JeuxOnLineForumsPlusConnectés : 572 (sites) | 1483 (forums)Créer un compte
Dofus>Dofus - Le Village des Tofus Perdus
Événements
Répondre
Partager Rechercher
Fear-Maker
Duc / Duchesse
 

Goultar 2014 - vote de popularité = très bon moyen pour se faire hacker

Vous voulez vous faire hacker : allez voter pour vos représentants au Goutar 2014 !
Souhaitant voter pour un représentant au goultar 2014 via l'adresse proposée par Ankama :
http://www.dofus.com/fr/identificati...uve-popularite
Cette adresse vous demande d'entrer votre identifiant et votre mot de pass
Quel ne fût pas mon étonnement de constater que le site de connexion n'est pas https ; ce qui veut dire que votre identifiant et votre pass vont circuler en clair sur le web. N'importe qui pourra les intercepter et s'en servir
C'est comme si vous étiez dans la foule et que vous lanciez votre carte bleu à votre ami à 10 m et qu'en même temps vous lui criiez votre code en espérant que personne n'attrape la carte et n'écoute le code
Hallucinant
Les puristes vous diront que même en https ce n'est pas sûr, mais c'est le minimum
Mon objectif n'est surtout pas d’empêcher les gens de voter, mais c'est d'avertir les gens du risque énorme de hack et il faut qu'Ankama mette tout en œuvre pour assurer la sécurité de nos comptes
Parce qu'une fois le compte hacké, ils disent que ce n'est pas de leur faute alors qu'ils ont tous les moyens pour empêcher et retrouver les hackeurs
Avatar de Lolcats
Lolcats
Alpha & Oméga
 
Avatar de Lolcats
 
Le thread va probablement se faire fermer, mais tu as tout à faire raison.

(Le lien est le vrai juste au cas si certains doutent)
Avatar de Elium
Elium
Dieu suprême
 
Avatar de Elium
 
Bah y'a pas que cette page qui n'a pas de https, tout le site dofus chez moi n'en a pas.
Avatar de Aroloc
Aroloc [LNFs]
Duc
 
Avatar de Aroloc
 
Ah ouai, faut lancer très très vite et très très fort la carte bleu alors
Avatar de Auroros
Auroros
Dieu créateur
 
Avatar de Auroros
 
Y'a un réel risque si on est aller voter?

Changer son mdp réduit-il/enlève-t-il ce risque?



Edit: merci des précisions Shosuro.

Dernière modification par Auroros ; 16/07/2014 à 07h20.
ShosuroPhil
Alpha & Oméga
 
Citation :
Publié par Auroros
Y'a un réel risque si on est aller voter?
Ben ça veut dire que tu as saisi ton nom de compte et pass et qu'ils ont transite en clair, c'est pas super safe.
Citation :
Changer son mdp réduit-il/enlève-t-il ce risque?
Oui (ton nom de compte reste connu d'un éventuel voleur, mais pas ton mot de passe).
Avatar de Super-mario
Super-mario [VaB]
Alpha & Oméga
 
Avatar de Super-mario
 
Sinon, tu te connectes via le site d'Ankama, ensuite tu vas sur la page du vote, et magie tu n'as pas besoin de saisir tes identifiants.


Par contre, c'est vraiment con que certaines pages soient en https, et pas toutes. (enfin, pas la majorité du moins)
Avatar de Dragonidor
Dragonidor
Dieu
 
Avatar de Dragonidor
 
Merci pour l'info. Du coup, ça donne pas envie d'aller voter.

Puis t'façon, épreuve réservée à une minorité de joueurs...
Avatar de Synedh
Synedh [TiTE]
Alpha & Oméga
 
Avatar de Synedh
 
Les trois quarts du site sont pas en https. Autrement dit, à chaque fois que vous vous êtes connectés sur le site sans passer par la page de gestion de compte (qui rappelons le, bug selon les navigateurs) vous jetez votre carte bleue (bon en fait juste vos identifiants) à votre pote à coté. Bienvenue sur les internet !

Tout ça pour dire que ce que t'annonce dans ton post, c'est loin d'être nouveau et ça a même toujours été le cas.
Avatar de cocothebo
cocothebo
Roi / Reine
 
Avatar de cocothebo
 
Désolé je ne vais citer que quelques morceaux de ton message
Citation :
Publié par Fear-Maker
du risque énorme de hack
Non le risque n'est pas énorme.
Internet est certes une zone au moins grise voir de non droit, mais quand tu n'es pas la NSA (par exemple, ne vous inquiétez pas, les autres font pareil), observer ce qui passe sur le net reste très compliqué (sans compter le filtrage nécessaire pour chopper la bonne requête).
Le danger augmente sur les wifis ouverts sans passer non plus à risque énorme à mon avis.

Citation :
ils ont tous les moyens pour empêcher et retrouver les hackeurs
Ca reste compliqué ça selon le problème



Citation :
Publié par Auroros
Y'a un réel risque si on est aller voter?
En fait un lien http au lieu de https effectivement n'ajoute pas potentiellement de sécurité mais la comparaison qui suit est quand même plus que douteuse.
Il est relativement vraiment très compliqué de s'amuser à sniffer des connexions...donc tout ça pour voler un compte ankama???

Citation :
Changer son mdp réduit-il/enlève-t-il ce risque?
Changer son mdp comme l'explique ShosuroPhil ne fait que réduire le risque sans l'annuler puisque ton nom de compte n'est pas modifiable.


Bref sauf connexion depuis un wifi ouvert (style free wifi ou autre hotspot gratis) même si c'est pas chiffré le risque reste franchement mineur, depuis un hotspot non sécurisé, le risque augmente vu qu'un "attaquant" peut facilement sniffer les échanges sur ce hotspot mais ça reste donc un attaquant qui serait "à côté" de vous.


Attention, mon analyse ci dessus s'applique à dofus (soit un accès à quelque chose de pas non plus si important), cette analyse n'est pas directement applicable en cas d'accès bancaires par exemple...

Dernière modification par cocothebo ; 16/07/2014 à 09h06.
Avatar de Soelian
Soelian
Ange
 
Avatar de Soelian
 
J'me permets de plussoyer cocothebo.

La sécurité, évidemment, c'est bien. Mais il ne faudrait pas être alarmiste quand y a pas lieu de l'être. De base surfer sur internet c'est comme sortir dans la rue, y a un risque, toujours, parfois minime parfois fort. On se promène pas h24 avec un gilet pare-balles + taser dans le sac pour autant, sous prétexte que oui, un danger pourrait survenir et qu'on est vulnérable.

En l'occurrence on parle ici d'une page de login isolée et d'un compte Dofus.
"Sniffer" le truc, jouer au Man In The Middle ou autre, ça demande un minimum de compétence et implique des risques, un gars qui s'y risquerait aurait de bien meilleurs endroits à attaquer franchement. Je bossais justement sur ce genre de question de sécurité dans mes jeunes années et certes un HTTPS ici serait plus rassurant mais le danger réel varie peu à moins que vous passiez par un hotspot wifi publique bien sur mais bon, c'est un peu chercher les ennuis.

Donc p'tet un oublie d'Ankama, ou simplement un soucis de Load balancing (justifié par l'affluence possible de traffic pour voter ?) dont l'Https n'est pas le meilleur ami. Mais bon, se connecter depuis la page usuelle puis aller voter pour être rassuré oui, crier au loup, non vraiment.
Avatar de Deynis
JOL Deynis
Dieu
 
Avatar de Deynis
 
A moins que les bots ne se mettent à participer aux votes, je pense pas qu'un balancing puisse se justifier ici .
Avatar de zheny
zheny
Duchesse
 
Avatar de zheny
 
Moi jsuis plus surpris par une faille qui permettrait si elle etait exploitée de faire voter quelqu'un à son insu. Je comprends pas que ces mécanismes ne soient pas mis automatiquement en place dès qu il y a un formulaire a valider (token anti csrf)
Et si c est pour mettre du https avec une version d openssl vulnérable vaut mieux faire tout circuler en clair ^^"
Avatar de Cococlapinou
Cococlapinou [Apo N]
Alpha & Oméga
 
Avatar de Cococlapinou
 
Merci d'avoir renseigné les personnes concernées qui n'auraient peut-être pas fait attention à cette opportunité.
Avatar de Logredar
Logredar [LVLA]
Dieu
 
Avatar de Logredar
 
Citation :
Publié par ShosuroPhil
Ben ça veut dire que tu as saisi ton nom de compte et pass et qu'ils ont transite en clair, c'est pas super safe.
Il est bon de préciser que le terme "en clair" ne signifie pas que l'on voit les données telles qu'elles sont saisies.
Répondre

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés

Rechercher
Rechercher:

Recherche avancée

© JeuxOnLine / JOL. Tous droits réservés. - Conditions générales d'utilisation - Conditions d'utilisation des forums - Politique de confidentialité - Utilisation de mes données personnelles - ! Signaler un contenu illicite