Le mot de passe abonnement ...

Mustrum_ · 22/07/2003, 12h07

Goa affirme que nous sommes responsables de la sécurité et de la confidentialité de notre de passe abonnement..

Hors, je suis obligé de réduirez les paramètres de sécurité/confidentialité d'Internet Explorer (6) pour pouvoir saisir ce mot de passe et accéder à mes info personnelles !!

Il n'y a pas contradiction la ?
Goa me force a réduire la sécurité de la saisie de mon mot de passe !!

liltian · 22/07/2003, 12h31

il suffit juste que tu autorise le site camelot-europe à écrire un cookie sur ton disque et ca devrait suffire

Sorheim · 22/07/2003, 12h33

Citation :

Goa affirme que nous sommes responsables de la sécurité et de la confidentialité de notre de passe abonnement..

Cela veut dire que tu es responsable de ton mot de passe, tu ne dois le donner à personne. Ca va pas plus loin. Rien à voir avec tes paramètres de sécurité internet.

Mustrum_ · 22/07/2003, 13h03

Citation :

Provient du message de Sorheim
Cela veut dire que tu es responsable de ton mot de passe, tu ne dois le donner à personne. Ca va pas plus loin. Rien à voir avec tes paramètres de sécurité internet.

Bin si..
Je considère que saisir mon pass dans une page qui n'est même pas sécurisé, c'est comme le donner a tout le monde ..

liltian · 22/07/2003, 13h09

le mot de passe ne circule pas en clair, si on te demande de baisser tes paramètres de sécurité, c juste pour pouvoir écrire le cookie qui permettra de t'identifier tout au long de ta visite

Mustrum_ · 22/07/2003, 13h29

La page n'est même pas cryptée
donc je persiste : le mot de passe circule en clair

en crypté ça donnerait ça :

http://mustrum.net/export/tech/crypte.jpg

liltian · 22/07/2003, 13h49

oui bon ok c pas crypté et après? faut pas sombrer dans la parano non plus

Je pense pas qu'il y ait des milliers de personnes qui cherchent a intercepter les données envoyées dans ce formulaire, surtout pour un simple mot de passe daoc... c'est tellement plus facile d'en récupérer par P2P...

Aratorn · 22/07/2003, 13h55

Lorsque tu te connectes sur JoL, et que tu tapes ton pass, vois tu l'icône de site protégé ?
Non, pourtant, le mot de passe est crypté.

C'est probablement la même chose sur le site GOA.

Dallathang · 22/07/2003, 13h57

Citation :

Provient du message de liltian
oui bon ok c pas crypté et après? faut pas sombrer dans la parano non plus

Je pense pas qu'il y ait des milliers de personnes qui cherchent a intercepter les données envoyées dans ce formulaire, surtout pour un simple mot de passe daoc... c'est tellement plus facile d'en récupérer par P2P...

Oui mais ca empeche malheureusement pas que certains ont du se faire avoir, ca n'arrive qu'une fois sur 1000 mais j'aimerais pas etre a la place de cette personne la ...

liltian · 22/07/2003, 13h58

@Aratorn le mot de passe est crypté dans la base, mais l'est-il aussi au moment ou on poste le formulaire? ou est-il crypté plus tard lors de la comparaison avec celui stocké dans la base?

Aratorn · 22/07/2003, 14h00

Citation :

Provient du message de liltian
@Aratorn le mot de passe est crypté dans la base, mais l'est-il aussi au moment ou on poste le formulaire? ou est-il crypté plus tard lors de la comparaison avec celui stocké dans la base?

Sur JoL, il est crypté à l'envoi, et ce, justement grâce aux cookies.
Pour GOA, je n'en sais strictement rien, si ce n'est que le blocage lorsque l'on interdit les cookies semble bien indiquer que ce sont ces derniers qui permettent le cryptage du mot de passe.

Mustrum_ · 22/07/2003, 14h02

Citation :

Provient du message de Aratorn
Lorsque tu te connectes sur JoL, et que tu tapes ton pass, vois tu l'icône de site protégé ?
Non, pourtant, le mot de passe est crypté.

C'est probablement la même chose sur le site GOA.

tu as dit probablement

C'est justement l'incertitude qui me dérange, sachant qu'au moindre pb, goa nous ressort notre responsabilité du mot de passe abo!

Je ne peux pas être responsable d'une transaction probablement cryptée !

liltian · 22/07/2003, 14h03

merci pour toutes ces informations aratorn.

Encore un mystère résolu par aratorn jusqu'ou ira-t-il?

@mustrum tu cherches un peu la petite bete là, non?

Dallathang · 22/07/2003, 14h03

<j'ai dit une betise>

Aratorn · 22/07/2003, 14h05

Citation :

Provient du message de Mustrum
tu as dit probablement

C'est justement l'incertitude qui me dérange, sachant qu'au moindre pb, goa nous ressort notre responsabilité du mot de passe abo!

Pose leur la question, ils te répondront sûrement que oui, c'est crypté, et que non, ils ne te feront pas la description précise des mécanismes de cryptage, simplement pour ne pas faciliter la tâche des potentiels crackers.

@ange Dragoon : Le mot de passe est généré, c'est d'ailleurs un grand avantage de ce côté là : impossible d'utiliser son pass de tous les jours, et donc, plus de sécurité.

liltian · 22/07/2003, 14h05

normalement sur tout bon forum, le mot est crypté dans la base de données (ce qui explique pourquoi on ne peut pas te le redonner mais seulement t'en mettre un nouveau)

Mustrum_ · 22/07/2003, 14h16

Je ne cherche pas la petite bête

Je trouve simplement très contestable que goa nous rende systématiquement ( ou presque) responsable des pertes de mot de pass (cf cluff) alors qu'il ne mette pas en place le minimum de sécurité de leur coté.

@Aratorn : pas besoin de leur demander, la fonction Affichage/source de l'explorer étant mon amie, on voit qu'il s'agit d'un simple hashage MD5 avec ajout préalable d'une chaine que j'espère aléatoire !

Citation :

function OnSubmit()
{
form1.password.value = calcMD5(form1.password.value + 'SUxVPkEV');

if(form1.login.value == '')
alert("Vous devez saisir votre login !");
else if(form1.password.value == '')
alert("Vous devez saisir votre mot de passe !");
else
form1.submit();
}

Sleepy Fitzcairn · 22/07/2003, 14h23

Citation :

Provient du message de Mustrum
Goa affirme que nous sommes responsables de la sécurité et de la confidentialité de notre de passe abonnement..

Hors, je suis obligé de réduirez les paramètres de sécurité/confidentialité d'Internet Explorer (6) pour pouvoir saisir ce mot de passe et accéder à mes info personnelles !!

Il n'y a pas contradiction la ?
Goa me force a réduire la sécurité de la saisie de mon mot de passe !!

Je te soutiens frere cabaliste pour les raisons que tu sais

Durnik / Petit Jean · 22/07/2003, 14h57

IL me semble me souvenir qu'au debut Daoc quand il y avait encore des forums sur le site de Goa, que Goa avait annoncé que les mots de passes étaient crypté par MD5 avec l'ajour d'un chaine aléatoire et que le mot de passe ne circulait pas en clair sur le net.
Mais fais ta demande à la FAQ pour plus de sureté. Comme les forums du site ont disparu suite à des ouins-ouins (justifiés ou non), on ne peut pas retrouver le message.

Mustrum_ · 22/07/2003, 15h14

Le générateur aléatoire de goa doit être en panne ...
Ca fait la 5ieme fois que j'essaye et c'est tjrs la même chaine!

[mode provoc on]
J'en conclu que n'importe qui, ayant accès au réseau de goa (goa peut il garantir l'honnêteté de TOUS les gens qui y travaillent ?), peut 'sniffer' les login/passwd, puis les rejouer a son aise, modifier l'adresse mail et se faire envoyer les passwords sans connaitre le pass d'origine !
[mode provoc off]

Aratorn · 22/07/2003, 15h18

Citation :

Provient du message de Mustrum
Le générateur aléatoire de goa doit être en panne ...
Ca fait la 5ieme fois que j'essaye et c'est tjrs la même chaine!

[mode provoc on]
J'en conclu que n'importe qui, ayant accès au réseau de goa (goa peut il garantir l'honnêteté de TOUS les gens qui y travaillent ?), peut 'sniffer' les login/passwd, puis les rejouer a son aise, modifier l'adresse mail et se faire envoyer les passwords sans connaitre le pass d'origine !
[mode provoc off]

Tu ne peux pas conclure quoi que ce soit au niveau de la génération de la chaine, car justement, tu ne sais pas a quel niveau elle est générée, dans quelles conditions.

Il est fort probable qu'elle soit générée en tenant compte du cookie qui est sur ta machine ( tout comme les mots de passe de JoL le sont ).

Donc, je trouve que tu t'avances beaucoup.

Plutôt que de tirer des plans sur la comète, je t'invite à contacter le service abonnement ou la FAQ pour avoir des détails.

liltian · 22/07/2003, 15h18

ca change peut etre une fois par jour

liltian · 22/07/2003, 15h19

Citation :

Provient du message de Aratorn

Il est fort probable qu'elle soit générée en tenant compte du cookie qui est sur ta machine ( tout comme les mots de passe de JoL le sont ).

j'ai la même chaîne

Sleepy Fitzcairn · 22/07/2003, 15h21

de toute facon goa restera toujours goa ... enfin je me comprend

Tixu · 22/07/2003, 15h22

Citation :

Provient du message de liltian
j'ai la même chaîne

moi aussi.

mais bon, un MD5 etant non reversible, il n'y a aucun moyen pour personne de recuperer le mot de passe.

liltian Prophète	il suffit juste que tu autorise le site camelot-europe à écrire un cookie sur ton disque et ca devrait suffire __________________
22/07/2003, 12h31

Sorheim Prophète	Citation : Goa affirme que nous sommes responsables de la sécurité et de la confidentialité de notre de passe abonnement.. Cela veut dire que tu es responsable de ton mot de passe, tu ne dois le donner à personne. Ca va pas plus loin. Rien à voir avec tes paramètres de sécurité internet.
22/07/2003, 12h33

Mustrum_ [Cy] Alpha & Oméga	Citation : Provient du message de Sorheim Cela veut dire que tu es responsable de ton mot de passe, tu ne dois le donner à personne. Ca va pas plus loin. Rien à voir avec tes paramètres de sécurité internet. Bin si.. Je considère que saisir mon pass dans une page qui n'est même pas sécurisé, c'est comme le donner a tout le monde ..
22/07/2003, 13h03

liltian Prophète	le mot de passe ne circule pas en clair, si on te demande de baisser tes paramètres de sécurité, c juste pour pouvoir écrire le cookie qui permettra de t'identifier tout au long de ta visite __________________
22/07/2003, 13h09

Mustrum_ [Cy] Alpha & Oméga	La page n'est même pas cryptée donc je persiste : le mot de passe circule en clair en crypté ça donnerait ça :
22/07/2003, 13h29

liltian Prophète	oui bon ok c pas crypté et après? faut pas sombrer dans la parano non plus Je pense pas qu'il y ait des milliers de personnes qui cherchent a intercepter les données envoyées dans ce formulaire, surtout pour un simple mot de passe daoc... c'est tellement plus facile d'en récupérer par P2P...
22/07/2003, 13h49

Aratorn [Focus] Alpha & Oméga	Lorsque tu te connectes sur JoL, et que tu tapes ton pass, vois tu l'icône de site protégé ? Non, pourtant, le mot de passe est crypté. C'est probablement la même chose sur le site GOA.
22/07/2003, 13h55

liltian Prophète	@Aratorn le mot de passe est crypté dans la base, mais l'est-il aussi au moment ou on poste le formulaire? ou est-il crypté plus tard lors de la comparaison avec celui stocké dans la base?
22/07/2003, 13h58

liltian Prophète	merci pour toutes ces informations aratorn. Encore un mystère résolu par aratorn jusqu'ou ira-t-il? @mustrum tu cherches un peu la petite bete là, non? __________________
22/07/2003, 14h03

Dallathang [OLP] Prophétesse	<j'ai dit une betise>
22/07/2003, 14h03

liltian Prophète	normalement sur tout bon forum, le mot est crypté dans la base de données (ce qui explique pourquoi on ne peut pas te le redonner mais seulement t'en mettre un nouveau)
22/07/2003, 14h05

liltian Prophète	ca change peut etre une fois par jour __________________
22/07/2003, 15h18

liltian Prophète	Citation : Provient du message de Aratorn Il est fort probable qu'elle soit générée en tenant compte du cookie qui est sur ta machine ( tout comme les mots de passe de JoL le sont ). j'ai la même chaîne
22/07/2003, 15h19

Sleepy Fitzcairn Alpha & Oméga	de toute facon goa restera toujours goa ... enfin je me comprend
22/07/2003, 15h21

Tixu Alpha & Oméga	Citation : Provient du message de liltian j'ai la même chaîne moi aussi. mais bon, un MD5 etant non reversible, il n'y a aucun moyen pour personne de recuperer le mot de passe.
22/07/2003, 15h22

Le mot de passe abonnement ...

Connectés sur ce fil