+ Le chant du vario +

Forum de parapente

29 Mars 2024 - 14:11:19 *
Bienvenue, Invité. Veuillez vous connecter ou vous inscrire.
Avez-vous perdu votre mot de passe ?
Avez-vous perdu votre courriel d'activation?

Connexion avec identifiant, mot de passe et durée de la session
  Site   forum   Aide Groupes Calendrier Identifiez-vous Inscrivez-vous        GPS2GE Balises  
Pages: [1]   Bas de page
  Imprimer  
Auteur Fil de discussion: Problème de sécurité avec les mots de passe  (Lu 2204 fois)
0 Membres et 1 Invité sur ce fil de discussion.
iBelieveHikeAndFlyyyy
débutant(e)
**
En ligne En ligne

pratique principale: vol / site
Messages: 10


« le: 25 Juin 2019 - 22:58:37 »

Bonjour tout le monde,

[Message en priorité aux admins du site web pour signaler un problème de sécurité]

J'ai vu en m'inscrivant enfin au forum que mon mot de passe m'est renvoyé par mail. J'imagine bien que la majorité des parapentistes ne sont pas des cadors de l'informatiques et de sa sécurité, mais renvoyé comme cela un mot de passe est une bien bonne erreur (Assez commune sur les vieux sites web).
Je m'explique premièrement cela veut dire que le mot de passe de tous les utilisateurs sont au moins à un moment dans leur boite mail (Si ce n'est tout le temps s'il n'est pas supprimé). Cela veut dire que n'importe qui qui a accès à une des boites mails peut trouver ce mot de passe. Comment ? En profitant de failles dans les services des fournisseurs de mail, ce n'est pas forcément courant mais cela arrive (https://fr.wikipedia.org/wiki/Yahoo!#Vol_de_donn%C3%A9es) ou tout simplement si cet utilisateur utilise un mot de passe trop faible sur son compte mail.
Bon maintenant que l'on voit que quelqu'un peut pirater une boite mail, que pourrait il faire avec le compte du Chant du vario ? Sur le forum pas grand chose à par balancer du spam troller les sujets de discutions d'accord. A votre avis combien d'utilisateur du forum utilise le même mot de passe (ou presque) pour plusieurs comptes sur internet (ou à leur travail) ? Là on peut arriver dans un état un peu plus critique.

Au vu de la situation, il est possible aussi de réfléchir à comment sont stockés les mots de passe dans la base de données du forum. On reçoit notre mot de passe en clair, cela veut dire que le forum le détient à un moment, soit il "rédige"  en réponse immédiate de l'inscription et sécurise le mot de passe ensuite. Soit il stocke aussi le mot de passe en clair et là c'est maintenant une très grosse erreur. Un mot de passe doit être stocké après être passé par un algorithme ne permettant pas de retrouver le mot de passe à partir de la donnée stocké, même pour le forum (http://www.coopernet.fr/infos/securite/gerer-mot-de-passe).
Dans l'éventualité où les mots de passe sont stockés directement en clair, lorsqu'un mec arrivera à pirater la base de données, tous les mots de passe seront récupéré en même temps, ce qui décuple le risque précédement explique. 

Bon j'imagine que vous vous dites que je viens bien vous faire chier pour rien, mais gardez bien en tête que vous ne voyez pas les risques et comment tout cela est possible, d'autres le savent et vous en remercie ! salut ! Inutile de leur rendre la tâche facile.

Je rajoute en lien quelques liens:
- Des recommandations sur la gestion des mots de passe par la CNIL: https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires
- Pour tous les visiteurs... et tous les autres, on site permettant de tester si des mots de passe de comptes utilisé par une adresse mail apparait dans les piratage connu (Tester tous c'est rapide et très utile): https://haveibeenpwned.com/

Sur ce bonne journée et bons vols à tous !
Signaler au modérateur   parapente Enregistrée
piwaille
l'(quasi)modo
Administrateur
enrouleur(se) de thermique
*****
Hors ligne Hors ligne

Aile: pure bleu/rouge
pratique principale: cross
vols: bientôt 900 vols
Messages: 124




WWW
« Répondre #1 le: 26 Juin 2019 - 09:44:52 »

Bonjour .. et merci pour ton alerte

Je te confirme que, dans la base de données, les mots de passe sont cryptés. Le mot de passe est donc envoyé lors de l'inscription.

Je confirme aussi que c'est une très bonne idée d'avoir un mot de passe pour chaque site (ou au moins une logique de création de mot de passe qui permet de créer des mots de passe uniques, sachant qu'il faudrait avoir plusieurs schémas de génération de mot de passe selon plusieurs secteurs)
Signaler au modérateur   parapente Enregistrée

Pas de support par MP. Utilisez http://www.parapentiste.info/forum/le-chant-du-vario-b53.0/
Citation de: Bernard Werber
"L'important n'est pas de convaincre, mais de donner à réfléchir"
montblanc
Invité
« Répondre #2 le: 26 Juin 2019 - 11:30:12 »

Bonjour .. et merci pour ton alerte

Je te confirme que, dans la base de données, les mots de passe sont cryptés chiffrés. Le mot de passe est donc envoyé lors de l'inscription.

Je confirme aussi que c'est une très bonne idée d'avoir un mot de passe pour chaque site (ou au moins une logique de création de mot de passe qui permet de créer des mots de passe uniques, sachant qu'il faudrait avoir plusieurs schémas de génération de mot de passe selon plusieurs secteurs)

Le soucis c'est qu'avec smf1 on ne peut pas désactiver ce putain de mail qui ne sert à rien.
Je dois faire un passage en version smf2 d'un forum qui est en version 1, je te dirais si c'est chiant et si ça vaut le coup ...
Signaler au modérateur   parapente Enregistrée
piwaille
l'(quasi)modo
Administrateur
enrouleur(se) de thermique
*****
Hors ligne Hors ligne

Aile: pure bleu/rouge
pratique principale: cross
vols: bientôt 900 vols
Messages: 124




WWW
« Répondre #3 le: 26 Juin 2019 - 11:42:37 »

ah ben j'ai déjà la réponse par rapport au chiant !
c'est juste pas faisable sur le chant du vario. J'ai fait tourner plusieurs proto de migration, à chaque fois la migration de la BDD foire (elle est trop grosse)
Signaler au modérateur   parapente Enregistrée

Pas de support par MP. Utilisez http://www.parapentiste.info/forum/le-chant-du-vario-b53.0/
Citation de: Bernard Werber
"L'important n'est pas de convaincre, mais de donner à réfléchir"
Hub
zéroteur (se)
****
Hors ligne Hors ligne

Aile: Hook2 + Escape airbag
pratique principale: apprends à voler
vols: env. 350 vols
Messages: 69



« Répondre #4 le: 26 Juin 2019 - 12:02:10 »

Y'a pas moyen de trouver le bout de code qui envoie ça, et de le hacker (commenter la ligne kivabien) ?
Signaler au modérateur   parapente Enregistrée

Il faut être fou pour sauter d'une montagne en parfait état de marche.
montblanc
Invité
« Répondre #5 le: 26 Juin 2019 - 13:24:44 »

Y'a pas moyen de trouver le bout de code qui envoie ça, et de le hacker (commenter la ligne kivabien) ?
Si c'est faisable assez facilement. Après faut plus faire de mises à jour ... mais ça c'est facile cette branche 1 du forum n'a plus de mises à jour ...
Signaler au modérateur   parapente Enregistrée
montblanc
Invité
« Répondre #6 le: 26 Juin 2019 - 13:27:11 »

ah ben j'ai déjà la réponse par rapport au chiant !
c'est juste pas faisable sur le chant du vario. J'ai fait tourner plusieurs proto de migration, à chaque fois la migration de la BDD foire (elle est trop grosse)
Tu importes ta base chez toi. Tu fais la migration de la base sur ta machine, et tu la réimporte (avec le script BigDump qui mouline l'import SQL directement sur le serveur sinon c'est mort : https://www.ozerov.de/bigdump/ )
Signaler au modérateur   parapente Enregistrée
iBelieveHikeAndFlyyyy
débutant(e)
**
En ligne En ligne

pratique principale: vol / site
Messages: 10


« Répondre #7 le: 01 Juillet 2019 - 19:40:37 »

J'y repensais pour supprimer le mot de passe du mail d'inscription, il doit suffir de trouver dans le template de mail la ligne où il apparait et de la supprimer. Un simple "grep -r" avec les premiers mots de la ligne sur le dossier racine du site web permettra de trouver le bon fichier. 
Signaler au modérateur   parapente Enregistrée
Pages: [1]   Haut de page
  Imprimer  
 
Aller à:  

parapente gratuit
Propulsé par MySQL Propulsé par PHP Powered by SMF 1.1.19 | SMF © 2006, Simple Machines XHTML 1.0 Transitionnel valide ! CSS valide !
Page générée en 0.326 secondes avec 20 requêtes.