Événements (Dofus - Le Village des Tofus Perdus)

Goultar 2014 - vote de popularité = très bon moyen pour se faire hacker

Répondre
Partager Rechercher
Vous voulez vous faire hacker : allez voter pour vos représentants au Goutar 2014 !
Souhaitant voter pour un représentant au goultar 2014 via l'adresse proposée par Ankama :
http://www.dofus.com/fr/identificati...uve-popularite
Cette adresse vous demande d'entrer votre identifiant et votre mot de pass
Quel ne fût pas mon étonnement de constater que le site de connexion n'est pas https ; ce qui veut dire que votre identifiant et votre pass vont circuler en clair sur le web. N'importe qui pourra les intercepter et s'en servir
C'est comme si vous étiez dans la foule et que vous lanciez votre carte bleu à votre ami à 10 m et qu'en même temps vous lui criiez votre code en espérant que personne n'attrape la carte et n'écoute le code
Hallucinant
Les puristes vous diront que même en https ce n'est pas sûr, mais c'est le minimum
Mon objectif n'est surtout pas d’empêcher les gens de voter, mais c'est d'avertir les gens du risque énorme de hack et il faut qu'Ankama mette tout en œuvre pour assurer la sécurité de nos comptes
Parce qu'une fois le compte hacké, ils disent que ce n'est pas de leur faute alors qu'ils ont tous les moyens pour empêcher et retrouver les hackeurs
Y'a un réel risque si on est aller voter?

Changer son mdp réduit-il/enlève-t-il ce risque?



Edit: merci des précisions Shosuro.

Dernière modification par Auroros ; 16/07/2014 à 08h20.
Citation :
Publié par Auroros
Y'a un réel risque si on est aller voter?
Ben ça veut dire que tu as saisi ton nom de compte et pass et qu'ils ont transite en clair, c'est pas super safe.
Citation :
Changer son mdp réduit-il/enlève-t-il ce risque?
Oui (ton nom de compte reste connu d'un éventuel voleur, mais pas ton mot de passe).
Sinon, tu te connectes via le site d'Ankama, ensuite tu vas sur la page du vote, et magie tu n'as pas besoin de saisir tes identifiants.


Par contre, c'est vraiment con que certaines pages soient en https, et pas toutes. (enfin, pas la majorité du moins)
Les trois quarts du site sont pas en https. Autrement dit, à chaque fois que vous vous êtes connectés sur le site sans passer par la page de gestion de compte (qui rappelons le, bug selon les navigateurs) vous jetez votre carte bleue (bon en fait juste vos identifiants) à votre pote à coté. Bienvenue sur les internet !

Tout ça pour dire que ce que t'annonce dans ton post, c'est loin d'être nouveau et ça a même toujours été le cas.
Désolé je ne vais citer que quelques morceaux de ton message
Citation :
Publié par Fear-Maker
du risque énorme de hack
Non le risque n'est pas énorme.
Internet est certes une zone au moins grise voir de non droit, mais quand tu n'es pas la NSA (par exemple, ne vous inquiétez pas, les autres font pareil), observer ce qui passe sur le net reste très compliqué (sans compter le filtrage nécessaire pour chopper la bonne requête).
Le danger augmente sur les wifis ouverts sans passer non plus à risque énorme à mon avis.

Citation :
ils ont tous les moyens pour empêcher et retrouver les hackeurs
Ca reste compliqué ça selon le problème



Citation :
Publié par Auroros
Y'a un réel risque si on est aller voter?
En fait un lien http au lieu de https effectivement n'ajoute pas potentiellement de sécurité mais la comparaison qui suit est quand même plus que douteuse.
Il est relativement vraiment très compliqué de s'amuser à sniffer des connexions...donc tout ça pour voler un compte ankama???

Citation :
Changer son mdp réduit-il/enlève-t-il ce risque?
Changer son mdp comme l'explique ShosuroPhil ne fait que réduire le risque sans l'annuler puisque ton nom de compte n'est pas modifiable.


Bref sauf connexion depuis un wifi ouvert (style free wifi ou autre hotspot gratis) même si c'est pas chiffré le risque reste franchement mineur, depuis un hotspot non sécurisé, le risque augmente vu qu'un "attaquant" peut facilement sniffer les échanges sur ce hotspot mais ça reste donc un attaquant qui serait "à côté" de vous.


Attention, mon analyse ci dessus s'applique à dofus (soit un accès à quelque chose de pas non plus si important), cette analyse n'est pas directement applicable en cas d'accès bancaires par exemple...

Dernière modification par cocothebo ; 16/07/2014 à 10h06.
J'me permets de plussoyer cocothebo.

La sécurité, évidemment, c'est bien. Mais il ne faudrait pas être alarmiste quand y a pas lieu de l'être. De base surfer sur internet c'est comme sortir dans la rue, y a un risque, toujours, parfois minime parfois fort. On se promène pas h24 avec un gilet pare-balles + taser dans le sac pour autant, sous prétexte que oui, un danger pourrait survenir et qu'on est vulnérable.

En l'occurrence on parle ici d'une page de login isolée et d'un compte Dofus.
"Sniffer" le truc, jouer au Man In The Middle ou autre, ça demande un minimum de compétence et implique des risques, un gars qui s'y risquerait aurait de bien meilleurs endroits à attaquer franchement. Je bossais justement sur ce genre de question de sécurité dans mes jeunes années et certes un HTTPS ici serait plus rassurant mais le danger réel varie peu à moins que vous passiez par un hotspot wifi publique bien sur mais bon, c'est un peu chercher les ennuis.

Donc p'tet un oublie d'Ankama, ou simplement un soucis de Load balancing (justifié par l'affluence possible de traffic pour voter ?) dont l'Https n'est pas le meilleur ami. Mais bon, se connecter depuis la page usuelle puis aller voter pour être rassuré oui, crier au loup, non vraiment.
Moi jsuis plus surpris par une faille qui permettrait si elle etait exploitée de faire voter quelqu'un à son insu. Je comprends pas que ces mécanismes ne soient pas mis automatiquement en place dès qu il y a un formulaire a valider (token anti csrf)
Et si c est pour mettre du https avec une version d openssl vulnérable vaut mieux faire tout circuler en clair ^^"
Citation :
Publié par ShosuroPhil
Ben ça veut dire que tu as saisi ton nom de compte et pass et qu'ils ont transite en clair, c'est pas super safe.
Il est bon de préciser que le terme "en clair" ne signifie pas que l'on voit les données telles qu'elles sont saisies.
Citation :
Publié par Soelian
La sécurité, évidemment, c'est bien. Mais il ne faudrait pas être alarmiste quand y a pas lieu de l'être. De base surfer sur internet c'est comme sortir dans la rue, y a un risque, toujours, parfois minime parfois fort. On se promène pas h24 avec un gilet pare-balles + taser dans le sac pour autant, sous prétexte que oui, un danger pourrait survenir et qu'on est vulnérable.
C'est selon moi l'exemple le plus parlant. Et pour en ajouter, si tu ne veux pas te blesser tu restes bien au chaud au fond de ton lit (avec l'ordi et dofus bien sûr).
Y a toujours un risque quand tu te connectes sur le site off, au même titre qu'il y en aurait un si tu tombais de ton lit (par exemple).

C'est là que le fait d'être irréprochable en terme de prêt de compte intervient : rien à te reprocher et des preuves de connexions suspectes et généralement ça se passe bien pour récupérer les items (cf les différents sujets de récupération de stuff après vol).
Citation :
Publié par Fear-Maker
Vous voulez vous faire hacker : allez voter pour vos représentants au Goutar 2014 !
Souhaitant voter pour un représentant au goultar 2014 via l'adresse proposée par Ankama :
http://www.dofus.com/fr/identificati...uve-popularite
Cette adresse vous demande d'entrer votre identifiant et votre mot de pass
Quel ne fût pas mon étonnement de constater que le site de connexion n'est pas https ; ce qui veut dire que votre identifiant et votre pass vont circuler en clair sur le web. N'importe qui pourra les intercepter et s'en servir
C'est comme si vous étiez dans la foule et que vous lanciez votre carte bleu à votre ami à 10 m et qu'en même temps vous lui criiez votre code en espérant que personne n'attrape la carte et n'écoute le code
Hallucinant
Les puristes vous diront que même en https ce n'est pas sûr, mais c'est le minimum
Mon objectif n'est surtout pas d’empêcher les gens de voter, mais c'est d'avertir les gens du risque énorme de hack et il faut qu'Ankama mette tout en œuvre pour assurer la sécurité de nos comptes
Parce qu'une fois le compte hacké, ils disent que ce n'est pas de leur faute alors qu'ils ont tous les moyens pour empêcher et retrouver les hackeurs
En fait quand tu t'authentifies tu passes par la brique SSO, tu fais un POST (contenant ton login mot de passe) vers https://account.ankama.com/sso donc normalement il n'y a aucun soucis, tes identifiants ne devraient pas passer en clair.
Le formulaire de départ est bien submité vers du https.
Après par contre on repart sur du http, donc les cookies sont en clair, une personne peut donc se connecter à ta place en utilisant tes cookies. (certains n'ont pas de flag security et httponly d'ailleurs ...)

Mais ce qu'il faut retenir surtout c'est que le login, mot de passe n’apparaissent pas en clair
Pour moi il n'y a absolument pas besoin de changer son mot de passe mais le mieux c'est peut être de s en assurer en attendant le retour d'un membre technique du staff.

Dernière modification par zheny ; 16/07/2014 à 15h52.
Citation :
Publié par Logredar
Il est bon de préciser que le terme "en clair" ne signifie pas que l'on voit les données telles qu'elles sont saisies.
Pas sur d'avoir compris, mais sinon le "en clair" c'est "en clair", les données restent celles que tu as tapées dans la majeure partie des cas.

Citation :
Publié par The-Frostize
Bon en gros, pour les personnes qui comprennent rien comme moi, vous conseillez quoi ? C'est pas dangereux ou faut changer mdp ?

Pour répondre très simplement:
NON

(quand bien même ça passerait en clair ou pas, j'ai pas regardé la page incriminée)
On peut penser que les serveurs d'Ankama sont mieux protégés que les ordis des joueurs - ou du moins, que beaucoup d'ordis de joueurs. Des intrusions dans les systèmes d'Ankama, il y en a eu (pas par keylogger a priori, mais on parle d'autre chose), mais peu à notre connaissance.
Répondre

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés