Cloudfalare changer vos passwords

Une question à propos du forum, une envie de fonction supplémentaire, un avis, ... venez donc en discuter ici

Modérateur: Barbapapa

Cloudfalare changer vos passwords

Message par mackguil » 25 Fév 2017 13:21

Bon ben, vu que Max n'a pas réagi au mail que je lui ai envoyé ...

Solar m'a fait remarquer que:

https://github.com/pirate/sites-using-c ... /README.md

Et bien entendu adsl-bc est dans la liste.

Changer vos mot de passe est vivement conseillé.
Avatar de l’utilisateur
mackguil
Dix mille
Dix mille
 
Message(s) : 17012
Inscription : 14 Mai 2005 10:22
Localisation : Luik Belgium

Re: Cloudfalare changer vos passwords

Message par NUTS » 25 Fév 2017 16:45

Ils ont le mot de passe en clair ou le hash ?
Avatar de l’utilisateur
NUTS
Acharné
Acharné
 
Message(s) : 4908
Inscription : 13 Août 2003 00:10

Re: Cloudfalare changer vos passwords

Message par max » 25 Fév 2017 17:26

Je n'ai rien reçu
Avatar de l’utilisateur
max
Barbapapa Team
Barbapapa Team
 
Message(s) : 8397
Inscription : 10 Juin 2001 00:58
Localisation : [email protected]

Re: Cloudfalare changer vos passwords

Message par servperso » 25 Fév 2017 17:39

Ils ont pu avoir le mot de passe en claire. J'ai réalisé une capture avec l'inspecteur de chrome et vu le password saisi dans la requête post envoyé au serveur.
Habituellement le TLS (ssl) protège l'info, mais ici, pas.

Sinon, j'en profite pour glisser un petit rappel.
Utilisez un gestionnaire de mot de passe, au moins c'est plus safe dans ce genre de cas car le hacker n'aura un impacte que limité :)

Copy/paste de l'inspecteur chrome :
username:coucou
password:passworddetest
redirect:./ucp.php?mode=login
sid:a28f49403aedf7fa381f0f3863cbd598
redirect:index.php
login:Connexion
Blog adminsys et dev http://netsh.be - Twitter https://twitter.com/ced1202
servperso
Acharné
Acharné
 
Message(s) : 1262
Inscription : 28 Août 2007 01:05
Localisation : Liège

Re: Cloudfalare changer vos passwords

Message par mackguil » 25 Fév 2017 17:50

max a écrit :Je n'ai rien reçu


24 02 2017 à 16 20
Avatar de l’utilisateur
mackguil
Dix mille
Dix mille
 
Message(s) : 17012
Inscription : 14 Mai 2005 10:22
Localisation : Luik Belgium

Re: Cloudfalare changer vos passwords

Message par max » 25 Fév 2017 17:53

Oui mais ici tu es entre le client et le serveur:)

Dans le cas du cloudbleed, certaines requêtes de certains domaines utilisant cloudflare se sont retrouver en clair (que ce soit le mot de passe ou les tokens)

La liste sur github postée par MacGuil est juste une compilation de tous les domaines utilisant les dns de Cloudflare. Ce qui ne sert à rien. En réalité, on parle de moins de 700 clients concernés.

Changer de mot de passe est toujours une bonne idée et utiliser un gestionnaire de mot de passe en est une meilleure.
Avatar de l’utilisateur
max
Barbapapa Team
Barbapapa Team
 
Message(s) : 8397
Inscription : 10 Juin 2001 00:58
Localisation : [email protected]

Re: Cloudfalare changer vos passwords

Message par max » 25 Fév 2017 17:54

mackguil a écrit :
max a écrit :Je n'ai rien reçu


24 02 2017 à 16 20


Sur forum-at-adsl-bc.org ?
Avatar de l’utilisateur
max
Barbapapa Team
Barbapapa Team
 
Message(s) : 8397
Inscription : 10 Juin 2001 00:58
Localisation : [email protected]

Re: Cloudfalare changer vos passwords

Message par max » 25 Fév 2017 17:57

J'ai reçu ton pm, je vais chercher, c'est curieux. Mais pour répondre à ta question, oui j'avais vu, j'avais reçu l'information de Cloudflare directement.
Avatar de l’utilisateur
max
Barbapapa Team
Barbapapa Team
 
Message(s) : 8397
Inscription : 10 Juin 2001 00:58
Localisation : [email protected]

Re: Cloudfalare changer vos passwords

Message par mackguil » 25 Fév 2017 18:32

max a écrit :J'ai reçu ton pm, je vais chercher, c'est curieux. Mais pour répondre à ta question, oui j'avais vu, j'avais reçu l'information de Cloudflare directement.

Et tu ne conseilles pas de changer de mot de passe ?
Avatar de l’utilisateur
mackguil
Dix mille
Dix mille
 
Message(s) : 17012
Inscription : 14 Mai 2005 10:22
Localisation : Luik Belgium

Re: Cloudfalare changer vos passwords

Message par esperlu » 25 Fév 2017 19:19

servperso a écrit :Ils ont pu avoir le mot de passe en claire. J'ai réalisé une capture avec l'inspecteur de chrome et vu le password saisi dans la requête post envoyé au serveur.
Habituellement le TLS (ssl) protège l'info, mais ici, pas.


Il est normal que l'inspecteur de chrome (le client) prépare le login en clair avant de le chiffrer dans la requête qui part sur le net. C'est un paquet sniffer comme tcpdump ou wireshark que tu dois utiliser. Tu verras alors que toute la transaction http qui sort de ton interface réseau est chiffrée. Heureusement.
esperlu
Habitué
Habitué
 
Message(s) : 414
Inscription : 29 Août 2010 07:08

Re: Cloudfalare changer vos passwords

Message par servperso » 25 Fév 2017 19:34

Pas forcément,
J'ai déjà écris un système d'auth qui transmet un hash unique et pas un password.
En gros, le client reçois un salt du serveur, prend le password le colle au salt, le hash et renvoi le résultat au serveur.

Au final, tu te retrouve avec quelque chose qui change toujours sur le réseau. Certains sites ont quelque chose de similaire, mais pas phpbb visiblement.
Blog adminsys et dev http://netsh.be - Twitter https://twitter.com/ced1202
servperso
Acharné
Acharné
 
Message(s) : 1262
Inscription : 28 Août 2007 01:05
Localisation : Liège

Re: Cloudfalare changer vos passwords

Message par clear.be » 25 Fév 2017 21:24

J'ai le même mot de passe, 123456, sur tout mes comptes, depuis bientôt 10 ans, c'est pas maintenant que je vais changer
Radio courtoisie : la radio libre du pays réel et de la francophonie
Avatar de l’utilisateur
clear.be
Dix mille
Dix mille
 
Message(s) : 10438
Inscription : 10 Sep 2003 19:40

Re: Cloudfalare changer vos passwords

Message par fatmarcel » 26 Fév 2017 11:37

clear.be a écrit :J'ai le même mot de passe, 123456, sur tout mes comptes, depuis bientôt 10 ans, c'est pas maintenant que je vais changer


Et il est plus long que la combinaison du bouclier atmosphérique dans Spaceballs :-)
https://www.youtube.com/watch?v=a6iW-8xPw3k
fatmarcel
Membre
Membre
 
Message(s) : 77
Inscription : 19 Mai 2006 23:46
Localisation : Mons

Re: Cloudfalare changer vos passwords

Message par mackguil » 08 Mars 2017 20:11

Avatar de l’utilisateur
mackguil
Dix mille
Dix mille
 
Message(s) : 17012
Inscription : 14 Mai 2005 10:22
Localisation : Luik Belgium

Re: Cloudfalare changer vos passwords

Message par cire69 » 10 Mars 2017 12:47

clear.be a écrit :J'ai le même mot de passe, 123456, sur tout mes comptes, depuis bientôt 10 ans, c'est pas maintenant que je vais changer

C'est clear.
Avatar de l’utilisateur
cire69
Acharné
Acharné
 
Message(s) : 2112
Inscription : 21 Sep 2008 23:24

Re: Cloudfalare changer vos passwords

Message par clear.be » 10 Mars 2017 13:10

J'ai quand même fini par changer... maintenant c'est 654321...
Radio courtoisie : la radio libre du pays réel et de la francophonie
Avatar de l’utilisateur
clear.be
Dix mille
Dix mille
 
Message(s) : 10438
Inscription : 10 Sep 2003 19:40


Retour vers Forum

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit