squalyl (./58) :
Les mecs ils faisaient un eval() sur une chaine passée depuis le client?

trioui
avatar« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique
Un autre vieux DailyWTF (2006 toujours)
<html>
  <head>
    <link href="dynsitebase/styles.php" rel="stylesheet" type="text/css" />
    <script src="dynsitebase/base.php" language="JavaScript"></script>
    <script src="dynsitebase/themes.php" language="JavaScript"></script>
    <script src="dynsitebase/sitedata.php" language="JavaScript"></script>
    <script src="dynsitebase/pagelayout.php" language="JavaScript"></script>
    <script language="JavaScript">
      document.write("<title>" + CurrentPage.Title + "</title>");
    </script>
   </head>
   <body>
    <script language="JavaScript">
      DataInterface.initialize();
      DataInterface.bindToPage(CurrentPage);
      ImageLoader.preload(CurrentPage);
      LinkLoader.bindToContext(CurrentPage);

      PagePrinter.printHeader(CurrentPage);
      PagePrinter.printNavigation(CurrentPage);
      PagePrinter.printTitle(CurrentPage);
      PagePrinter.printSubTitle(CurrentPage);
      PagePrinter.printMainContent(CurrentPage);
      PagePrinter.printFooter(CurrentPage);

      DataInterface.close();
      ImageLoader.close();
      LinkLoader.close();
      PagePrinter.close();
    </script>
   </body>
</html>


55814049.jpg

Source, parce que l'extrait montrant la génération du JS par PHP est classe aussi.
Et cela pour un site au contenu statique.
avatar« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique
À l'instant avec la hotline téléphonique de ma mutuelle, pke je n'arrivais pas à me connecter à leur site :
- Moi : bonjour, je viens de générer des identifiants et de recevoir un e-mail, mais ils ne sont pas reconnus par le site
- Employée : pouvez-vous me donner les deux premiers caractères de votre mot de passe svp ?
- Moi : ah parce que vous pouvez l'afficher chez vous là ?- Employée : oui mais ne vous inquiétez pas, on ne le communique pas !

bang
avatarAll right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)
"bon, finalement, passez-moi le service résiliation plutôt..."
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
Difficile, c'est la mutuelle de ma boite. Mais c'est toujours bon à avoir ce genre d'info, histoire de ne pas mettre le même mot de passe que sur un autre site.

Tiens d'ailleurs on devrait faire une liste noire/blanche des sites connus pour stocker les mots de passe en clair ou hashés ^^
avatarAll right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)
Pour la liste noire, il y a ce site :
http://plaintextoffenders.com/
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
Ah oui on en avait parlé mais j'avais perdu le lien. Je vais tester leur extension firefox, merci smile
avatarAll right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)
Question securite je suis pas tres fan perso d'une extension qui donne a un site tier les site que je visite grin
avatarProud to be CAKE©®™
The cake is a lie! - Love your weighted companion cube

->986-Studio's Wonder Project!<-
yN a cassé ma signature :o
Bof, la moitié du web a déjà accès à cette info via google analytics ou les 454645 solutions équivalentes, c'est pas un de plus qui va me tuer ^^
avatarAll right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)
Bon je viens de regarder comment était faite l'extension ; elle télécharge toute la BDD de plaintextoffenders via l'API et fait des requêtes depuis son cache local uniquement, donc sois rassuré Godzil ^^
avatarAll right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)
Il y a du bon et du mauvais sur ce site quand même :
http://plaintextoffenders.com/post/109975336585/ovh-com-web-hosting-number-one-host-of-spam-in
Il s'agit d'un rappel des infos de connexion du VPS une fois qu'il a été correctement configuré, tant que OVH l'a encore en mémoire. C'est autre chose qu'un "rappel de mot de passe", je ne suis même pas certain qu'on puisse obtenir un reset du pass admin dans ces conditions sans faire un reset du système.
Il n'est pas rare que des sites envoient un email donnant les infos de connexion après inscription (c'est fréquent dans ma boîte), c'est la dernière trace qu'il en reste sur le site avant que le seul password enregistré soit l'empreinte hashée.
avatar« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique
Oui, en fait ce site semble répertorier les sites qui envoient des mots de passe par mail (y compris la première fois) plutôt que ceux qui stockent des mots de passe en clair.

Si c'est ça, c'est totalement idiot.
avatarAll right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)
ben oui c'est ça. comment ils pourraient connaitre le mode de stockage des mots de passe autrement que par l'envoi en clair dans un email?
Il y a des sites dont la fonction "j'ai oublié mon mot de passe" te renvoie ton mot de passe d'origine au lieu d'en générer un nouveau, pour le coup on est sûr qu'ils ne le hashent pas.

C'est certes pessimiste de considérer que tout envoi de mot de passe dans un mail, même la première fois, veut dire que le site ne hashe pas le mot de passe. Mais d'un autre côté, envoyer le mot de passe par mail reste une mauvaise pratique : si l'utilisateur ne prend pas la précaution d'effacer le mail, n'importe qui arrive à avoir accès à la boîte mail a accès au mot de passe. Idem si l'utilisateur lit ses mails via du POP/IMAP non séurisé sur un réseau public.
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
et un mail peux laisser des traces... cote exepediteur comme cote destinataire..
avatarProud to be CAKE©®™
The cake is a lie! - Love your weighted companion cube

->986-Studio's Wonder Project!<-
yN a cassé ma signature :o
Bah oui mais il y a deux solutions quand tu crées un compte sur un site web :

- Soit tu saisis ton mot de passe à l'inscription, et le site n'a jamais besoin de le transférer en clair
- Soit le site génère ton mot de passe à l'inscription et te l'envoie, puis tu le changes à ta première connexion

Par exemple yAronet utilise la seconde solution, principalement pour valider l'adresse e-mail, et je ne vois pas trop en quoi c'est un problème de sécurité à partir du moment où on change bien le mot de passe à la première connexion. Rien à voir pour moi avec les sites qui stockent des mots de passe en clair.
avatarAll right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)
L'email envoye peux n'etre qu'un simple token pour valider l'addresse et qui n'est valide qu'une fois.

J'ai deja vu des site t'envoyer le mot de passe que tu as tape a l'inscription pour te confirmer l'inscription, apres est-ce qu'il est stoque en clair ou non aucune idee.

Perso la seconde solution je ne l'ai utilse que pour un site ou il fallait inscrire des gens en masses, et le mot de passe etait a changer a la premiere connection en effet. Sinon je prefere largement la solution lien+token par email pour valider l'addresse email
avatarProud to be CAKE©®™
The cake is a lie! - Love your weighted companion cube

->986-Studio's Wonder Project!<-
yN a cassé ma signature :o
Zeph : sauf qu'en pratique, à part si tu forces l'utilisateur à changer le mot de passe avant de pouvoir accéder au site, y'a toutes les chances qu'il ne le fasse pas. Et en transmettant son mot de passe par mail, tu compromets la sécurité.

Donc pour moi, la première solution est clairement meilleure que la seconde.

Tu vas me dire "c'est pas mon problème, c'est celui de l'utilisateur", mais dans ce cas, tu peux aussi laisser tomber le HTTPS (parce que dans le fond, les sites marchands s'en foutent que tu balances tes coordonnées bancaires en clair, c'est aux clients que ça pose un problème tongue)
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
Non mais bien sûr qu'il y a plein de meilleures solutions, là n'est pas la question, je dis juste que ça n'est pas aussi grave que stocker des mots de passe en clair. Du coup plaintextoffenders, qui fait l'amalgame entre les deux, mélange un problème qui me gène avec un problème qui ne me gène pas tellement, et ne permet pas de faire la différence entre les deux.

./79 : générer un token utilisable une fois ou bien générer un mot de passe et imposer son changement à la première connexion, c'est strictement équivalent
avatarAll right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)
Je ne suis pas d'accord, le HTTPS a ete mis pour garder le client pour qu'il ai confiaaaaaaannnnccceeeee trivil #hypnose#
avatarProud to be CAKE©®™
The cake is a lie! - Love your weighted companion cube

->986-Studio's Wonder Project!<-
yN a cassé ma signature :o
Zeph oui on est d'accord
avatarProud to be CAKE©®™
The cake is a lie! - Love your weighted companion cube

->986-Studio's Wonder Project!<-
yN a cassé ma signature :o
Et sinon pour continuer le parallèle avec HTTPS, je trouve qu'envoyer un mot de passe initial (ou un token) par mail mais ne jamais le stocker, c'est un peu comme les sites HTTPS qui n'ont pas de certificat signé par une autorité de confiance. Bien sûr que ça n'est pas idéal, mais en pratique je sais qu'il y a de grandes chances pour que ce soit quand même bien plus sûr qu'un site qui n'a pas de HTTPS du tout.
avatarAll right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)
La palme revient sans doute à Mailman, qui par défaut envoie un rappel du mot de passe par mail chaque mois! (Ça implique aussi qu'il est stocké en clair.)
avatarMes news pour calculatrices TI: Ti-Gen (fr/en), MobiFiles (de)
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité
./81 ils confusionnent pas

le mot d'ordre du site est: Did you just email me back my own password?!

rien de plus, officiellement.
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
Zeph (./84) :
Et sinon pour continuer le parallèle avec HTTPS, je trouve qu'envoyer un mot de passe initial (ou un token) par mail mais ne jamais le stocker, c'est un peu comme les sites HTTPS qui n'ont pas de certificat signé par une autorité de confiance. Bien sûr que ça n'est pas idéal, mais en pratique je sais qu'il y a de grandes chances pour que ce soit quand même bien plus sûr qu'un site qui n'a pas de HTTPS du tout.
(C'est pas toi qui disais exactement l'inverse pour yN ? grin)
Heu je sais pas, où ?
avatarAll right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)
Call : Zerosquare appelé(e) sur ce topic...