Page 1 sur 1

Cloudfalare changer vos passwords

Message Publié : 25 Fév 2017 13:21
par mackguil
Bon ben, vu que Max n'a pas réagi au mail que je lui ai envoyé ...

Solar m'a fait remarquer que:

https://github.com/pirate/sites-using-c ... /README.md

Et bien entendu adsl-bc est dans la liste.

Changer vos mot de passe est vivement conseillé.

Re: Cloudfalare changer vos passwords

Message Publié : 25 Fév 2017 16:45
par NUTS
Ils ont le mot de passe en clair ou le hash ?

Re: Cloudfalare changer vos passwords

Message Publié : 25 Fév 2017 17:26
par max
Je n'ai rien reçu

Re: Cloudfalare changer vos passwords

Message Publié : 25 Fév 2017 17:39
par servperso
Ils ont pu avoir le mot de passe en claire. J'ai réalisé une capture avec l'inspecteur de chrome et vu le password saisi dans la requête post envoyé au serveur.
Habituellement le TLS (ssl) protège l'info, mais ici, pas.

Sinon, j'en profite pour glisser un petit rappel.
Utilisez un gestionnaire de mot de passe, au moins c'est plus safe dans ce genre de cas car le hacker n'aura un impacte que limité :)

Copy/paste de l'inspecteur chrome :
username:coucou
password:passworddetest
redirect:./ucp.php?mode=login
sid:a28f49403aedf7fa381f0f3863cbd598
redirect:index.php
login:Connexion

Re: Cloudfalare changer vos passwords

Message Publié : 25 Fév 2017 17:50
par mackguil
max a écrit :Je n'ai rien reçu


24 02 2017 à 16 20

Re: Cloudfalare changer vos passwords

Message Publié : 25 Fév 2017 17:53
par max
Oui mais ici tu es entre le client et le serveur:)

Dans le cas du cloudbleed, certaines requêtes de certains domaines utilisant cloudflare se sont retrouver en clair (que ce soit le mot de passe ou les tokens)

La liste sur github postée par MacGuil est juste une compilation de tous les domaines utilisant les dns de Cloudflare. Ce qui ne sert à rien. En réalité, on parle de moins de 700 clients concernés.

Changer de mot de passe est toujours une bonne idée et utiliser un gestionnaire de mot de passe en est une meilleure.

Re: Cloudfalare changer vos passwords

Message Publié : 25 Fév 2017 17:54
par max
mackguil a écrit :
max a écrit :Je n'ai rien reçu


24 02 2017 à 16 20


Sur forum-at-adsl-bc.org ?

Re: Cloudfalare changer vos passwords

Message Publié : 25 Fév 2017 17:57
par max
J'ai reçu ton pm, je vais chercher, c'est curieux. Mais pour répondre à ta question, oui j'avais vu, j'avais reçu l'information de Cloudflare directement.

Re: Cloudfalare changer vos passwords

Message Publié : 25 Fév 2017 18:32
par mackguil
max a écrit :J'ai reçu ton pm, je vais chercher, c'est curieux. Mais pour répondre à ta question, oui j'avais vu, j'avais reçu l'information de Cloudflare directement.

Et tu ne conseilles pas de changer de mot de passe ?

Re: Cloudfalare changer vos passwords

Message Publié : 25 Fév 2017 19:19
par esperlu
servperso a écrit :Ils ont pu avoir le mot de passe en claire. J'ai réalisé une capture avec l'inspecteur de chrome et vu le password saisi dans la requête post envoyé au serveur.
Habituellement le TLS (ssl) protège l'info, mais ici, pas.


Il est normal que l'inspecteur de chrome (le client) prépare le login en clair avant de le chiffrer dans la requête qui part sur le net. C'est un paquet sniffer comme tcpdump ou wireshark que tu dois utiliser. Tu verras alors que toute la transaction http qui sort de ton interface réseau est chiffrée. Heureusement.

Re: Cloudfalare changer vos passwords

Message Publié : 25 Fév 2017 19:34
par servperso
Pas forcément,
J'ai déjà écris un système d'auth qui transmet un hash unique et pas un password.
En gros, le client reçois un salt du serveur, prend le password le colle au salt, le hash et renvoi le résultat au serveur.

Au final, tu te retrouve avec quelque chose qui change toujours sur le réseau. Certains sites ont quelque chose de similaire, mais pas phpbb visiblement.

Re: Cloudfalare changer vos passwords

Message Publié : 25 Fév 2017 21:24
par clear.be
J'ai le même mot de passe, 123456, sur tout mes comptes, depuis bientôt 10 ans, c'est pas maintenant que je vais changer

Re: Cloudfalare changer vos passwords

Message Publié : 26 Fév 2017 11:37
par fatmarcel
clear.be a écrit :J'ai le même mot de passe, 123456, sur tout mes comptes, depuis bientôt 10 ans, c'est pas maintenant que je vais changer


Et il est plus long que la combinaison du bouclier atmosphérique dans Spaceballs :-)
https://www.youtube.com/watch?v=a6iW-8xPw3k

Re: Cloudfalare changer vos passwords

Message Publié : 08 Mars 2017 20:11
par mackguil

Re: Cloudfalare changer vos passwords

Message Publié : 10 Mars 2017 12:47
par cire69
clear.be a écrit :J'ai le même mot de passe, 123456, sur tout mes comptes, depuis bientôt 10 ans, c'est pas maintenant que je vais changer

C'est clear.

Re: Cloudfalare changer vos passwords

Message Publié : 10 Mars 2017 13:10
par clear.be
J'ai quand même fini par changer... maintenant c'est 654321...