Commentaires sur : Vous prendrez bien un cookie?

Par : louis

louis — Sun, 27 Jun 2010 15:06:58 +0000

ben non , bizarre ,j’ai beau cocher la case 2 semaine rien ne change
ras le bol

Par : Tuxicoman

Tuxicoman — Sat, 26 Jun 2010 23:49:38 +0000

Aucune idée. Est-ce cette déconnexion apparait aussi après un manque d’interaction avec le site?

Par : louis

louis — Fri, 25 Jun 2010 14:40:07 +0000

salut
pourquoi a chaque fois que je met mon ordi en veille je suis deconnecté a chaque fois il faut retapé le mot de passe , je suis sous windows 7 et yahoo pour ma messagerie
merci pour vos solutions a +

Par : Tuxicoman

Tuxicoman — Fri, 15 Jan 2010 19:42:22 +0000

@Jack l’ass : Tous les articles du blog sous Blogspot ont été réintégrés dans celui-ci. As tu essayé l’outil de recherche tout en haut du site?

Par : Jack l'ass

Jack l'ass — Fri, 15 Jan 2010 13:10:46 +0000

Bonjour,
en lisant votre article puis en me baladant de lien en lien, je suis tombé sur un article introuvable (provenant de votre blog sous blogspot). Ma question est la suivante: auriez vous fait un backup de votre précédent blog ?
Cordialement.

Par : Tuxicoman

Tuxicoman — Thu, 14 Jan 2010 00:23:20 +0000

@simon : Hotmail serait il encore plus bête ? Cela semble vouloir dire que lorsque tu demandes à te déconnecter ca supprime seulement le cookie de ton navigateur… sans pour autant le rendre invalide sur leur serveur.

Ce qui voudrait dire que sniffer le cookie d’hotmail est suffisant pour s’authentifier quand on veut sur leur service, le principe du mot de passe en quelque sorte.

Je ne sais pas si le couple login/mdp est chiffré dans le cookie mais le résultat est le même : le cookie sert de pass.

Par : Simon

Simon — Wed, 13 Jan 2010 22:21:26 +0000

@Tuxicoman : je viens de tester ton programme avec hotmail et ça marche parfaitement même si on prend soin de se déconnecter avant de lancer Firefox pour se connecter avec le cookie.

Je ne pourrais comprendre que le cookies sert à stocker l’identifiant de session et le fait de le récupérer permettrait de faire un vol de session (encore que cela se sécurise…) mais là, ma session devait être différente vu que je m’étais déconnecté, du coup je n’arrive pas à comprendre comme cela est possible.

Ils ne stockent quand même pas mon login et mot de passe directement dans le cookie (même de manière chiffré) ?

Tu as une idée d’où provient cette faille de sécurité (à part le fait de transmettre le cookie en clair) ?

Par : Tuxicoman

Tuxicoman — Wed, 13 Jan 2010 13:48:57 +0000

lol : http://www.numerama.com/magazine/14847-google-annonce-le-chiffrement-par-defaut-pour-gmail.html

Par : Tuxicoman

Tuxicoman — Wed, 13 Jan 2010 12:45:04 +0000

@ olivier :
J »utilise firefox car je peux inclure des cookies dans son fichier de cookie (base sql). Le module webbrowser m’épargne juste de lancer os.system(‘firefox’) si j’ai bien compris.

Scapy a besoin d’etre en root pour pouvoir écouter sur la cate réseau en mode promiscious. C’est pareil pour Wireshark.

@ Xavier et Simon :
Ca fait peur peur mais ca marche…
Seul Yahoo Mail donne du fil à retordre.

Le code est ouvert, libre à vous de l’améliorer.

Par : Simon

Simon — Wed, 13 Jan 2010 09:04:56 +0000

Je me souviens d’une faille de sécurité comme ça sur phpBB, il suffisait d’installer en local en phpBB, de se connecter en tant qu’admin, de modifier légèrement le cookie pour que l’on soit également admin sur d’autres forums.

Je ne peux pas tester ton programme pour le moment, mais il n’empêche que la faille me paraît énorme surtout pour des sites tel que Gmail, Yahoo Mail, MSN et Facebook. Il existe des moyens de sécuriser ce genre de problème d’identification, je ne comprend pas comment ces sites pourrait se faire avoir aussi facilement qu’une injection de cookies.