Gmail : des données à la merci des pirates ?

PierroLille a écrit:
Trucs et astuces: Sous firefox, il y a un plugin qui force la connection ssl.
(Je n'utilise pas gmail notifier)

Suzanna

Tu parles du ssl google ? Chez moi il est par défaut : je tape mail.google.com et il me redirige vers un https. Ah oui, je n'ai pas firefox et encore moins ce plugin. Au pire je (me) force à mettre un "s" devant http au besoin. Inutile d'alourdir mon pc avec un plugin inutile.

Tu parles d'un ssl sur tous les sites ? Ben si le site n'a pas ses pages en ssl tu auras un peu de mal à y aller...

---

PierroLille a écrit:
En faite pour simplifier, il s'agit d'une action faite à ton insu. Dans l'exemple de gmail, si tu laisses ta session ouverte et que je t'envoie un mail avec un lien qui réalise une action gmail (Ex: www.gmail.com/redirigeTousLesMails.php?test@test.com) si tu cliques dessus alors l'action sera réalisé sur ton compte gmail.
L'article mets juste en avant les répercutions qu'il pourrait y avoir si quelqu'un se fait avoir.
C'est pas spécifique à gmail.

Ca fait beaucoup de "si" avant de pouvoir pirater un compte non ? :ane:

"si tu laisses la porte ouverte et si tu me déroules le tapis rouge et si tu m'appelles pour me le dire et si j'ai le temps d'y aller alors j'irai te cambrioler" :ane:
Edité le 27/09/2007 à 22:24

Bon de sang de banzaï j'espere qu'ils vont vite réparer cette faille pck de nombreuses données confidentiel pourrait être dans de très mauvaises main :(
J'avais déjà remarqué ceci : je suis allé sur un ordinateur autre que le mien et je suis allé voir mes mails sans coché la case mémorisé mon login. Après avoir lu mes mails je me suis déconnecté puis je suis retourné dans connexion gmail pour vérifier et mon login ainsi que mon mot de pass était là (je m'étais assuré de ne pas avoir cocher mémoriser et quand le navigateur m'a demandé de mémoriser à son tour je lui ai dit non).

"Gmail laisse ouverte la session d'un internaute après qu'il ai consulté ses messages..."


.
Edité le 28/09/2007 à 02:45

Zimt a écrit:
"Gmail laisse ouverte la session d'un internaute après qu'il ai consulté ses messages..."

Ca t'arrive de lire les messages précédent avant de poster ? Enfin je dis ca, c'est pour toi, hein... :paf:

Zimt tu as oublié de souligner :
<i>"les conséquences que <b><u>pourrait</u></b> avoir une faille de sécurité..."</i> et <i>"consulter sa <b><u>boîte</u></b> de réception."</i>

---

Zimt tu as oublié de souligner :
"les conséquences que pourrait avoir une faille de sécurité..." et "consulter sa boîte de réception."

Désolé pour mon premier message, celui-là est mieux !

Lamtd a écrit:

Ca t'arrive de lire les messages précédent avant de poster ? Enfin je dis ca, c'est pour toi, hein... :paf:

Désolé mais ça n'est pas systématiquement :neutre: ;)

.
Edité le 28/09/2007 à 10:00

Zimt a écrit:
"Gmail laisse ouverte la session d'un internaute après qu'il ai consulté ses messages..."
.

après qu'il ai ? C'est un nouveau temps ? ;)

Poliot a écrit:
Je cherchait pourquoi il y avait écrit Goo9le sur le logo Google aujourd'hui (maintenant je sais, c'est pour les 9 ans de Google)
et je suis tombé sur ça:
www.google.com...
Ce truc de G33K!
Et j'ai bien l'impression que c'est un vrai hack! Après avoir cliqué sur un des liens je me suis retrouvé avec mon www.google.com tout écrit en leet speak!
Bon, après il suffit de rerégler English dans les préférences et tout est redevenu OK!

je n'aurais qu'un mot: ""3|\|0r|\/|3"" :D
on peut activer la recherche en leet speak, et après on critique le sms style :
www.google.com...

C'est pour celà que sur les sites dont j'ai créé la sécurité, je stocke le hash de la session et non la sessionID elle-même. Le server a besoin de faire une référence croisée pour être sûr que l'ID n'est pas spoofée, ni l'IP.
L'inconvénient est qu'un utilisateur qui ferme son navigateur ou qui change d'ip doit s'identifier à nouveau. Mais je préfère celà pour le bien de mes visiteurs.

ohno, les "si" corespondent exactement à ce type d'attaque. En effet, il s'agit d'une attaque basé sur la confiance que donne gmail à ses utilisateurs.
Discours google:
SI un utilisateur fait une redirection de mail, c'est son problème.
Discours d'un pirate:
Si google fait confiance en ses utilisateurs alors il y a une faille.

Pour le ssl, je suis tout à fait d'accord avec toi. Si il n'y a pas de connexion ssl à un site web, alors je ne pourrais pas m'y connecter en ssl :)
J'ai déjà eu la surprise sous firefox de voir qu'il ne me connectait pas systématiquement en ssl à gmail. J'ai donc trouvé un plugin qui pese quelques Ko... Je te tiens au courant si mon ordinateur ralenti!

PierroLille a écrit:
ohno, les "si" corespondent exactement à ce type d'attaque. En effet, il s'agit d'une attaque basé sur la confiance que donne gmail à ses utilisateurs.
Discours google:
SI un utilisateur fait une redirection de mail, c'est son problème.
Discours d'un pirate:
Si google fait confiance en ses utilisateurs alors il y a une faille.

La technique de la clé sous le paillasson quoi. Pour moi une attaque c'est quand toutes les précautions ont été prises et que malgré tout il y a intrusion. Quant au type qui a oublié sa clé (avec adresse écrit sur le porte-clé) sur le comptoir du bar, et s'il subit une pénétration, plus que le terme "attaque" ce serait plutôt le terme "couillonnade" ou "enQlade" que j'utiliserai . :super:

PierroLille a écrit:

Pour le ssl, je suis tout à fait d'accord avec toi. Si il n'y a pas de connexion ssl à un site web, alors je ne pourrais pas m'y connecter en ssl :)
J'ai déjà eu la surprise sous firefox de voir qu'il ne me connectait pas systématiquement en ssl à gmail. J'ai donc trouvé un plugin qui pese quelques Ko... Je te tiens au courant si mon ordinateur ralenti!

tiens moi aussi au courant de l'évolution du nombre de programmes / plugins qui sont dans ton pc :ane:
Edité le 28/09/2007 à 21:59