Recherches récentes
Options de recherche
Je dois être très naïf mais je pensais que même le vrai serveur web ne voyait pas le mot de passe mais son hash...
Donc quand j'ai utilisé "allezvousfairefoutre" ils l'ont vu ?
(nan je dirais pas sur quel site, mais ils l'avaient mérité)
@lienrag
Non la majorité des formulaires de login envoient login et mot de passe en clair (chiffrés en TLS, bien sûr). (ça peut se voir avec l'inspecteur réseau de Firefox qui affiche en clair les données envoyées).
Donc oui ils ont vu ton mot de passe.
Mais effectivement côté serveur, seul le hash du mot de passe est stocké.
Ah ouais donc en gros c'est un problème connu depuis longtemps mais dont personne n'avait tiré les conclusions logiques ?
C'est la bonne réponse, ça ?
https://hackers.town/@yojimbo/114181054602113918
@lienrag
Non.
Si ton javascript est distribué par CloudFlare, qu'est-ce qui empêche CloudFlare de distribuer un javascript modifié pour récupérer en clair les infos de login ?
Faire tourner sa page sur l'infra d'un tier permet à ce tier d'avoir les données.
Faire tourner sa page via le reverse-proxy d'un tier permet à ce tier d'avoir les données.
(suite)
Faire tourner le javascript d'un tier permet à ce tier d'accéder au contenu de la page.
Juste servir le javascript depuis le serveur d'un tier permet à ce tier d'injecter ce qu'il veut dans la page d'un internaute.
Ce qu'il faut faire ? Fucking héberger la page, le javascript et le traitement sur son propre serveur.
ça paraît tellement con que plus personne ne semble y penser.
@sebsauvage @lienrag @jcast @tanavit Et si ton site nécessite JavaScript pour se connecter, heu… ton site mérite pas que je le visite.
@sebsauvage @lienrag @jcast @tanavit
« Qu’est-ce qui empêche [un CDN] de distribuer un javascript modifié pour récupérer en clair les infos de login ? »
Les vérifications d’intégrité via le CSP ou le paramètre integrity de l’élément script :
https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Content-Security-Policy/script-src#allowlisting_external_scripts_using_hashes
Pas pour faire l’avocat du diable des CDN (bien qu’il y ait assurément des cas d’usage à mon humble avis), mais pour démontrer qu’il existe des moyens − plus ou moins couramment utilisés − de se prémunir d’un tiers malveillant.
Pas si *tout* le trafic passe par CloudFlare, évidemment. 
@Neil @sebsauvage @lienrag @jcast @tanavit Après il suffit pas de utiliser CloudFlare, sinon ?
Des fois la solution est plus simple qu’on ne pourrait le penser…
@breizh @sebsauvage @lienrag @Neil @tanavit
Utiliser CloudFlare et ce genre de service dépend surtout du webhost.
@sebsauvage @lienrag @jcast @tanavit et vive @yunohost pour l'auto-hébergement
@lienrag @sebsauvage @jcast @tanavit Certaines applis hashent le mdp côté client, et c'est une vulnérabilité parce que l'accès à la bdd (ou un backup de la bdd) permet de se connecter en tant que n'importe quel utilisateur sans connaitre son MDP, la technique s'appelle "pass-the-hash"