Bienvenue, Invité
Merci de vous identifier ou de vous inscrire.    Mot de passe perdu?
signifie que ce forum est verrouillé; pas de nouveaux messages possibles.
Test par l'OZ signifie que ce forum est verrouillé; pas de nouveaux messages possibles.
(1 lecteur(s)) (1) Invité(s)
Aller en basPage: 12
SUJET: Test par l'OZ
*
   12/07/09 à 23:21 #14
nikoteen
Administrateur
Messages: 972
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur
Sexe: Masculin Date anniversaire: 30/07
 Test par l'OZ
A noter :

  • N'hésitez pas à créer des messages bidons, je les effacerai à la fin du test.
  • Pour le moment, vos noms d'utilisateurs ont été créés de façon standard (1e lettre du prénom et nom). Si vous souhaitez en changer, écrivez à forum@zetetique.fr avec le pseudo que vous souhaitez voir apparaître.
  • Quand le forum sera publié, il permettra aux gens de s'inscrire et une validation par email de la part de l'utilisateur sera demandée.
 
Dernière édition: 14/07/09 à 11:51 Par nikoteen.
"La nature, lorsqu'elle s'égare, produit beaucoup d'imbéciles,quelques rares génies, mais aucun surhomme."
-- C. Navis, fr.sci.zetetique, Août 2009
Le sujet a été verrouillé.
   15/07/09 à 22:44 #66
pblavy
Pierre
Contributeur récent
Messages: 22
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur
 Re:Test par l'OZ
Les quelques bugs:
- [FIXED] Les sujets épinglés n'apparaissent pas en haut de la liste.
- [FIXED] Les noms d'utilisateur mot de passe de l'inscription sont trops simples pour le moment. Je ne sais pas comment marche l'inscription dans le cadre du forum définitif mais ça serait chouette de pouvoir avoir un mot de passe plus complexe et différent pour tout le monde.
- [FIXED] Un capcha serait un plus sinon il risque d'y avoir pas mal de posts concernant le viagra.

Les Trucs étranges
Il y a une fonction éditer, c'est pratique pour les fautes d'orthographe, la mise en page et je ne sais quoi. Ca permet aussi aux tricheurs de revenir sur leurs affirmations a postériori. J'en voie une utilisation détournée bien rigolote ;). Machiavel sors de ce corps tout de suite!
 
Dernière édition: 16/07/09 à 15:32 Par pblavy.
Le sujet a été verrouillé.
   16/07/09 à 01:51 #71
nikoteen
Administrateur
Messages: 972
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur
Sexe: Masculin Date anniversaire: 30/07
 Re:Test par l'OZ
pblavy écrit:
Les sujets épinglés n'apparaissent pas en haut de la liste.
Si, tout dépend de la façon d'aborder ces fameux sujets. Si vous passez par "Index général" et que vous suivez l'arborescence "Sujet généraux", puis "A lire avant de poster", vous verrez que le fil "Test par l'OZ" arrive en première position sur la page alors qu'il a été créé bien après le fil "Charte d'utilisation du forum".

Les noms d'utilisateur mot de passe de l'inscription sont trops simples pour le moment. Je ne sais pas comment marche l'inscription dans le cadre du forum définitif mais ça serait chouette de pouvoir avoir un mot de passe plus complexe et différent pour tout le monde.
Les mots de passes actuels sont créés par moi, à la main, parce que l'enregistrement des personnes (avec validation de l'adresse email, etc.) n'est pas activé pour le moment... nous restons dans un cadre privé. A terme, chacun choisira son mot de passe au moment de l'enregistrement. J'ai choisi des mots de passe en fonction de ce que je connais des personnes. Les utilisateurs créés pour l'instant ont du remarquer qu'il s'agissait de clin d'oeils à des références communes. Je pense que celui de Pierrick Tranouez, par exemple, était parlant. Idem pour celui de Yves Lignon. Celui que j'ai choisi pour vous, Pierre, est basé sur le sujet du mail que vous avez envoyé à forum@, parce que nous n'avons pas véritablement de vécu commun. Si je vous savais spécialiste des renards, j'aurais probablement choisi "renard". Rien ne vous empêche de le changer en accédant à votre profil. D'ailleurs, je vous encourage à le faire (le vôtre est vraiment simple).

- Un capcha serait un plus sinon il risque d'y avoir pas mal de posts concernant le viagra.
Idem pour le captcha. La fonction et normalement activée. Il y en a même un pour les messages privés. Je l'ai désactivé à la demande de certains utilisateurs qui trouvaient lourd de taper un captcha à chaque message.

Il y a une fonction éditer, c'est pratique pour les fautes d'orthographe, la mise en page et je ne sais quoi. Ca permet aussi aux tricheurs de revenir sur leurs affirmations a postériori. J'en voie une utilisation détournée bien rigolote ;). Machiavel sors de ce corps tout de suite!
Effectivement. C'est la raison pour laquelle j'ai activé la fonction qui permet de voir qu'un message a été édité, et quand. La raison pour laquelle il a été édité n'est pas accessible aux utilisateurs lambda... ce qui ne signifie pas qu'il est impossible de la retrouver.

Nicolas
 
Dernière édition: 16/07/09 à 01:52 Par nikoteen.
"La nature, lorsqu'elle s'égare, produit beaucoup d'imbéciles,quelques rares génies, mais aucun surhomme."
-- C. Navis, fr.sci.zetetique, Août 2009
Le sujet a été verrouillé.
   16/07/09 à 13:59 #90
ptranouez
Contributeur important
Messages: 114
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur
Sexe: Masculin Date anniversaire: 27/12
 Re:Test par l'OZ
nvivant écrit:
Les utilisateurs créés pour l'instant ont du remarquer qu'il s'agissait de clin d'oeils à des références communes. Je pense que celui de Pierrick Tranouez, par exemple, était parlant.
Je confirme votre honneur.

P.
 
Dernière édition: 16/07/09 à 14:16 Par ptranouez.
Le sujet a été verrouillé.
   16/07/09 à 15:30 #101
pblavy
Pierre
Contributeur récent
Messages: 22
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur
 Re:Test par l'OZ
Merci Nicolas pour ces réponses.
J'ai identifié une nouvelle faille : la page de login envoie les mots de passe en clair dans un formulaire post.

En utilisant du baby hacking (c'est à dire en utilisant ce qu'on peut faire sans rien comprendre après avoir cherché sniff mot de passe dans google), j'ai réussi à pirater mes propres identifiants.
Vu les compétences nécessaires à ce hack (lire google) c'est à la porté de n'importe qui qui sait utiliser un sniffeur http ou qui sait lire un tutoriel.

- Lancer wireshark
- Ecouter le http (en mode non promiscuitous pour les tests, car je ne veux pirater que MA machine)
- rechercher mon login dans les paquets.

Les risques immédiats sont qu'une personne mal intentionée peut se faire passer pour une autre ou accéder à un compte administrateur et pourir le forum. Les risques collatéraux c'est que certaines personnes utilisent le même mot de passe pour les forums et leurs emails personnels et leur compte amazon et ...

Voila le bout du paquet fautif, capturé en écoutant en local ma carte ethernet:

0390 3a 20 31 37 37 0d 0a 0d 0a 75 73 65 72 6e 61 6d : 177... .usernam
03a0 65 3d 70 62 6c 61 76 79 26 70 61 73 73 77 64 3d e=pblavy &passwd=
03b0 74 65 73 74 65 75 72 26 53 75 62 6d 69 74 3d 43 testeur& Submit=C
03c0 6f 6e 6e 65 78 69 6f 6e 26 6f 70 74 69 6f 6e 3d onnexion &option=
03d0 63 6f 6d 5f 75 73 65 72 26 74 61 73 6b 3d 6c 6f com_user &task=lo

Pour sécuriser ce login il faut faire passer les formulaires post par https (et non http) d'après ce que je me souviens de mes cours d'info. Hélas j'en sais pas plus.

Dès que ce sera fixé, je reteste.
 
Le sujet a été verrouillé.
   16/07/09 à 15:48 #106
nikoteen
Administrateur
Messages: 972
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur
Sexe: Masculin Date anniversaire: 30/07
 Re:Test par l'OZ
Le risque est mitigé par le fait que tu ne peux sniffer que ton propre mot de passe. En jouant un peu avec Wireshark, tu réaliseras que c'est le cas pour tout un tas d'applications (le mail, en premier lieu, que ce soit en imap ou en pop3). Bref, rien de bien gênant. Je pourrais activer le https, effectivement, mais d'expérience l'impact sur la performance n'est pas négligeable pour un gain en terme de niveau de sécurité qui n'est pas évident (surtout que les informations échangées sur le forum n'ont vraiment rien de confidentiel/critique).

Nicolas
 
"La nature, lorsqu'elle s'égare, produit beaucoup d'imbéciles,quelques rares génies, mais aucun surhomme."
-- C. Navis, fr.sci.zetetique, Août 2009
Le sujet a été verrouillé.
   16/07/09 à 16:48 #122
pblavy
Pierre
Contributeur récent
Messages: 22
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur
 Re:Test par l'OZ
Dans mon école je peux sniffer tout le trafic du LAN, ce qui fait quand même une centaine de postes, et à la fac c'est encore pire.

S'il n'est pas facile de sniffer spécifiquement les utilisateurs de ce forum, il est par contre très facile de sniffer n'importe quoi et de rechercher des chaines de caractères contenant login pour avoir acces aux couples logins mot de passe de plein d'utilisateurs.

Ensuite le ssl au login va effectivement charger un peu le serveur, mais je ne pense pas que les utilisateurs passent leurs temps à se logger/délogger, mais si tu as un bench qui prouve le contraire, le problème se pose en effet.

Ca vaudrait peut être le coup de d'activer SSL par défaut pour le login, et la page changer son mot de passe, quitte à revenir en arrière si cette fonction entraine une charge importante.

Sinon si tu concerves la transmission du mot de passe en clair, ça serait bien de préciser sur la page d'inscription et sur la page de changer son mot de passe et sur la page login qu'il circule en clair et qu'il faut donc en choisir un spécifique à ce forum qui ne ressemble pas à un autre de ses mots de passe perso.
 
Le sujet a été verrouillé.
   16/07/09 à 19:33 #157
nikoteen
Administrateur
Messages: 972
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur
Sexe: Masculin Date anniversaire: 30/07
 Re:Test par l'OZ
Vérification faite, la mise en place du SSL chez notre hébergeur est payante. Donc tant pis, tu pourras sniffer les mots de passe des centaines d'utilisateurs de ton école (sous réserve que tu fasses un peu de arp poisoning, parce que je ne peux pas imaginer que vous soyez sur un réseau non-commuté) qui ne manqueront pas de fréquenter le forum :)

Nicolas
 
Dernière édition: 16/07/09 à 23:44 Par nikoteen.
"La nature, lorsqu'elle s'égare, produit beaucoup d'imbéciles,quelques rares génies, mais aucun surhomme."
-- C. Navis, fr.sci.zetetique, Août 2009
Le sujet a été verrouillé.
   17/07/09 à 10:17 #175
yquemener
Contributeur extraordinaire !
Messages: 1596
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur
 Re:Test par l'OZ
Si si, il y a pas mal d'écoles qui sont encore en non-commuté au niveau des salles informatiques individuelles. Changer un hub qui marche bien en un switch qui coute un argent qui peut être employé ailleurs, pas beaucoup d'écoles le font en ce moment !
 
Le sujet a été verrouillé.
   21/07/09 à 01:28 #258
nikoteen
Administrateur
Messages: 972
Personne n'est hors ligne Cliquez ici pour voir le profil de cet utilisateur
Sexe: Masculin Date anniversaire: 30/07
 Déplacement de "Entre science et sensorialité"
J'ai déplacé la discussion "Entre science et sensorialité, un lien conflictuel" dans la rubrique "Science" qui me semble mieux correspondre à l'objet.

Nicolas.
 
"La nature, lorsqu'elle s'égare, produit beaucoup d'imbéciles,quelques rares génies, mais aucun surhomme."
-- C. Navis, fr.sci.zetetique, Août 2009
Le sujet a été verrouillé.
Revenir en hautPage: 12
Modérateur: Bobby, Jerem
Développé par KunenaObtenir les derniers messages directement sur votre PC - Version française:SFK