ecigarette-public.com - le forum de la vape
Bonjour
Bienvenue sur le forum ecigarette-public !

News :
- le forum fête ses dix années d'existence ! Le temps passe vite. Pour fêter cela et vous remercier de votre intérêt, le forum organise deux concours avec une Dotbox et une Eleaf Istick Pico S à gagner. Vous trouverez plus de détail sur ce fil de discussion

Derniers sujets
» [LE SITE] le concours "spécial 10 ans du forum : l'avatar
Hier à 23:29 par daniel32

» Communiqué spécial : Hôpital parisien en alerte - admission de Rico dans leur établissement !
Hier à 23:23 par Pascal1969

» OBS NANO ENGINE RTA SINGLE COIL RTA
Hier à 20:53 par Vieux Pat

» [LE SITE] le concours "spécial 10 ans du forum" : la photo
Hier à 20:39 par Vieux Pat

» Je me présente : mojique, nouveau sur le forum
Hier à 19:58 par Loki

» eVic Primo mini - Batterie neuve qui se decharge toute seule
Hier à 17:51 par flyingtom

» Avis perso
Hier à 14:41 par vapotamix3132

» [ARTICLE 15/06/18] slate.fr : Existe-t-il vraiment un «cannabis légal» en France?
Hier à 11:04 par Vekthaur

» Ma première fois
Lun 18 Juin 2018 - 20:54 par Franck

» Quel est l'impact de la cigarette électronique sur votre santé ?
Lun 18 Juin 2018 - 19:24 par Claire71

» [LE SITE] le forum a 10 ans !
Lun 18 Juin 2018 - 14:56 par roro

» question calcul
Lun 18 Juin 2018 - 13:20 par nebuleuse

» Étude peu encourageante sur les arômes et additifs
Lun 18 Juin 2018 - 12:00 par laurent 13-4

» [ARTICLE 05/06/18]santemagazine.fr : les joies des sondages
Lun 18 Juin 2018 - 10:59 par laurent 13-4

» Fab13 : le retour
Lun 18 Juin 2018 - 9:37 par Vekthaur

» Priest AIO de marvec
Lun 18 Juin 2018 - 9:28 par cnefracasse

»  montage d'un dripper Mesh
Lun 18 Juin 2018 - 1:19 par charlly

» Novavapes, liquides pas chers
Dim 17 Juin 2018 - 7:13 par mojique

» Témoignages : mon 1er kit, celui qui m'a permis de m'éloigner de la tueuse...
Sam 16 Juin 2018 - 20:24 par vtc-ile-de-france

» ARTE : La cigarette électronique, un danger réel pour la santé ?
Sam 16 Juin 2018 - 12:56 par nebuleuse

24 heures sur le forum
sujets actifs du jour
Chercher sur le forum
Loading
Licence
Creative Commons License Site interdit aux moins de 18 ans

Mot de passe en clair par mail...

Aller en bas

Mot de passe en clair par mail...

Message par Zeus le Lun 21 Mai 2018 - 13:32

Bonjour,

Je vous remonte un soucis de sécurité car votre forum suite à une inscription envoie par mail le mot de passe de notre compte et il arrive en clair.
Vous devriez enlever cette ligne du code car question sécurité, c'est pas top. Bon ok, on est pas sur le forum de notre banque mais quand même.

Beaucoup de personnes (la majorité même) ne sont pas très sensibles à la sécurité informatique et utilisent en général le même mot de passe partout.
Avis à ceux qui me liraient, essayer d'utiliser un gestionnaire de mot de passe en connaissant par coeur un seul mot de passe fort puis utiliser pour chaque site/forum un seul et unique mot de passe généré par le gestionnaire de mot de passe.

Zeus
avatar
Zeus
Nouveau membre
Nouveau membre

Nombre de messages : 22
Date d'inscription : 21/05/2018

Revenir en haut Aller en bas

Re: Mot de passe en clair par mail...

Message par Franck le Lun 21 Mai 2018 - 13:37

@Zeus :

Je vais réfléchir à la question. Very Happy Il y a probablement des choses à améliorer dans ce domaine sur le forum.

Ceci dit, beaucoup de sites procèdent de la même manière. je ne compte pas le nombre de fois où, après l'inscription, j'ai reçu mes identifiants et mon mot de passe par courriel. Je me demande d'ailleurs comment on peut faire autrement ? perplexe Hormis l'utilisation d'un gestionnaire de mot de passe, effectivement.

_________________


les articles du fofo    le lexique
avatar
Franck
Admin
Admin

Masculin Commentaires : C'est moi le méchant admin !!!!
Nombre de messages : 22050
Age : 45
Localisation : Essonne
Matériels : Un certain nombre
Date d'inscription : 23/05/2009

Revenir en haut Aller en bas

Re: Mot de passe en clair par mail...

Message par Zeus le Lun 21 Mai 2018 - 13:47

Il suffit simplement au gestionnaire de site d'aller dans le script et de supprimer la valeur concernant le mot de passe qui est envoyé par mail. Sur phpBB, ça doit être facile à régler vu l’engouement de ce script depuis tant d'années.

Quant aux autres sites, je sais que j'écris fréquemment à un administrateur ou poste un topic si c'est un forum pour en parler.
avatar
Zeus
Nouveau membre
Nouveau membre

Nombre de messages : 22
Date d'inscription : 21/05/2018

Revenir en haut Aller en bas

Re: Mot de passe en clair par mail...

Message par VapeNDiy le Lun 21 Mai 2018 - 15:25

l'envoi d'identifiant mot de passe en clair suite à une inscription est normale, par contre les mots de passe sont crypté et donc il est ensuite impossible de renvoyer un mot de passe en clair Wink
avatar
VapeNDiy
Brume (contributeur installé)
Brume (contributeur installé)

Masculin Nombre de messages : 141
Age : 45
Matériels :
Spoiler:
Spoiler:
héhé Invité bien essayé
Spoiler:
plus qu'un clic
Spoiler:
Spoiler:
tétu en fait Very Happy
Spoiler:
Spoiler:
Spoiler:
Spoiler:
des vapoteuses electro et meca Very Happy

Date d'inscription : 14/05/2018

Revenir en haut Aller en bas

Re: Mot de passe en clair par mail...

Message par DeadCowBoy le Lun 21 Mai 2018 - 16:49

Euuuuh non c'est pô normal du tout Smile C'est mon boulot, et je peux vous confirmer qu'un code qui produit ce résultat ne passe pas les tests de validité - en tout cas dans ma boite.
D'ailleurs rien n'y oblige : l'utilisateur crée son identifiant et son mot de passe, reçoit un mail de confirmation et éventuellement un lien pour aciver le compte, et c'est suffisant.
Cette pratique d'envoyer l'identifiant et le mot de passe à la confirmation est d'ailleurs en voie de disparition, en plus il y a de fortes chances qu'elle tombe sous le coup de la GDPR...


avatar
DeadCowBoy
Stratus (contributeur régulier)
Stratus (contributeur régulier)

Masculin Nombre de messages : 206
Age : 54
Localisation : Essonne
Matériels : De l'électro, du méca, du bottom feeder, des drippers, du reconstructible, des atos monstrueux Smile
Date d'inscription : 10/02/2014

Revenir en haut Aller en bas

Re: Mot de passe en clair par mail...

Message par Rico73 le Lun 21 Mai 2018 - 16:51

ça sent le casse couille clown pirat
avatar
Rico73
Kasi modo
Kasi modo

Nombre de messages : 5056
Age : 44
Localisation : Vierzon
Matériels : boites à piles

Date d'inscription : 13/06/2015

Revenir en haut Aller en bas

Re: Mot de passe en clair par mail...

Message par Zeus le Lun 21 Mai 2018 - 17:07

@VapeNDiy a écrit:l'envoi d'identifiant mot de passe en clair suite à une inscription est normale, par contre les mots de passe sont crypté et donc il est ensuite impossible de renvoyer un mot de passe en clair Wink

On ne parle pas de cryptage mais de chiffrement. Ensuite, certainement que le mot de passe est chiffré dans la bdd mais ce n'est pas le cas lors de l'envoi en clair dans le mail de confirmation !

Pour chiffrer le contenu (texte) d'un mail, il faudrait passer par PGP mais pour cela, il faut que l'expéditeur et le destinataire aient la clé publique de l'un et l'autre.
avatar
Zeus
Nouveau membre
Nouveau membre

Nombre de messages : 22
Date d'inscription : 21/05/2018

Revenir en haut Aller en bas

Re: Mot de passe en clair par mail...

Message par VapeNDiy le Lun 21 Mai 2018 - 22:39

whaou! crypté, chiffré, si tu veux jouer sur les mots je te conseil d'être sur d'avoir bien lu ce que j'ai écrit, de savoir comment sont stockés les mots de passe dans PHPBB et de savoir quelle est l'adaptation dans "forumactif"

toujours est il que, en remplissant un formulaire "identifiant", "mot de passe", "email" faut juste m'expliquer en quoi il y a une faille de sécu en envoyant à "e-mail" les autres champs renseignés!

*je rêve on m'apprendre que mon boulot se résume à PGP*
avatar
VapeNDiy
Brume (contributeur installé)
Brume (contributeur installé)

Masculin Nombre de messages : 141
Age : 45
Matériels :
Spoiler:
Spoiler:
héhé Invité bien essayé
Spoiler:
plus qu'un clic
Spoiler:
Spoiler:
tétu en fait Very Happy
Spoiler:
Spoiler:
Spoiler:
Spoiler:
des vapoteuses electro et meca Very Happy

Date d'inscription : 14/05/2018

Revenir en haut Aller en bas

Re: Mot de passe en clair par mail...

Message par DeadCowBoy le Mar 22 Mai 2018 - 1:04

@VapeNDiy, on ne transmet pas de credentials en clair, encore moins par mail. Sasfépa, c'est comme ça.
Un peu comme si ta banque donnait à qui veut l'entendre ton code de CB, au prétexte que c'est toi seul qui as la carte sur toi.

Ou alors tu es d'accord pour t'authentifier en POP3 non crypté pour lire tes mails, ou tu ne vois aucun intérêt à l'utilisation systématique de https, etc...
Les normes de sécurité ont évolué depuis 15 ans. Peut être pas aussi vite que les techniques de piratage, raison de plus Smile
avatar
DeadCowBoy
Stratus (contributeur régulier)
Stratus (contributeur régulier)

Masculin Nombre de messages : 206
Age : 54
Localisation : Essonne
Matériels : De l'électro, du méca, du bottom feeder, des drippers, du reconstructible, des atos monstrueux Smile
Date d'inscription : 10/02/2014

Revenir en haut Aller en bas

Re: Mot de passe en clair par mail...

Message par VapeNDiy le Mar 22 Mai 2018 - 1:28

@DeadCowBoy a écrit:@VapeNDiy, on ne transmet pas de credentials en clair, encore moins par mail. Sasfépa, c'est comme ça.
Un peu comme si ta banque donnait à qui veut l'entendre ton code de CB, au prétexte que c'est toi seul qui as la carte sur toi.

Ou alors tu es d'accord pour t'authentifier en POP3 non crypté pour lire tes mails, ou tu ne vois aucun intérêt à l'utilisation systématique de https, etc...
Les normes de sécurité ont évolué depuis 15 ans. Peut être pas aussi vite que les techniques de piratage, raison de plus Smile

bien sur que ça se fait, de renvoyer par mail les éléments d'un formulaire, ça n'engage aucune responsabilité du "site"

t'as déjà essayé un "brute" en pop3 non crypté? pour le https, le "s" permet juste de passer les routeurs sans controle de quoi que ce soit.

hélas les techniques d'il y a 15 ans marchent encore!

mais bon là on est hors sujet et si je développe en général je facture Wink
avatar
VapeNDiy
Brume (contributeur installé)
Brume (contributeur installé)

Masculin Nombre de messages : 141
Age : 45
Matériels :
Spoiler:
Spoiler:
héhé Invité bien essayé
Spoiler:
plus qu'un clic
Spoiler:
Spoiler:
tétu en fait Very Happy
Spoiler:
Spoiler:
Spoiler:
Spoiler:
des vapoteuses electro et meca Very Happy

Date d'inscription : 14/05/2018

Revenir en haut Aller en bas

Re: Mot de passe en clair par mail...

Message par DeadCowBoy le Mar 22 Mai 2018 - 1:43

Sur du POP3 non crypté pas besoin de brute hein, un coup de wireshark et c'est plié Smile
Quant au https je vois pas trop le rapport avec les routeurs vu que c'est du end to end… A moins qu'on parle d'offloading SSL mais c'est un autre débat et ça ne peut concerner que le B2B.
Mais t'as raison c'est un forum de vape ici, je suis pas là pour te donner des cours Laughing
avatar
DeadCowBoy
Stratus (contributeur régulier)
Stratus (contributeur régulier)

Masculin Nombre de messages : 206
Age : 54
Localisation : Essonne
Matériels : De l'électro, du méca, du bottom feeder, des drippers, du reconstructible, des atos monstrueux Smile
Date d'inscription : 10/02/2014

Revenir en haut Aller en bas

Re: Mot de passe en clair par mail...

Message par VapeNDiy le Mar 22 Mai 2018 - 2:04

@DeadCowBoy a écrit:Sur du POP3 non crypté pas besoin de brute hein, un coup de wireshark et c'est plié Smile
Quant au https je vois pas trop le rapport avec les routeurs vu que c'est du end to end… A moins qu'on parle d'offloading SSL mais c'est un autre débat et ça ne peut concerner que le B2B.
Mais t'as raison c'est un forum de vape ici, je suis pas là pour te donner des cours Laughing
cool, on parle presque le même langage, mais ici on va rester sur la vape

me donner des cours avec des tools Laughing t'as jamais été confronté à des protocoles non utilisés où wireshark ou aircrack sont inutiles, sinon pour le https et les routeurs en général la conf est 'c'est "s" on laisse passer sans regarder"

.. en Mp, tu bosses dans quoi? parce ce que je vais recruter d'ici peu ...
avatar
VapeNDiy
Brume (contributeur installé)
Brume (contributeur installé)

Masculin Nombre de messages : 141
Age : 45
Matériels :
Spoiler:
Spoiler:
héhé Invité bien essayé
Spoiler:
plus qu'un clic
Spoiler:
Spoiler:
tétu en fait Very Happy
Spoiler:
Spoiler:
Spoiler:
Spoiler:
des vapoteuses electro et meca Very Happy

Date d'inscription : 14/05/2018

Revenir en haut Aller en bas

Re: Mot de passe en clair par mail...

Message par DeadCowBoy le Mar 22 Mai 2018 - 2:20

Arf merci mais non merci Smile
Division engineering chez un éditeur logiciel US Smile
avatar
DeadCowBoy
Stratus (contributeur régulier)
Stratus (contributeur régulier)

Masculin Nombre de messages : 206
Age : 54
Localisation : Essonne
Matériels : De l'électro, du méca, du bottom feeder, des drippers, du reconstructible, des atos monstrueux Smile
Date d'inscription : 10/02/2014

Revenir en haut Aller en bas

Re: Mot de passe en clair par mail...

Message par VapeNDiy le Mar 22 Mai 2018 - 2:31

ok, pas de P , je forme déjà des pentesteurs Wink

au plaisir de te lire
avatar
VapeNDiy
Brume (contributeur installé)
Brume (contributeur installé)

Masculin Nombre de messages : 141
Age : 45
Matériels :
Spoiler:
Spoiler:
héhé Invité bien essayé
Spoiler:
plus qu'un clic
Spoiler:
Spoiler:
tétu en fait Very Happy
Spoiler:
Spoiler:
Spoiler:
Spoiler:
des vapoteuses electro et meca Very Happy

Date d'inscription : 14/05/2018

Revenir en haut Aller en bas

Re: Mot de passe en clair par mail...

Message par bibidochon le Mar 22 Mai 2018 - 6:51

...et alors ? Et alors ? On veut savoir, finalement c'est qui qui a la plus grosse ? bounce
avatar
bibidochon
Cirrus (maître contributeur)
Cirrus (maître contributeur)

Masculin Commentaires : ...obsolète
Nombre de messages : 17110
Age : 99
Localisation : Hagard du Nord
Date d'inscription : 12/01/2012

Revenir en haut Aller en bas

Re: Mot de passe en clair par mail...

Message par Franck le Mar 22 Mai 2018 - 7:11

@tous :

Hé les gars. Votre débat est intéressant et on en apprend jamais assez sur la securité mais il est assez difficile à suivre pour le non-initié. Aussi lorsque vous employez un terme technique,  n'hésitez surtout pas à l'expliciter un tout petit peu pour que chaque lecteur puisse un peu mieux comprendre et éventuellement  se faire une opinion !

_________________


les articles du fofo    le lexique
avatar
Franck
Admin
Admin

Masculin Commentaires : C'est moi le méchant admin !!!!
Nombre de messages : 22050
Age : 45
Localisation : Essonne
Matériels : Un certain nombre
Date d'inscription : 23/05/2009

Revenir en haut Aller en bas

Re: Mot de passe en clair par mail...

Message par DeadCowBoy le Mar 22 Mai 2018 - 12:11

Oui Franck, tu as raison, toutes mes excuses à tous.
Bon déjà c'est pas une engueulade, juste une discussion de techos un peu perchés - il n'en manque pas dans l'informatique Smile
Ensuite c'était clairement HS, mais je veux bien résumer en termes plus clairs :

Par principe on ne transmet jamais le couple identifiant/mot de passe (les "credentials") en clair, par aucun moyen, a fortiori le mail.
C'est un peu comme si votre banque postait votre code de carte bancaire sur sa page Facebook, en se disant qu'il n'y a aucun risque puisque vous êtes le seul à détenir la carte bancaire en question...
Vous me direz que la différence entre votre email et une page Facebook c'est que l'email est protégé par... votre identifiant et un mot de passe.
Sauf que la communication entre votre PC et votre boîte mail peut se faire via un langage (un protocole) non crypté. Dans ce cas, il est facile d'intercepter la communication (si si je vous assure que c'est facile) et de voir passer en clair vorte mot de passe... c'est le cas du protocole POP3 (Post Office Protocol).
Pour https: c'est la version sécurisée (chiffrée, cryptée - c'est la même chose sauf que "crypté" est un anglicisme Smile) du protocole http que nous utilisons tous quand on va sur le wèbe (entre autres, mais c'est un aurte sujet).
Le principe est que le PC et le site web échangent une clé de chiffrement qui permettra de rendre la communication inintelligible pour n'importe qui d'autre. Ce n'est pas infaillible, majoritairement à cause du dispositif situé entre la chaise et le clavier, qui peut souvent se faire tromper et détourner sa communication à l'insu de son plein gré.
Mais dans l'ensemble, ça fonctionne plutôt très bien. L'utilisation du https est devenue quasiment systématique, surtout après la recommandation du W3C (World Wide Web Consortium, un organisme qui régit les standards sur internet - POUR RESUMER Smile). Du coup la plupart des hébergeurs, opérateurs, acteurs majeurs du Web refusent ou bloquent le protocole http - et imposent le https -  pour garantir une bonne sécurité des échanges...

Bref. Tout ça pour dire : SVP corrigez ce souci d'envoi des credentials en clair par mail, c'est dangereux. Bien sûr ce n'est "qu'un" forum de vape, mais le fait est que de très nombreuses personnes utilisent le même mot de passe un peu partout. C'est pas bien, mais c'est comme ça. C'est donc agir de manière responsable que d'éviter d'exposer les credentials là où ils n'ont pas besoin de l'être (c'est à dire, nulle part, en fait).


Dernière édition par DeadCowBoy le Mar 22 Mai 2018 - 23:42, édité 1 fois
avatar
DeadCowBoy
Stratus (contributeur régulier)
Stratus (contributeur régulier)

Masculin Nombre de messages : 206
Age : 54
Localisation : Essonne
Matériels : De l'électro, du méca, du bottom feeder, des drippers, du reconstructible, des atos monstrueux Smile
Date d'inscription : 10/02/2014

Revenir en haut Aller en bas

Re: Mot de passe en clair par mail...

Message par ludovic.g le Mar 22 Mai 2018 - 19:58

J'ai vue pire qu'un mail reçu avec login/mdp.
J'ai eu un PC à dépanner et dedans il y avait un joli document texte sur le bureau avec l'ensemble des logins/mdp avec l'url de tous les sites à côté, y compris banque, impôts, etc.
Tu chope le contrôle du PC via n'importe quelle faille et en 1 seul fichier, t'as accès à tout.
avatar
ludovic.g
Cirrus (maître contributeur)
Cirrus (maître contributeur)

Masculin Commentaires : Un dragon au pays de la vapeur
Nombre de messages : 3488
Age : 39
Localisation : Au pôle Nord
Matériels :
Je vape avec ça:
-=MOD Électro=-
eVic VTC Mini
-=MOD Méca=-
Cherry Bomber - Wolf e-pipe - Cartel - Ehpro
-=Atos=-
Taifun GT 1-2-3 - UD Bellus - Ammit RTA - 2 drippers saveurs
-=Consommables=-
Cotton japonais UD - Kanthal A1 0.40 (26Ga) - Ni80 0.40 (26Ga)
-=DIY=-
50/50 PG/VG en fruités
-=Au placard=-
--MOD--
Quantic - Cloupor mini - Vamo V5 SS - IPV D2
--Atos--
SMOCK PBC V1

Date d'inscription : 30/04/2013

Revenir en haut Aller en bas

Re: Mot de passe en clair par mail...

Message par Franck le Mar 22 Mai 2018 - 20:12

@DeadCowBoy :

Mais il n'y a pas de souci. Very Happy
Il est facile lorsqu'on maîtrise un domaine de parler avec un langage plus ou moins technique. beaucoup de métiers, de sports, de passions, de hobbys ont leur propre vocabulaire. La vape en reconstructible quelquefois ce n'est pas mal non plus ! Razz
Donc, c'est bien qu'on fasse aussi l'effort de traduire les posts pour le plus grand nombre. Mais, autant sur la vape, le staff peut intervenir pour tenter de rendre plus simple, j'avoue que, dans le domaine informatique, c'est plus compliqué pour moi en tout cas Sifflote

Là, tu vois, j'ai tout compris à ton post ! cheers

_________________


les articles du fofo    le lexique
avatar
Franck
Admin
Admin

Masculin Commentaires : C'est moi le méchant admin !!!!
Nombre de messages : 22050
Age : 45
Localisation : Essonne
Matériels : Un certain nombre
Date d'inscription : 23/05/2009

Revenir en haut Aller en bas

Re: Mot de passe en clair par mail...

Message par copiercoller le Mar 22 Mai 2018 - 20:57

@ludo a écrit:il y avait un joli document texte sur le bureau avec l'ensemble des logins/mdp avec l'url de tous les sites à côté, y compris banque, impôts, etc.
C'est tout moi ça arrrg !, et c'est con, et je le sais... :S
avatar
copiercoller
Cirrus (maître contributeur)
Cirrus (maître contributeur)

Masculin Commentaires : Non.
Nombre de messages : 8343
Age : 66
Localisation : ville rose et Paris
Matériels :
Oh lui hé !:
maternelle : ego 650
primaire : twist (jerk, mash-potatoes ...)
collège : vamo
lycée : istick
fac : aspirator 300W

point PM : 3

Date d'inscription : 06/07/2013

Revenir en haut Aller en bas

Re: Mot de passe en clair par mail...

Message par Shaigan le Mar 22 Mai 2018 - 23:51

@copiercoller a écrit:
@ludo a écrit:il y avait un joli document texte sur le bureau avec l'ensemble des logins/mdp avec l'url de tous les sites à côté, y compris banque, impôts, etc.
C'est tout moi ça arrrg !, et c'est con, et je le sais... :S
Imprime le... C'est tout aussi con mais au pire c'est moins facile de le choper.
avatar
Shaigan
Cumulonimbus (grand contributeur)
Cumulonimbus (grand contributeur)

Masculin Nombre de messages : 1246
Localisation : Hautes-Pyrénées
Matériels : Genesis sur tubes méca et box BF méca
Date d'inscription : 17/09/2013

http://www.shaigan-reloaded.net

Revenir en haut Aller en bas

Revenir en haut


 
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum