informatique. N'y aurait-il pas moyen dorénavant de remédier à ce gros soucis? Merci.

Suffit de détruire de suite le courriel et c'est tout. N'importe comment il ne s'agit pas d'un mot de passe dévoilé pour qu'il n'est pas transmis à tout les participants du forum. Même l'Administrateur du forum ne peut pas connaitre le mot de passe.

Murphy a écrit:Suffit de détruire de suite le courriel et c'est tout. N'importe comment il ne s'agit pas d'un mot de passe dévoilé pour qu'il n'est pas transmis à tout les participants du forum. Même l'Administrateur du forum ne peut pas connaître le mot de passe.

C'est ce que j'ai fait. Je n'ai aucun doute au sujet des administrateurs, mais le mot de passe transite sur internet par courriel en "clair".

Si c'est facile de faire la modif, faites-la. Aucun site ne renvoie les mot de passe en clair, mais bon, il n'y a pas mort d'homme

Je me demande quelle importance peut avoir un mot de passe de forum. C'est quand pas un code bancaire... A moins que tu utilise le même pour ta banque ou Paypal ? Dans ce cas il faudrait être plus prudent et vite les changer

D'un autre coté cela permet aux étourdis de se rappeler de leur mot de passe pour une connexion. Je m'occupe de deux autres forums concernant des clubs de ma régions et quand je voit certains qui me disent "j'ai pas pu me connecter car je n'ai plus mon mot de passe", bien content de l'avoir gardé parfois.

En plus le système Windows purge périodiquement les connexions aux forums et il faut à nouveau entrer identifiant+MP. Alors autant mêttre un postit au dessus de l'écran

J'ai regarder et aucun endroit qui me propose de modifier ça.

Et je confirme ont a pas accès aux mot de passe.

Par contre beaucoup de forum et site te transmette le mot de passe en clair si tu clique sur "mot de passe oublier".
Suffit de te faire pirater ta boite mail, ensuite la personne fait "mot de passe oublier" et voila, il a accès au forum Taranis.
  


Par contre inutile de pirater ma boite mail ou celle de Totof, les admin n'ont pas cette fonctions.   

Murphy a écrit:Je me demande quelle importance peut avoir un mot de passe de forum. C'est quand pas un code bancaire... A moins que tu utilise le même pour ta banque ou Paypal ? Dans ce cas il faudrait être plus prudent et vite les changer

tout ce qui est codes bancaires, j'ai des mots de passe que je change régulièrement et qui sont aléatoires, donc rien à craindre, mais je pense à d'autres qui sont moins prudents...

Je suis sûr que dans le protocole de la RC il doit y avoir des choses qui mal écrites fonctionnent quand-même dans presque tous les cas. Mais si on peut bien les écrire, c'est mieux. Ce sont des règles de sécurité. Aucun mot de passe ne devrait transiter sur la toile.

Nicolas, la procédure "normale" en cas de perte du mot de passe et d'envoyer un lien pour en refaire un autre, et non de renvoyer le mot de passe. Tous* les sites et forums procèdent de la sorte.

* 99%

Tous les forum de chez Forumactif procède de la même sorte.
Et ça fait beaucoup plus que 1% des sites.

je vient de faire le test sur un forum amis :

Bonjour Nicolas le Banni

Vous recevez cet e-mail parce que vous avez (ou quelqu'un qui prétend être vous) demandé à ce qu'un nouveau mot de passe vous soit envoyé pour votre compte sur "RC Scale Trial, LE FORUM SCALE !" - http://www.rc-scale-trial.net

Si vous n'avez pas demandé cet e-mail, veuillez l'ignorer alors, si vous continuez à le recevoir, veuillez contacter l'administrateur du forum.

Pour utiliser le nouveau mot de passe, vous avez besoin de l'activer en cliquant sur le lien ci-dessous :

Cliquez ici


Si cela réussit, vous pourrez vous connecter avec le mot de passe suivant:

Mot de passe: 82f7f8fa

Vous pouvez bien sur changer vous-même ce mot de passe via votre profil. Si vous rencontrez des difficultés, veuillez contacter l'administrateur du forum.

--
Forum RC Scale

PS: J'ai rechanger le mot de passe après, inutile d'essayer celui là.   



Donc on reçois bien le mot de passe par mail.
 

cubitusclaudius a écrit:
Si c'est facile de faire la modif, faites-la.

Malheureusement, le forum bien que basé sur phpBB, donc open source et qui permettrait de faire "toutes les modifs possibles" est hébergé chez un prestataire qui l'a verrouillé et donc c'est cuitas les bananas pour ce genre de choses.

cubitusclaudius a écrit:
Aucun site ne renvoie les mot de passe en clair,

Euh ça par contre c'est pas vrai, il en existe plus d'un qui t’envoie ton mot de passe par mail, et en général avec le login associé !

cubitusclaudius a écrit: mais bon, il n'y a pas mort d'homme

Patience, ça viendra !

Bon, plus sérieusement, c'est très bien de se soucier de la sécurité informatique, mais 'les vilains pirates' agissent en général à grande échelle, c'est bien plus intéressant de passer des dizaines d'heures à percer un serveur pour récupérer 1000, 10000 ou 100000 login/pass que de passer quelques heures à tenter une intrusion sur un individu précis.

Du coup, la meilleure des protection est de ne pas mélanger ses pass (comme cubitusclaudius semble le faire) et en utiliser des valables.

La majorité des failles à petite échelle viennent d'un problème provenant d'entre la chaise et le clavier, une sorte de sélection naturelle 2.0 au final...

Pour l'exemple hier soir j'ai renouvelé mon abonnement à eCalc. Hé bien j'ai reçu pour confirmation un mail avec mon mot de passe en clair.

Bref c'est pas la Banque de France ni mon compte caché en Suisse. Alors je m'en fout.

.Alex a écrit:mais 'les vilains pirates' agissent en général à grande échelle, c'est bien plus intéressant de passer des dizaines d'heures à percer un serveur pour récupérer 1000, 10000 ou 100000 login/pass que de passer quelques heures à tenter une intrusion sur un individu précis.

Alors là... Il vaut mieux ne pas se bercer de douces illusions !

Ex-responsable du site internet de mon club de modélisme (Donc bien moins connu que ce forum), nous avons été plusieurs fois piratés. Le pirate n'est pas intéressé par l'accès aux données de Pierre, Paul ou Jacques... Ce qui l'intéresse c'est de pouvoir le logger sur le site afin d'utiliser les failles du code (il y en a toujours et comme nous utilisons souvent les mêmes logiciels, elles sont connues) pour spammer ou envoyer des virus à partir de l'infrastructure du site.

Dans ces cas là, l'intérêt du pirate n'est pas dans le contenu du site piraté mais dans l'outil qu'il met à disposition. En conséquence, un "petit" site l'intéresse autant qu'un grand, voire même plus si l'on considère que les petits sont gérés plus souvent par des gens moins concernés par la sécurité... (Ceci n'étant en aucun cas un reproche !!!)

Coyotte

dit Nico ! tu as fini d'utiliser mon forum pour faire des testes !!

crotte, soyann nous a mis a jour, lol

Totof1965 a écrit:crotte, soyann nous a mis a jour, lol

bah vi ça m'arrive de passer par ici, un peu comme toi sur RCST !

Sur tous forums ou je me suis inscrit , le mot de passe nous arrives en clair.
Si on le connait par cœur, on l'efface vite, en faits il transite sur le net en code numérique et non en clair.

Avant j'avais trente six login et mots de passes, un bordel monstre pour tous les retrouver.

Une seule adresse, un passe sécurisé à haute sécurité et le tour est joué.