Brèves

WebTV

Actualité de la scène

Compétitions

Forum
Index du forum > VaKarM > Le bistrot > Alerte sécurité Vakarm
Alerte sécurité Vakarm - 24 messages, 7004 vues
Page 1 sur 3
1
2
3
1er message
Par BringBackHTTPS - 08/05/2018 15:30:07
Hello,

Votre navigateur vous l'a peut-être fait remarquer, le site n'est plus sécurisé.
Le certificat ssl/tls est invalide et donc https n'est pas disponible.

J'ai inspecté en 2 2 le html du site, à priori il y a pas de .js appelé à la connexion, c'est un simple formulaire, donc quand vous vous connectez vos login et mots de passe transitent en clair sur les réseaux. Je peux me tromper là dessus.

Que faire ?

- Ne pas vous connecter au site, surtout si vous utilisez le même login/mot de passe ailleurs
S'ils transitent en clair comme je le pense, vous pouvez vous les faire voler.

- Si vous êtes connectés, déconnectez vous.
Sans https, votre connexion est vulnérable au vol de session, et Vakarm permet de changer de mot de passe sans retaper l'ancien. Autrement dit, à partir du moment ou vous naviguez sur Vakarm en étant connectés, on peut vous voler votre compte.

- Si vous voulez continuer à commenter/poster/voter, faites vous un compte temporaire avec un mot de passe spécifique, comme je l'ai fait pour poster ce message.
Réponse #2
Par BringBackHTTPS - 08/05/2018 15:49:28
Oui donc je viens de tester et je confirme, login / mdp sont envoyés en clair
Réponse #3
Par FUN - 08/05/2018 16:10:06 - Modifié le 08/05/2018 16:12:20 - Ce membre est banni définitivement
C'est qui derrière le compte ?

J'ai jamais vu le https sur Vakarm de mémoire
Réponse #5
Par scylk - 08/05/2018 16:57:10
Moi.
Ok donc apparemment y'a jamais eu d'https sur le site.
Ça me troue le cul, comment on peut laisser ses utilisateurs balancer leurs mots de passe en clair ?
Sans les avertir en plus... Genre là un utilisateur qui utilise le même mdp ici que sur Linkedin, facebook, paypal ou autre tu peux vraiment lui niquer sa vie.

Si https c'est trop compliqué, au moins mettre un genre de challenge-response ?
Et demander l'ancien mot de passe pour modifier le nouveau, parce que là vol de session = vol de compte.

C'est chaud quand même, pour un site de cette taille, en 2018...
Si y'a besoin de main d'oeuvre en dev ça peut m'intéresser
Réponse #6
Par FUN - 08/05/2018 18:16:48 - Ce membre est banni définitivement
Ha bah je peux te dire que des comptes hack sur Vakarm il y en a eu (coucou Younix si tu me vois mdr). Après depuis tout ce temps personne a eu de problèmes on dirait, et la base d'Internet c'est de ne pas avoir le même MDP partout
Réponse #7
Par pocahontas - 08/05/2018 20:06:11
Ce sera corriger sur la nouvelle version du site. C'est la seule explication logique du pourquoi ils ne se sont pas embêter à le mettre.
Réponse #8
Par MAJIID - 08/05/2018 20:15:44
salut
Le passage en HTTPS n'est pas aussi simple que installé un certificat SSL/TLS, c'est justement que le début car il faut rendre le site entièrement compatible, images, js, redirection ect...
Réponse #9
Par MiKY' - 08/05/2018 21:15:20
Effectivement, les bénévoles développeurs préfèrent travailler sur la future version du site plutôt que de coller des bouts de scotchs sur cette version.
Et comme le dit FUN, il est fortement conseillé d'utiliser différents mot de passe pour chacun de ses comptes internet.
C'est très simple, et la plupart des navigateurs et smartphone proposent d'enregistrer les mots de passe sur chaque sites.
Enfin, il existe des coffre-fort à mot de passe comme LastPass, qui permettent d'enfermer ses mots de passe et de ne les sortir que lorsqu'on le souhaite.
Réponse #10
Par flingueur - 08/05/2018 23:08:12
les mecs qui croient qu'on est anonyme sur internet et nos mdp sont safes en 2018 ... lol

vous savez que dès que vous vous connectez un wifi public on peut TOUT savoir sur quel site vous allez à l'instant t
Page 1 sur 3
1
2
3