Faille sécurité: login & password dans URL
Fermé
heady
-
3 févr. 2006 à 14:45
ShadowRevenge Messages postés 146 Date d'inscription lundi 11 août 2008 Statut Membre Dernière intervention 16 juillet 2009 - 20 août 2008 à 09:41
ShadowRevenge Messages postés 146 Date d'inscription lundi 11 août 2008 Statut Membre Dernière intervention 16 juillet 2009 - 20 août 2008 à 09:41
Bonjour je souhaiterai connaitre les risques du point de vue de la sécurité lorsque le password et le login lors de la session d'un utilisateur est écrit en toute lettre dans l'url du navigateur. Un logiciel espion pourrait il copier l'url et la mailé a son propritaire ou autre scénario? En vous remerciant.
A voir également:
- Faille sécurité: login & password dans URL
- Mode securite - Guide
- Désactiver sécurité windows - Guide
- Bouton sécurité windows - Forum Windows
- Clé de sécurité google - Accueil - Guide confidentialité
- Securite windows page blanche ✓ - Forum Windows 10
4 réponses
sebsauvage
Messages postés
32893
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 662
3 févr. 2006 à 15:23
3 févr. 2006 à 15:23
Par principe, on ne met jamais un mot de passe dans une URL, ni même dans un cookie.
Idéalement, on transmet même le mot de passe en HTTPS quand on peut.
La raison est que sans HTTPS le mot de passe est envoyé en clair (on peut le voir avec un sniffeur réseau comme Ethereal).
Dans l'URL, non seulement le mot de passe est également transmis en clair, mais en plus il s'enregistre dans l'historique du navigateur !
Autrement dit, même pas besoin d'un logiciel espion pour piquer le mot de passe: il suffirait de regarde l'historique du navigateur.
Il faut donc à tout prix éviter ça.
Même chose pour les cookies: ne jamais stocker le mot de passe de l'utilisateur dans un cookie.
Sinon ça permet de piquer le mot de passe de l'utilsateur simplement en lisant les cookies enregistrés sur disque dur.
Idéalement, on transmet même le mot de passe en HTTPS quand on peut.
La raison est que sans HTTPS le mot de passe est envoyé en clair (on peut le voir avec un sniffeur réseau comme Ethereal).
Dans l'URL, non seulement le mot de passe est également transmis en clair, mais en plus il s'enregistre dans l'historique du navigateur !
Autrement dit, même pas besoin d'un logiciel espion pour piquer le mot de passe: il suffirait de regarde l'historique du navigateur.
Il faut donc à tout prix éviter ça.
Même chose pour les cookies: ne jamais stocker le mot de passe de l'utilisateur dans un cookie.
Sinon ça permet de piquer le mot de passe de l'utilsateur simplement en lisant les cookies enregistrés sur disque dur.
crabs
Messages postés
908
Date d'inscription
lundi 18 avril 2005
Statut
Membre
Dernière intervention
3 août 2008
507
3 févr. 2006 à 15:27
3 févr. 2006 à 15:27
Salut,
Un risque probable en cas d'utlisation partagée du poste et du compte : en
recherchant dans le cache on peut trouver facilement ces éléments.
Sinon que ce soit en POST ou GET, les mot de passe qui passent en clair sont
toujours 'espionnable' en écoutant le réseau.
Si tu dois vraiment sécuriser : HTTPS ou SSL/TLS.
Dans le pire des cas, si ton PC à un spyware qui met en place un 'hook' sur
le clavier (enregistrement de toutes les touches dans un fichier) et envoit
régulièrement le fichier à une personne malveillante via le net, pas grand chose
à faire...
A+, crabs
Un risque probable en cas d'utlisation partagée du poste et du compte : en
recherchant dans le cache on peut trouver facilement ces éléments.
Sinon que ce soit en POST ou GET, les mot de passe qui passent en clair sont
toujours 'espionnable' en écoutant le réseau.
Si tu dois vraiment sécuriser : HTTPS ou SSL/TLS.
Dans le pire des cas, si ton PC à un spyware qui met en place un 'hook' sur
le clavier (enregistrement de toutes les touches dans un fichier) et envoit
régulièrement le fichier à une personne malveillante via le net, pas grand chose
à faire...
A+, crabs
ShadowRevenge
Messages postés
146
Date d'inscription
lundi 11 août 2008
Statut
Membre
Dernière intervention
16 juillet 2009
13
20 août 2008 à 09:41
20 août 2008 à 09:41
Oui tu peux faire comme ça, après il te suffit d'étudier les variables $_GET['login'] et $_GET['password'] pour vérifier le login.
tonio37, avec un script aussi simple on pourrais ce dire qu'il ne peut pas exister de faille. Et pourtant ci, voila ce que c'est que d'utiliser le script de easyphp. (très mal coder). Malheureusement pour toi on peut le buffer ^^
kapack
Messages postés
179
Date d'inscription
vendredi 16 mai 2008
Statut
Membre
Dernière intervention
21 août 2012
12
20 août 2008 à 03:35
20 août 2008 à 03:35
ça alors ! c'est bien vous qui êtes allé sur antoine.???????.free.fr une fois où il y avait un script d'easyphp au démarage ? si c'est vous, comment avez-vous eu vent de ce site ?
Si je me trompe, désolé...
A propos, est-ce qu'on peut mettre un login et un mot de passe dans une url genre :
http://monsite.free.fr+login=login+password=password
pour court-circuiter un fastidieu log sachant que c'est pour un site qui ne contient rien de sensible ?
Si je me trompe, désolé...
A propos, est-ce qu'on peut mettre un login et un mot de passe dans une url genre :
http://monsite.free.fr+login=login+password=password
pour court-circuiter un fastidieu log sachant que c'est pour un site qui ne contient rien de sensible ?
