Faille sécurité: login & password dans URL
heady
-
ShadowRevenge Messages postés 156 Statut Membre -
ShadowRevenge Messages postés 156 Statut Membre -
Bonjour je souhaiterai connaitre les risques du point de vue de la sécurité lorsque le password et le login lors de la session d'un utilisateur est écrit en toute lettre dans l'url du navigateur. Un logiciel espion pourrait il copier l'url et la mailé a son propritaire ou autre scénario? En vous remerciant.
A voir également:
- Faille sécurité: login & password dans URL
- Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
- Mode securite - Guide
- Clé de sécurité windows 10 gratuit - Guide
- Sécurité automobile - Guide
- Bouton sécurité windows - <a href="https://forums.commentcamarche.net/forum/windows-11">Forum Windows</a>
4 réponses
Par principe, on ne met jamais un mot de passe dans une URL, ni même dans un cookie.
Idéalement, on transmet même le mot de passe en HTTPS quand on peut.
La raison est que sans HTTPS le mot de passe est envoyé en clair (on peut le voir avec un sniffeur réseau comme Ethereal).
Dans l'URL, non seulement le mot de passe est également transmis en clair, mais en plus il s'enregistre dans l'historique du navigateur !
Autrement dit, même pas besoin d'un logiciel espion pour piquer le mot de passe: il suffirait de regarde l'historique du navigateur.
Il faut donc à tout prix éviter ça.
Même chose pour les cookies: ne jamais stocker le mot de passe de l'utilisateur dans un cookie.
Sinon ça permet de piquer le mot de passe de l'utilsateur simplement en lisant les cookies enregistrés sur disque dur.
Idéalement, on transmet même le mot de passe en HTTPS quand on peut.
La raison est que sans HTTPS le mot de passe est envoyé en clair (on peut le voir avec un sniffeur réseau comme Ethereal).
Dans l'URL, non seulement le mot de passe est également transmis en clair, mais en plus il s'enregistre dans l'historique du navigateur !
Autrement dit, même pas besoin d'un logiciel espion pour piquer le mot de passe: il suffirait de regarde l'historique du navigateur.
Il faut donc à tout prix éviter ça.
Même chose pour les cookies: ne jamais stocker le mot de passe de l'utilisateur dans un cookie.
Sinon ça permet de piquer le mot de passe de l'utilsateur simplement en lisant les cookies enregistrés sur disque dur.
Salut,
Un risque probable en cas d'utlisation partagée du poste et du compte : en
recherchant dans le cache on peut trouver facilement ces éléments.
Sinon que ce soit en POST ou GET, les mot de passe qui passent en clair sont
toujours 'espionnable' en écoutant le réseau.
Si tu dois vraiment sécuriser : HTTPS ou SSL/TLS.
Dans le pire des cas, si ton PC à un spyware qui met en place un 'hook' sur
le clavier (enregistrement de toutes les touches dans un fichier) et envoit
régulièrement le fichier à une personne malveillante via le net, pas grand chose
à faire...
A+, crabs
Un risque probable en cas d'utlisation partagée du poste et du compte : en
recherchant dans le cache on peut trouver facilement ces éléments.
Sinon que ce soit en POST ou GET, les mot de passe qui passent en clair sont
toujours 'espionnable' en écoutant le réseau.
Si tu dois vraiment sécuriser : HTTPS ou SSL/TLS.
Dans le pire des cas, si ton PC à un spyware qui met en place un 'hook' sur
le clavier (enregistrement de toutes les touches dans un fichier) et envoit
régulièrement le fichier à une personne malveillante via le net, pas grand chose
à faire...
A+, crabs
Oui tu peux faire comme ça, après il te suffit d'étudier les variables $_GET['login'] et $_GET['password'] pour vérifier le login.
tonio37, avec un script aussi simple on pourrais ce dire qu'il ne peut pas exister de faille. Et pourtant ci, voila ce que c'est que d'utiliser le script de easyphp. (très mal coder). Malheureusement pour toi on peut le buffer ^^
ça alors ! c'est bien vous qui êtes allé sur antoine.???????.free.fr une fois où il y avait un script d'easyphp au démarage ? si c'est vous, comment avez-vous eu vent de ce site ?
Si je me trompe, désolé...
A propos, est-ce qu'on peut mettre un login et un mot de passe dans une url genre :
http://monsite.free.fr+login=login+password=password
pour court-circuiter un fastidieu log sachant que c'est pour un site qui ne contient rien de sensible ?
Si je me trompe, désolé...
A propos, est-ce qu'on peut mettre un login et un mot de passe dans une url genre :
http://monsite.free.fr+login=login+password=password
pour court-circuiter un fastidieu log sachant que c'est pour un site qui ne contient rien de sensible ?
