Cloudfalare changer vos passwords

Une question à propos du forum, une envie de fonction supplémentaire, un avis, ... venez donc en discuter ici

Modérateur: Barbapapa

Cloudfalare changer vos passwords

Message par mackguil » 25 Fév 2017 14:21

Bon ben, vu que Max n'a pas réagi au mail que je lui ai envoyé ...

Solar m'a fait remarquer que:

https://github.com/pirate/sites-using-c ... /README.md

Et bien entendu adsl-bc est dans la liste.

Changer vos mot de passe est vivement conseillé.
Avatar de l’utilisateur
mackguil
Dix mille
Dix mille
 
Message(s) : 16495
Inscription : 14 Mai 2005 11:22
Localisation : Luik Belgium

Re: Cloudfalare changer vos passwords

Message par NUTS » 25 Fév 2017 17:45

Ils ont le mot de passe en clair ou le hash ?
Avatar de l’utilisateur
NUTS
Acharné
Acharné
 
Message(s) : 4900
Inscription : 13 Août 2003 01:10

Re: Cloudfalare changer vos passwords

Message par max » 25 Fév 2017 18:26

Je n'ai rien reçu
Avatar de l’utilisateur
max
Barbapapa Team
Barbapapa Team
 
Message(s) : 8370
Inscription : 10 Juin 2001 01:58
Localisation : [email protected]

Re: Cloudfalare changer vos passwords

Message par servperso » 25 Fév 2017 18:39

Ils ont pu avoir le mot de passe en claire. J'ai réalisé une capture avec l'inspecteur de chrome et vu le password saisi dans la requête post envoyé au serveur.
Habituellement le TLS (ssl) protège l'info, mais ici, pas.

Sinon, j'en profite pour glisser un petit rappel.
Utilisez un gestionnaire de mot de passe, au moins c'est plus safe dans ce genre de cas car le hacker n'aura un impacte que limité :)

Copy/paste de l'inspecteur chrome :
username:coucou
password:passworddetest
redirect:./ucp.php?mode=login
sid:a28f49403aedf7fa381f0f3863cbd598
redirect:index.php
login:Connexion
Blog adminsys et dev http://netsh.be - Twitter https://twitter.com/ced1202
servperso
Acharné
Acharné
 
Message(s) : 1244
Inscription : 28 Août 2007 02:05
Localisation : Liège

Re: Cloudfalare changer vos passwords

Message par mackguil » 25 Fév 2017 18:50

max a écrit :Je n'ai rien reçu


24 02 2017 à 16 20
Avatar de l’utilisateur
mackguil
Dix mille
Dix mille
 
Message(s) : 16495
Inscription : 14 Mai 2005 11:22
Localisation : Luik Belgium

Re: Cloudfalare changer vos passwords

Message par max » 25 Fév 2017 18:53

Oui mais ici tu es entre le client et le serveur:)

Dans le cas du cloudbleed, certaines requêtes de certains domaines utilisant cloudflare se sont retrouver en clair (que ce soit le mot de passe ou les tokens)

La liste sur github postée par MacGuil est juste une compilation de tous les domaines utilisant les dns de Cloudflare. Ce qui ne sert à rien. En réalité, on parle de moins de 700 clients concernés.

Changer de mot de passe est toujours une bonne idée et utiliser un gestionnaire de mot de passe en est une meilleure.
Avatar de l’utilisateur
max
Barbapapa Team
Barbapapa Team
 
Message(s) : 8370
Inscription : 10 Juin 2001 01:58
Localisation : [email protected]

Re: Cloudfalare changer vos passwords

Message par max » 25 Fév 2017 18:54

mackguil a écrit :
max a écrit :Je n'ai rien reçu


24 02 2017 à 16 20


Sur forum-at-adsl-bc.org ?
Avatar de l’utilisateur
max
Barbapapa Team
Barbapapa Team
 
Message(s) : 8370
Inscription : 10 Juin 2001 01:58
Localisation : [email protected]

Re: Cloudfalare changer vos passwords

Message par max » 25 Fév 2017 18:57

J'ai reçu ton pm, je vais chercher, c'est curieux. Mais pour répondre à ta question, oui j'avais vu, j'avais reçu l'information de Cloudflare directement.
Avatar de l’utilisateur
max
Barbapapa Team
Barbapapa Team
 
Message(s) : 8370
Inscription : 10 Juin 2001 01:58
Localisation : [email protected]

Re: Cloudfalare changer vos passwords

Message par mackguil » 25 Fév 2017 19:32

max a écrit :J'ai reçu ton pm, je vais chercher, c'est curieux. Mais pour répondre à ta question, oui j'avais vu, j'avais reçu l'information de Cloudflare directement.

Et tu ne conseilles pas de changer de mot de passe ?
Avatar de l’utilisateur
mackguil
Dix mille
Dix mille
 
Message(s) : 16495
Inscription : 14 Mai 2005 11:22
Localisation : Luik Belgium

Re: Cloudfalare changer vos passwords

Message par esperlu » 25 Fév 2017 20:19

servperso a écrit :Ils ont pu avoir le mot de passe en claire. J'ai réalisé une capture avec l'inspecteur de chrome et vu le password saisi dans la requête post envoyé au serveur.
Habituellement le TLS (ssl) protège l'info, mais ici, pas.


Il est normal que l'inspecteur de chrome (le client) prépare le login en clair avant de le chiffrer dans la requête qui part sur le net. C'est un paquet sniffer comme tcpdump ou wireshark que tu dois utiliser. Tu verras alors que toute la transaction http qui sort de ton interface réseau est chiffrée. Heureusement.
esperlu
Habitué
Habitué
 
Message(s) : 408
Inscription : 29 Août 2010 08:08

Re: Cloudfalare changer vos passwords

Message par servperso » 25 Fév 2017 20:34

Pas forcément,
J'ai déjà écris un système d'auth qui transmet un hash unique et pas un password.
En gros, le client reçois un salt du serveur, prend le password le colle au salt, le hash et renvoi le résultat au serveur.

Au final, tu te retrouve avec quelque chose qui change toujours sur le réseau. Certains sites ont quelque chose de similaire, mais pas phpbb visiblement.
Blog adminsys et dev http://netsh.be - Twitter https://twitter.com/ced1202
servperso
Acharné
Acharné
 
Message(s) : 1244
Inscription : 28 Août 2007 02:05
Localisation : Liège

Re: Cloudfalare changer vos passwords

Message par clear.be » 25 Fév 2017 22:24

J'ai le même mot de passe, 123456, sur tout mes comptes, depuis bientôt 10 ans, c'est pas maintenant que je vais changer
Radio courtoisie : la radio libre du pays réel et de la francophonie
Avatar de l’utilisateur
clear.be
Dix mille
Dix mille
 
Message(s) : 10279
Inscription : 10 Sep 2003 20:40

Re: Cloudfalare changer vos passwords

Message par fatmarcel » 26 Fév 2017 12:37

clear.be a écrit :J'ai le même mot de passe, 123456, sur tout mes comptes, depuis bientôt 10 ans, c'est pas maintenant que je vais changer


Et il est plus long que la combinaison du bouclier atmosphérique dans Spaceballs :-)
https://www.youtube.com/watch?v=a6iW-8xPw3k
fatmarcel
Membre
Membre
 
Message(s) : 66
Inscription : 20 Mai 2006 00:46
Localisation : Mons

Re: Cloudfalare changer vos passwords

Message par mackguil » 08 Mars 2017 21:11

Avatar de l’utilisateur
mackguil
Dix mille
Dix mille
 
Message(s) : 16495
Inscription : 14 Mai 2005 11:22
Localisation : Luik Belgium

Re: Cloudfalare changer vos passwords

Message par cire69 » 10 Mars 2017 13:47

clear.be a écrit :J'ai le même mot de passe, 123456, sur tout mes comptes, depuis bientôt 10 ans, c'est pas maintenant que je vais changer

C'est clear.
Avatar de l’utilisateur
cire69
Acharné
Acharné
 
Message(s) : 2062
Inscription : 22 Sep 2008 00:24

Re: Cloudfalare changer vos passwords

Message par clear.be » 10 Mars 2017 14:10

J'ai quand même fini par changer... maintenant c'est 654321...
Radio courtoisie : la radio libre du pays réel et de la francophonie
Avatar de l’utilisateur
clear.be
Dix mille
Dix mille
 
Message(s) : 10279
Inscription : 10 Sep 2003 20:40


Retour vers Forum

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit