Nut#nut: Je maintiens qu'en utilisant des moyens usuels un admin ne peut absolument pas connaître le mot de passe. Maintenant si tu veux partir dans les extrêmes, un admin peut également prendre une hallebarde et la pointer sur un joueur pour lui faire avouer son mot de passe. Donc dans l'absolu c'est toujours possible, mais de là à y apporter une quelconque crédibilité...

Le fait que l'authentification soit chiffrée de bout en bout ne changerait strictement rien à la donne. La seule solution est de ne pas le transmettre le mot de passe en utilisant une authentification à base de certificats, ce que fait d'ailleurs le site de impôts (mais aucun autre site y compris les banques en ligne, car cela est très lourd à mettre en place pour l'utilisateur).

Le tout se résumant toujours à un choix délicat entre d'un côté le coût important de chaque mesure de sécurité (pour le site et l'utilisateur) et de l'autre le risque de compromission des données au regard du niveau de confidentialité requis par celles-ci.

L'intérêt que le mot de passe ne soit stocké nul part est par contre majeur. L'accès aux bases de données est généralement le point le plus vulnérable d'une grande majorité de sites webs (notamment à cause des risques d'injection).

Avec un simple accès en écriture aux scripts du site, on peut se mettre à sortir les mots de passe des gens qui le visitent.

En journalisant convenablement les requêtes que t'adressent tes clients, tu peux y lire les mots de passe.

En réécrivant la procédure de connexion, tu peux te mettre à enregistrer les mots de passe.

Ça te parait extrême? Pas moi... C'est très certainement stupide et tu n'aurais strictement aucun intérêt à faire ça, on est bien d'accord. Mais il n'empêche que tu peux le faire.

Le fait que la connexion soit chiffrée de bout en bout élimine pas mal de risques d'interception par des tiers (plus de problème quand à l'utilisation d'un réseau wifi ouvert, web cafe, le réseau de ton entreprise/école/hotel, de Tor ou d'un proxy ouvert).

Les sites non gouvernementaux utilisant l'authentification par certificats existent, je te mets celui d'une banque puisque t'en parles.

Et bien sur à aucun moment j'ai dit que c'est ce qu'il fallait mettre en place, chuis pas fou.

euh... maintenant je commence (depuis un moment mais bon ^^') à avoir du mal à suivre, mais puisque tu veux le savoir snapblue, caliine était ma soeur qui a, une fois de plus recommencer sa partie (elle fait que sa, c'est pas drôle elle progresse pas et du coup je pourrais jamais lui envoyer de mesquineries bouhouh en fin bref) et piirouettte c'est effectivement une amie.

En fait accéder aux mots de passe serait un peu plus compliqué que ça. Les scripts n'ont ni accès aux couches qui gèrent l'authentification ni à celles qui gèrent l'autorisation.  Les justificatifs d'identité étant détruits dès que ces couches ont été traversées. Pour des questions de sécurité et de robustesse celles-ci ne sont pas non plus débrayables sans une modification approfondie du serveur d'application.

Des techniques standards ne permettraient pas non plus de journaliser les requêtes d'identification. L'information transitant dans une partie de la requête qui n'est usuellement ni stockée ni interceptée par les serveurs mandataires.

La méthode la plus simple à mettre en place reste donc l'analyse de paquets réseau, ce qui revient tout bonnement à pirater ses propres connexions entrantes. Les autres solutions nécessiteraient des modifications invasives de l'architecture du site.

Une connexion chiffrée est effectivement une solution sûre pour protéger la transmission. Elle n'aurait toutefois aucun effet contre un piratage provenant de l'intérieur du réseau. Malgré cet avantage non négligeable, son coût de mise en place et d'exploitation est particulièrement important ce qui explique que cela n'est jamais été fait. Les réseaux d'entreprises sont aussi assez souvent incompatibles avec ce type de transmission.

L'exemple que tu donnes est un certificat pour une utilisation en tant que signature électronique et non pour de l'authentification.

Je suis sidéré que tu persistes à nier l'évidence. Enfin, pas complètement puisque tu reconnais la possibilité via le sniff réseau.

En l'état actuel des choses, il suffit pour un script d'appeler document.cookie pour avoir le mot de passe en clair. Je suis certain que tu peux le faire. Je ne sais pas ce que tu entends par "modification approfondie du serveur d'application", ceci dit, mais reconnais que c'est faisable. La question est pas de savoir si ca te demande 30 secondes ou 20 minutes.

Pareil pour les logs, je suis sur que tu peux faire appel à des techniques non standards pour récupérer l'info (et pas forcément via la requête d'authentification d'ailleurs)

Qu'est-ce que tu entends par piratage à l'intérieur du réseau ? J'ai un portable, je vérifie (mon navigateur en fait) que le certificat de www.nutsy.net est bien le bon (imaginons que t'aies fait des frais chez verisign). Quel risque réseau y a-t-t'il alors à passer par un réseau wifi ouvert ? Non parce que si tu me dis que casses du SSL tous les jours ça devient très intéressant. No comment sur le cout, ça risque de nous emmener trop loin. En revanche des réseaux d'entreprise qui bloquent le HTTPS, franchement j'ai encore jamais vu ça. Ca doit être l'enfer.

Concernant l'exemple que je donne, c'est pas de l'authentification par certificat ça peut-être :



(et si tu crois que c'est un montage, rends toi ici, et cliques sur ACCES PAR CERTIFICAT (les majuscules ne sont pas de moi)

Pitié, dites-moi que tout ceci est une blague.

Ah, on dirait que l'état actuel des choses vient de changer ! Envie de nous en dire plus ?

Je pense que c'est une des premières choses que j'ai dite sur ce sujet (1er ou 2nd message) : je peux effectivement pirater le site mais ce n'est pas une option très crédible.

Je parle de piratage à l'intérieur du réseau interne à Nutsy.net où cette protection n'est plus effective.

Cet exemple est effectivement un certificat d'authentification, ce qui n'était pas le cas du précédent.

Ton premier message contient, il me semble : "même en tant qu'admin nous n'avons aucun moyen de le connaître" ce dont je ne comprends toujours pas l'intérêt. Les suivants comme celui-ci indiquent que ce n'est pas "très crédible", alors que c'est parfaitement à ta portée (même si, on est d'accord la-dessus, ca n'a aucun intérêt), quitte à en devenir ridicule avec ton histoire de hallebarde...  Mais pourquoi tu fais ça ? Tu espères rassurer quelqu'un ?

T'as qu'à chiffrer les connexions à l'intérieur de ton réseau, si jamais tu envisages la possibilité qu'il soit compromis.

C'est le même exemple : c'est la même banque.