+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Général (https://jeuweb.org/forumdisplay.php?fid=36)
+--- Forum : Blabla (https://jeuweb.org/forumdisplay.php?fid=42)
+--- Sujet : [Gestionnaire de mot de passe] Besoin de testeur en sécurité (/showthread.php?tid=6943)
RE: [Gestionnaire de mot de passe] Besoin de testeur en sécurité - srm - 08-09-2013
D'une ça nécessiterait que tous les sites fassent ça.
De deux ça n'empêchera pas qu'un script malicieux qui a été injecté sur le site vole ton mot de passe.
RE: [Gestionnaire de mot de passe] Besoin de testeur en sécurité - Xenos - 08-09-2013
C'est vrai pour le 1er point. Pour le second... L'injection peut se faire également soit dans le plugin soit dans le site :p
Mais c'est vrai que pour éviter l'injection en question, le mieux serait d'avoir un standard implémenté dans les navigateurs eux-mêmes, et pas dans le code du site.
Bon courage pour trouver tes failles
RE: [Gestionnaire de mot de passe] Besoin de testeur en sécurité - srm - 08-09-2013
Ah bon ?
Et bien essaye de faire une injection dans mon plugin
RE: [Gestionnaire de mot de passe] Besoin de testeur en sécurité - Xenos - 08-09-2013
Ton plugin est tout nouveau, l'injection peut se faire lors du choix du plugin à installer, surtout si le plugin en question n'est pas "directement" lisible (aka, compilé). Ok, tu diffuse des sources, mais qu'est ce qui assure que la source diffusée correspond au code compilé du plugin?
Ceux qui installent le plugin te font confiance, ok, mais un "faux oxman" pourrait très bien sortir un plugin vérolé, c'est en cela que j'entends le terme "injection".
RE: [Gestionnaire de mot de passe] Besoin de testeur en sécurité - srm - 08-09-2013
Le plugin une fois terminée sera sur le store officiel des Chrome extension.
C'est le seul moyen maintenant de permettre l'installation d'une extension Chrome facilement (sinon il faut faire pas mal de manipulation).
Par conséquent, il ne peut pas y avoir le soucis dont tu parles.
Puisque le site officiel renverra sur la page de l'extension du store Chrome extension.
Si quelqu'un installe une autre extension que celle-ci, ça sera en son âme et conscience.
RE: [Gestionnaire de mot de passe] Besoin de testeur en sécurité - srm - 25-09-2013
Merci pour votre aide.
Pour la peine je suis en train de coder un autre système de gestion de mot de passe
RE: [Gestionnaire de mot de passe] Besoin de testeur en sécurité - Etienne - 25-09-2013
tiens nous au courant, ça m’intéresse grandement =)
RE: [Gestionnaire de mot de passe] Besoin de testeur en sécurité - srm - 25-09-2013
Il va être plus conventionnel
Le principe :
Un login et un mot de passe, une passphrase, une yubikey.
Les mots de passe seront stocké sur le serveur et encrypté avec la passphrase qui ne sera stocké nul part, le décryptage se fera côté client (un peu à la passpack donc)
Mais pour remplir son mot de passe sur un site, il y aura une extension ou un bookmarklet, qui permet d'utiliser sa yubikey pour automatiquement demander le mot de passe du site et le remplir.
RE: [Gestionnaire de mot de passe] Besoin de testeur en sécurité - vol-au-vent - 25-09-2013
Je ne fait jamais confiance à ce type d'outil car même si j'ouvre la console pour vérifier si aucune donnée est envoyé à un serveur il est possible via node.js par exemple de transférer des données sans que le client ne s'en aperçoive !
RE: [Gestionnaire de mot de passe] Besoin de testeur en sécurité - niahoo - 25-09-2013
Tu veux dire que le site sur lequel tu t'inscris peut envoyer tes infos à des tiers ?? ... ben évidemment. Maintenant si c'est une clé unique que tu leur file ça les limite beaucoup.