cache navigateur

Le
Olivier Masson
Bonjour,

En testant diverses méthodes d'authentification, j'ai soudainement (ça
montre que j'avais pas réfléchi bien longtemps avant) pensé à un
problème : dans un cybercafé ou autre point d'accès internet public
(physique, pas uniquement la connexion), qq un qui se connecte, même en
https, une session courte, etc. va laisser ses identifiants sur le
navigateur.

Donc n'importe qui peut venir ensuite et exploiter ces données très
facilement, qu'elles aient été envoyées en get ou en post.

Sans parler bien sûr des keylogger et autres techniques : je pars du
principe que ce n'est pas le tenancier qui est malhonnête dans ce cas de
figure.

Alors comment se protéger au mieux de ça (pour une appli simple, pas se
balader avec un token rsa)?

En fait, est-il tout simplement possible de s'en prémunir (hormis donc
token - trop cher -, carte à puce - puisque pas de lecteur -), quitte à
avoir une identification renforcée dans cette situation ?

Merci.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le Gaulois
Le #16341041
Olivier Masson a écrit :

En testant diverses méthodes d'authentification, j'ai soudainement (ça
montre que j'avais pas réfléchi bien longtemps avant) pensé à un
problème : dans un cybercafé ou autre point d'accès internet public
(physique, pas uniquement la connexion), qq un qui se connecte, même en
https, une session courte, etc. va laisser ses identifiants sur le
navigateur.

Donc n'importe qui peut venir ensuite et exploiter ces données très
facilement, qu'elles aient été envoyées en get ou en post.

Sans parler bien sûr des keylogger et autres techniques : je pars du
principe que ce n'est pas le tenancier qui est malhonnête dans ce cas de
figure.

Alors comment se protéger au mieux de ça (pour une appli simple, pas se
balader avec un token rsa)?

En fait, est-il tout simplement possible de s'en prémunir (hormis donc
token - trop cher -, carte à puce - puisque pas de lecteur -), quitte à
avoir une identification renforcée dans cette situation ?



On peut paramétrer le navigateur pour ne pas mémoriser ce qui est
saisi.
L'utilisateur lorsqu'il a terminé peut utiliser la fonction
"Effacer mes traces".
Le Gaulois
Le #16341051
Olivier Masson a écrit :

En testant diverses méthodes d'authentification, j'ai soudainement (ça
montre que j'avais pas réfléchi bien longtemps avant) pensé à un
problème : dans un cybercafé ou autre point d'accès internet public
(physique, pas uniquement la connexion), qq un qui se connecte, même en
https, une session courte, etc. va laisser ses identifiants sur le
navigateur.

Donc n'importe qui peut venir ensuite et exploiter ces données très
facilement, qu'elles aient été envoyées en get ou en post.

Sans parler bien sûr des keylogger et autres techniques : je pars du
principe que ce n'est pas le tenancier qui est malhonnête dans ce cas de
figure.

Alors comment se protéger au mieux de ça (pour une appli simple, pas se
balader avec un token rsa)?

En fait, est-il tout simplement possible de s'en prémunir (hormis donc
token - trop cher -, carte à puce - puisque pas de lecteur -), quitte à
avoir une identification renforcée dans cette situation ?



On peut paramétrer le navigateur pour ne pas mémoriser ce qui est
saisi.
L'utilisateur lorsqu'il a terminé peut utiliser la fonction
"Effacer mes traces".
Olivier Masson
Le #16342871
Le Gaulois a écrit :

On peut paramétrer le navigateur pour ne pas mémoriser ce qui est
saisi.
L'utilisateur lorsqu'il a terminé peut utiliser la fonction
"Effacer mes traces".



:) Oui bon, il faut vraiment supposer que le cyber-café est honnête alors...
Je cherche des solutions à la connexion, pas à la déconnexion (une fois
que l'info est là, elle peut être récupérée : je doute de l'efficacité
de l'effacement "effacer mes traces").
Adrien
Le #16342961
Olivier Masson a écrit :
Le Gaulois a écrit :

On peut paramétrer le navigateur pour ne pas mémoriser ce qui est
saisi.
L'utilisateur lorsqu'il a terminé peut utiliser la fonction
"Effacer mes traces".



:) Oui bon, il faut vraiment supposer que le cyber-café est honnête
alors...
Je cherche des solutions à la connexion, pas à la déconnexion (une fois
que l'info est là, elle peut être récupérée : je doute de l'efficacité
de l'effacement "effacer mes traces").



Et si tu navigues à partir d'une clé USB, ça ne règle pas le problème?
Fabien LE LEZ
Le #16347631
On 16 Jul 2008 15:15:06 GMT, Olivier Masson
:) Oui bon, il faut vraiment supposer que le cyber-café est honnête alors...



De toute façon, si tu veux utiliser son clavier, tu n'as pas le choix.
Olivier Masson
Le #16348401
Adrien a écrit :

Et si tu navigues à partir d'une clé USB, ça ne règle pas le problème?



En partie, mais encore faut-il se balader avec une clé.
Je pense qu'il n'y a pas d'autre solution que le mot de passe à usage
unique. Reste à le mettre en place...
Pascal
Le #16350041
-------- Message original --------

Bonjour,

En testant diverses méthodes d'authentification, j'ai soudainement (ça
montre que j'avais pas réfléchi bien longtemps avant) pensé à un
problème : dans un cybercafé ou autre point d'accès internet public
(physique, pas uniquement la connexion), qq un qui se connecte, même en
https, une session courte, etc. va laisser ses identifiants sur le
navigateur.

Donc n'importe qui peut venir ensuite et exploiter ces données très
facilement, qu'elles aient été envoyées en get ou en post.

Sans parler bien sûr des keylogger et autres techniques : je pars du
principe que ce n'est pas le tenancier qui est malhonnête dans ce cas de
figure.

Alors comment se protéger au mieux de ça (pour une appli simple, pas se
balader avec un token rsa)?

En fait, est-il tout simplement possible de s'en prémunir (hormis donc
token - trop cher -, carte à puce - puisque pas de lecteur -), quitte à
avoir une identification renforcée dans cette situation ?

Merci.


pourquoi ne pas utiliser des pc en mode kiosque genre ltsp ?
Bruno S
Le #16350641
Olivier Masson a écrit :
Bonjour,

En testant diverses méthodes d'authentification, j'ai soudainement (ça
montre que j'avais pas réfléchi bien longtemps avant) pensé à un
problème : dans un cybercafé ou autre point d'accès internet public
(physique, pas uniquement la connexion), qq un qui se connecte, même en
https, une session courte, etc. va laisser ses identifiants sur le
navigateur.

Donc n'importe qui peut venir ensuite et exploiter ces données très
facilement, qu'elles aient été envoyées en get ou en post.

Sans parler bien sûr des keylogger et autres techniques : je pars du
principe que ce n'est pas le tenancier qui est malhonnête dans ce cas de
figure.

Alors comment se protéger au mieux de ça (pour une appli simple, pas se
balader avec un token rsa)?

En fait, est-il tout simplement possible de s'en prémunir (hormis donc
token - trop cher -, carte à puce - puisque pas de lecteur -), quitte à
avoir une identification renforcée dans cette situation ?

Merci.


Sans parler des logiciels espions pré-installés, nettoyer toutes les
traces de navigation avant et après l'utilisation du navigateur.
Certains cyber-café restaure un ghost après l'utilisation de chaque PC
Olivier Masson
Le #16351931
Pascal a écrit :

pourquoi ne pas utiliser des pc en mode kiosque genre ltsp ?



Je ne suis pas un cyber-café :) Je cherche des solutions pour pouvoir
s'y rendre sans risque (hormis le mauvais café.)
Eric Razny
Le #16355581
Le Thu, 17 Jul 2008 07:28:39 +0000, Olivier Masson a écrit :

Adrien a écrit :

Et si tu navigues à partir d'une clé USB, ça ne règle pas le problème?





Même pas, il existe des keyloggers "physiques" :)

En partie, mais encore faut-il se balader avec une clé.
Je pense qu'il n'y a pas d'autre solution que le mot de passe à usage
unique. Reste à le mettre en place...



OPIE ne marche pas trop mal et est assez simple à mettre en oeuvre (au
moins sur des machines linux) et il existe des clients (pour calculer le
password) à peut près sous tout et n'importe quoi, et en particulier les
pda et autres smartphones.

Le OTP est effectivement la seule solution qui m'a paru convenable en
partant du fait que je suis en environnement hostile pour ssh. Je risque
toujours le hijacking de ma session ouverte mais pas les rejeux.

Néanmoins attention : sur son seurveur sous ssh (par exemple) on a
naturellement tendance à se sentir en sécurité ; on tappe facilement
des couples login/password qui eux peuvent être récupéré par le
keylogger. Si ces accès concernent d'autres machines/protocoles
accessibles directement depuis le net, c'est cuit aussi :)

Eric
Publicité
Poster une réponse
Anonyme