[résolu] Probleme De Securite !!!

Lcf.vs · Le 13/04/2010, à 14:11

Les liens de changement de mot de passe contenus dans les mails sont toujours actifs après utilisation... o_O

Dernière modification par Lcf.vs (Le 13/04/2010, à 16:17)

xabilon · Le 13/04/2010, à 14:57

Salut

Tu peux être plus précis ? tu parles du lien d'activation du mot de passe reçu à l'inscription, ou au changement de mot de passe ?

Lcf.vs · Le 13/04/2010, à 15:00

Celui du changement de mot de passe...

Donc, si quelqu'un accède à ta boite et copie le lien, celui-ci va être réutilisable ad vitam, quel que soit le nombre de fois que tu le modifies... o_O

Lcf.vs · Le 13/04/2010, à 15:02

Et, s'il n'y a eu de vérification de ce côté-là, vaut mieux vérifier la sécurité autour de l'autre aussi, on est jamais trop prudent... ^^

xabilon · Le 13/04/2010, à 15:33

Euh .. je ne crois pas. Lorsqu'on modifie son mot de passe, l'ancien ne sert plus à rien, et est remplacé par le nouveau dans la BDD (crypté, bien entendu)

Le lien dont tu parles est un lien d'activation du mot de passe, quelqu'il soit. Le fait de cliquer sur le lien ne change pas le mot de passe, si il n'y a aucun mot de passe en attente d'être activé.

À noter que tu peux changer ton mot de passe directement dans ton profil, donc pas de mail ni de lien d'activation.

Lcf.vs · Le 13/04/2010, à 15:38

Eh bien, j'ai fait le test...

Ayant une mémoire de poisson-rouge, j'oublie toujours mes mots de passe.

Dernière fois que ça m'est arrivé, j'en ai redemandé un, l'ai activé et utilisé.

Ce jour, ayant à nouveau oublié mon mot de passe, je suis allé récupérer celui que le site m'a envoyé (copié-collé) -> identifiants erronés.

J'ai cliqué sur le lien -> mot de passe activé o_0

J'ai donc refait un coller et me voici...

Il y a donc bien un problème.

xabilon · Le 13/04/2010, à 15:50

Je vais faire des tests avec un compte utilisateur ...

À noter que, quand tu dis :

si quelqu'un accède à ta boite et copie le lien

ça implique déjà un problème de sécurité au niveau de ta boîte mail

Je vais vérifier tout ça, merci en tout cas d'avoir soulevé un éventuel problème

Lcf.vs · Le 13/04/2010, à 15:55

Au niveau de la boite mail, au niveau du poste client sur lequel on ouvre sa messagerie mail, de la confiance que l'on peut avoir en les personnes qui pourraient avoir accès à ce poste client, il y a pas mal de facteurs qui peuvent entre en ligne de compte, mais c'est à vous de sécuriser cela, car trop peu d'utilisateurs sont vigilants et en sont conscients... sans vouloir vous commander, hein...

De rien, étant moi-même développeur web, si quelqu'un remarquait une faille, je serais heureux qu'on m'en avertisse, donc je fais pareil, c'est juste logique...

Bonne continuation.

xabilon · Le 13/04/2010, à 16:06

Bon, alors quelques résultats, avec un compte utilisateur :
- demande de nouveau mot de passe, réception et activation : le nouveau mot de passe fonctionne.
- redemande d'un nouveau mot de passe, réception et activation : celui-ci fonctionne aussi.
Jusqu'ici rien d'anormal

Tentative d'activation avec le lien d'activation du 1er mot de passe demandé, puis tentative de connexion avec le 1er mot de passe reçu : mot de passe erroné.

Ensuite, tentative de nouvelle d'activation avec le lien du 2ème mot de passe reçu : erreur "clé d'activation expirée", mais le 2ème mdp fonctionne toujours

Pour l'instant, même en ayant suivi le lien d'activation du 1er mot de passe, après avoir activé le 2ème, c'est toujours le 2ème mot de passe qui est actif, donc je ne vois pas de problème.

En revanche, il se peut qu'il y ai une certaine confusion créée, en raison des connexions automatiques et des cookies, voire des mots de passe retenus par ton navigateur.

La gestion des mdp utilisée sur ce forum est celle du moteur FluxBB par défaut (d'ailleurs on préfère ne même pas y toucher), donc ça m'étonne que ce problème n'ai pas déjà été soulevé.
La doc d'Ubuntu-fr utilise la base de données utilisateurs du forum, mais les modifications de profil ne peuvent se faire que par le forum.

Je peux toujours me renseigner sur le forum dédié à FluxBB

Dernière modification par xabilon (Le 13/04/2010, à 16:13)

Lcf.vs · Le 13/04/2010, à 16:12

Je viens de re-modifier mon mot de passe et, en effet, il y a bien blocage...

Bon, il est probable que cela vienne du cas dont tu parles, puisque ça a l'air en ordre, je te prie de m'excuser pour le dérangement...

xabilon · Le 13/04/2010, à 16:15

Pas de souci

Si tu es en connexion automatique, tu te connecteras automatiquement avec le dernier mot de passe mémorisé lors de ta connexion.
Peut-être l'ancien lien d'activation a été "sauté" lorsque tu as cliqué dessus, et tu t'es retrouvé automatiquement connecté, mais toujours avec ton mot de passe actuel

Lcf.vs · Le 13/04/2010, à 16:23

C'est ce à quoi j'ai pensé, comme je te le disais, je suis développeur web et je me spécialise dans une nouvelle technique de développement (avec une plus value en sécurité) donc j'en connais bien le fonctionnement.

Mais, non, le lien n'a pas été sauté, puisque j'ai dû entrer à nouveau les identifiants... et, là, c'est pas ma mémoire qui m'joue des tours, pourtant... xD

xabilon · Le 13/04/2010, à 16:31

pour revenir là-dessus

Lcf.vs a écrit :

Au niveau de la boite mail, au niveau du poste client sur lequel on ouvre sa messagerie mail, de la confiance que l'on peut avoir en les personnes qui pourraient avoir accès à ce poste client, il y a pas mal de facteurs qui peuvent entre en ligne de compte, mais c'est à vous de sécuriser cela, car trop peu d'utilisateurs sont vigilants et en sont conscients.

Si quelqu'un a effectivement accès à ta boîte mail, et que tu as gardé le dernier message reçu suite à une demande de mot de passe, cette personne aura accès à ton identifiant et à ton mot de passe actuel (sauf si tu l'as changé toi-même, entretemps, dans ton profil), sans avoir besoin d'aller sur le lien d'activation.
Il pourra donc se connecter sur ton compte, jusqu'à ce que tu t'en aperçoives et redemandes un nouveau mdp.

Mais là on n'y peut strictement rien

Lcf.vs · Le 13/04/2010, à 16:35

Moui, il y a de bonnes habitudes à prendre côté utilisateur...

Par contre, pour ce qui est de ne rien y pouvoir, dès que j'aurai trouvé comment faire un nouveau type de certificats SSL, je démontrerai le contraire...

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 13/04/2010, à 14:11

[résolu] Probleme De Securite !!!

#2 Le 13/04/2010, à 14:57

Re : [résolu] Probleme De Securite !!!

#3 Le 13/04/2010, à 15:00

Re : [résolu] Probleme De Securite !!!

#4 Le 13/04/2010, à 15:02

Re : [résolu] Probleme De Securite !!!

#5 Le 13/04/2010, à 15:33

Re : [résolu] Probleme De Securite !!!

#6 Le 13/04/2010, à 15:38

Re : [résolu] Probleme De Securite !!!

#7 Le 13/04/2010, à 15:50

Re : [résolu] Probleme De Securite !!!

#8 Le 13/04/2010, à 15:55

Re : [résolu] Probleme De Securite !!!

#9 Le 13/04/2010, à 16:06

Re : [résolu] Probleme De Securite !!!

#10 Le 13/04/2010, à 16:12

Re : [résolu] Probleme De Securite !!!

#11 Le 13/04/2010, à 16:15

Re : [résolu] Probleme De Securite !!!

#12 Le 13/04/2010, à 16:23

Re : [résolu] Probleme De Securite !!!

#13 Le 13/04/2010, à 16:31

Re : [résolu] Probleme De Securite !!!

#14 Le 13/04/2010, à 16:35

Re : [résolu] Probleme De Securite !!!

Pied de page des forums