je voudrais savoir si un administrateur de site web(service messagerie,..) peut connaître le mot de passe d'un client?
En général oui.
patpro ~ patrick proniewski
In article <52063bf6$0$2317$, Nicolas George <nicolas$ wrote:
marioski , dans le message , a écrit : > je voudrais savoir si un administrateur de site web(service messagerie,..) > peut connaître le mot de passe d'un client?
En général oui.
Je nuancerais en disant que l'admin du site est presque toujours en capacité technique de connaitre les mots de passe des utilisateurs, mais en général rien n'est fait dans ce sens.
patpro
-- photo http://photo.patpro.net/ blog http://www.patpro.net/
In article <52063bf6$0$2317$426a34cc@news.free.fr>,
Nicolas George <nicolas$george@salle-s.org> wrote:
marioski , dans le message
<dec4344a-5a45-477b-aee7-7ff0560f4272@googlegroups.com>, a écrit :
> je voudrais savoir si un administrateur de site web(service messagerie,..)
> peut connaître le mot de passe d'un client?
En général oui.
Je nuancerais en disant que l'admin du site est presque toujours en
capacité technique de connaitre les mots de passe des utilisateurs, mais
en général rien n'est fait dans ce sens.
patpro
--
photo http://photo.patpro.net/
blog http://www.patpro.net/
In article <52063bf6$0$2317$, Nicolas George <nicolas$ wrote:
marioski , dans le message , a écrit : > je voudrais savoir si un administrateur de site web(service messagerie,..) > peut connaître le mot de passe d'un client?
En général oui.
Je nuancerais en disant que l'admin du site est presque toujours en capacité technique de connaitre les mots de passe des utilisateurs, mais en général rien n'est fait dans ce sens.
patpro
-- photo http://photo.patpro.net/ blog http://www.patpro.net/
Nicolas George
patpro ~ patrick proniewski , dans le message , a écrit :
Je nuancerais en disant que l'admin du site est presque toujours en capacité technique de connaitre les mots de passe des utilisateurs, mais en général rien n'est fait dans ce sens.
Mon pifomètre me dit que la majorité des sites stockent les mots de passe en clair.
(Majorité en nombre ; probablement moins en visibilité, car un site très visible a plus de moyens et d'incitation pour avoir un technicien vaguement sérieux.)
patpro ~ patrick proniewski , dans le message
<patpro-36EF72.16094610082013@node-81s.pool-1-0.dynamic.totbb.net>, a
écrit :
Je nuancerais en disant que l'admin du site est presque toujours en
capacité technique de connaitre les mots de passe des utilisateurs, mais
en général rien n'est fait dans ce sens.
Mon pifomètre me dit que la majorité des sites stockent les mots de passe en
clair.
(Majorité en nombre ; probablement moins en visibilité, car un site très
visible a plus de moyens et d'incitation pour avoir un technicien vaguement
sérieux.)
patpro ~ patrick proniewski , dans le message , a écrit :
Je nuancerais en disant que l'admin du site est presque toujours en capacité technique de connaitre les mots de passe des utilisateurs, mais en général rien n'est fait dans ce sens.
Mon pifomètre me dit que la majorité des sites stockent les mots de passe en clair.
(Majorité en nombre ; probablement moins en visibilité, car un site très visible a plus de moyens et d'incitation pour avoir un technicien vaguement sérieux.)
Otomatic
Nicolas George <nicolas$ écrivait :
Mon pifomètre me dit que la majorité des sites stockent les mots de passe en clair.
Je ne connais que le « hachage » (md5 + salt) des mots de passe des utilisateurs de mon forum et c'est sous cette forme qu'ils sont stockés. -- Ce n'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont forcément raison. Coluche
Nicolas George <nicolas$george@salle-s.org> écrivait :
Mon pifomètre me dit que la majorité des sites stockent les mots de passe en
clair.
Je ne connais que le « hachage » (md5 + salt) des mots de passe des
utilisateurs de mon forum et c'est sous cette forme qu'ils sont stockés.
--
Ce n'est pas parce qu'ils sont nombreux à avoir tort
qu'ils ont forcément raison. Coluche
Mon pifomètre me dit que la majorité des sites stockent les mots de passe en clair.
Je ne connais que le « hachage » (md5 + salt) des mots de passe des utilisateurs de mon forum et c'est sous cette forme qu'ils sont stockés. -- Ce n'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont forcément raison. Coluche
Yliur
Le 10 Aug 2013 14:22:39 GMT Nicolas George <nicolas$ a écrit :
patpro ~ patrick proniewski , dans le message , a écrit : > Je nuancerais en disant que l'admin du site est presque toujours en > capacité technique de connaitre les mots de passe des utilisateurs, > mais en général rien n'est fait dans ce sens.
Mon pifomètre me dit que la majorité des sites stockent les mots de passe en clair.
(Majorité en nombre ; probablement moins en visibilité, car un site très visible a plus de moyens et d'incitation pour avoir un technicien vaguement sérieux.)
Techniquement si tu contrôles le serveur web (qui déchiffre le SSL) ou l'appli (qui manipule les données en clair), tu peux toujours intercepter le mot de passe. Même si c'est plus compliqué qu'aller simplement le lire dans la base de données.
Le 10 Aug 2013 14:22:39 GMT
Nicolas George <nicolas$george@salle-s.org> a écrit :
patpro ~ patrick proniewski , dans le message
<patpro-36EF72.16094610082013@node-81s.pool-1-0.dynamic.totbb.net>, a
écrit :
> Je nuancerais en disant que l'admin du site est presque toujours en
> capacité technique de connaitre les mots de passe des utilisateurs,
> mais en général rien n'est fait dans ce sens.
Mon pifomètre me dit que la majorité des sites stockent les mots de
passe en clair.
(Majorité en nombre ; probablement moins en visibilité, car un site
très visible a plus de moyens et d'incitation pour avoir un
technicien vaguement sérieux.)
Techniquement si tu contrôles le serveur web (qui déchiffre le SSL) ou
l'appli (qui manipule les données en clair), tu peux toujours
intercepter le mot de passe. Même si c'est plus compliqué qu'aller
simplement le lire dans la base de données.
Le 10 Aug 2013 14:22:39 GMT Nicolas George <nicolas$ a écrit :
patpro ~ patrick proniewski , dans le message , a écrit : > Je nuancerais en disant que l'admin du site est presque toujours en > capacité technique de connaitre les mots de passe des utilisateurs, > mais en général rien n'est fait dans ce sens.
Mon pifomètre me dit que la majorité des sites stockent les mots de passe en clair.
(Majorité en nombre ; probablement moins en visibilité, car un site très visible a plus de moyens et d'incitation pour avoir un technicien vaguement sérieux.)
Techniquement si tu contrôles le serveur web (qui déchiffre le SSL) ou l'appli (qui manipule les données en clair), tu peux toujours intercepter le mot de passe. Même si c'est plus compliqué qu'aller simplement le lire dans la base de données.
Yliur
Le Sat, 10 Aug 2013 17:07:04 +0200 Yliur a écrit :
Le 10 Aug 2013 14:22:39 GMT Nicolas George <nicolas$ a écrit :
> patpro ~ patrick proniewski , dans le message > , > a écrit : > > Je nuancerais en disant que l'admin du site est presque toujours > > en capacité technique de connaitre les mots de passe des > > utilisateurs, mais en général rien n'est fait dans ce sens. > > Mon pifomètre me dit que la majorité des sites stockent les mots de > passe en clair. > > (Majorité en nombre ; probablement moins en visibilité, car un site > très visible a plus de moyens et d'incitation pour avoir un > technicien vaguement sérieux.)
Techniquement si tu contrôles le serveur web (qui déchiffre le SSL) ou l'appli (qui manipule les données en clair), tu peux toujours intercepter le mot de passe. Même si c'est plus compliqué qu'aller simplement le lire dans la base de données.
Et tant qu'on y est, rappelons qu'il n'a pas besoin du mot de passe pour faire quoi que ce soit sur le compte et qu'un message demandant un mot de passe pour une intervention sur un compte est une tentative d'escroquerie (ou quelqu'un qui mérite d'être tapé pour donner de mauvaises habitudes aux utilisateurs).
Le Sat, 10 Aug 2013 17:07:04 +0200
Yliur <yliur@free.fr> a écrit :
Le 10 Aug 2013 14:22:39 GMT
Nicolas George <nicolas$george@salle-s.org> a écrit :
> patpro ~ patrick proniewski , dans le message
> <patpro-36EF72.16094610082013@node-81s.pool-1-0.dynamic.totbb.net>,
> a écrit :
> > Je nuancerais en disant que l'admin du site est presque toujours
> > en capacité technique de connaitre les mots de passe des
> > utilisateurs, mais en général rien n'est fait dans ce sens.
>
> Mon pifomètre me dit que la majorité des sites stockent les mots de
> passe en clair.
>
> (Majorité en nombre ; probablement moins en visibilité, car un site
> très visible a plus de moyens et d'incitation pour avoir un
> technicien vaguement sérieux.)
Techniquement si tu contrôles le serveur web (qui déchiffre le SSL) ou
l'appli (qui manipule les données en clair), tu peux toujours
intercepter le mot de passe. Même si c'est plus compliqué qu'aller
simplement le lire dans la base de données.
Et tant qu'on y est, rappelons qu'il n'a pas besoin du mot de passe
pour faire quoi que ce soit sur le compte et qu'un message demandant un
mot de passe pour une intervention sur un compte est une
tentative d'escroquerie (ou quelqu'un qui mérite d'être tapé pour donner
de mauvaises habitudes aux utilisateurs).
Le Sat, 10 Aug 2013 17:07:04 +0200 Yliur a écrit :
Le 10 Aug 2013 14:22:39 GMT Nicolas George <nicolas$ a écrit :
> patpro ~ patrick proniewski , dans le message > , > a écrit : > > Je nuancerais en disant que l'admin du site est presque toujours > > en capacité technique de connaitre les mots de passe des > > utilisateurs, mais en général rien n'est fait dans ce sens. > > Mon pifomètre me dit que la majorité des sites stockent les mots de > passe en clair. > > (Majorité en nombre ; probablement moins en visibilité, car un site > très visible a plus de moyens et d'incitation pour avoir un > technicien vaguement sérieux.)
Techniquement si tu contrôles le serveur web (qui déchiffre le SSL) ou l'appli (qui manipule les données en clair), tu peux toujours intercepter le mot de passe. Même si c'est plus compliqué qu'aller simplement le lire dans la base de données.
Et tant qu'on y est, rappelons qu'il n'a pas besoin du mot de passe pour faire quoi que ce soit sur le compte et qu'un message demandant un mot de passe pour une intervention sur un compte est une tentative d'escroquerie (ou quelqu'un qui mérite d'être tapé pour donner de mauvaises habitudes aux utilisateurs).
patpro ~ patrick proniewski
In article , Otomatic wrote:
Nicolas George <nicolas$ écrivait :
> Mon pifomètre me dit que la majorité des sites stockent les mots de passe en > clair. Je ne connais que le « hachage » (md5 + salt) des mots de passe des utilisateurs de mon forum et c'est sous cette forme qu'ils sont stockés.
Mais à n'importe quel moment tu peux altérer la routine de vérification (login/connexion) des mots de passe des utilisateurs pour écrire dans un fichier en clair les identifiant et mot de passe de chaque personne qui s'authentifie.
Donc tu es en position technique de connaitre les mots de passe des utilisateurs, mais tu n'as probablement rien fait dans ce sens.
patpro
-- photo http://photo.patpro.net/ blog http://www.patpro.net/
In article <5gkc09tq3euvnhg3gd1ad42cqddbsegrj6@4ax.com>,
Otomatic <otomatic@oto.invalid> wrote:
Nicolas George <nicolas$george@salle-s.org> écrivait :
> Mon pifomètre me dit que la majorité des sites stockent les mots de passe en
> clair.
Je ne connais que le « hachage » (md5 + salt) des mots de passe des
utilisateurs de mon forum et c'est sous cette forme qu'ils sont stockés.
Mais à n'importe quel moment tu peux altérer la routine de vérification
(login/connexion) des mots de passe des utilisateurs pour écrire dans un
fichier en clair les identifiant et mot de passe de chaque personne qui
s'authentifie.
Donc tu es en position technique de connaitre les mots de passe des
utilisateurs, mais tu n'as probablement rien fait dans ce sens.
patpro
--
photo http://photo.patpro.net/
blog http://www.patpro.net/
> Mon pifomètre me dit que la majorité des sites stockent les mots de passe en > clair. Je ne connais que le « hachage » (md5 + salt) des mots de passe des utilisateurs de mon forum et c'est sous cette forme qu'ils sont stockés.
Mais à n'importe quel moment tu peux altérer la routine de vérification (login/connexion) des mots de passe des utilisateurs pour écrire dans un fichier en clair les identifiant et mot de passe de chaque personne qui s'authentifie.
Donc tu es en position technique de connaitre les mots de passe des utilisateurs, mais tu n'as probablement rien fait dans ce sens.
patpro
-- photo http://photo.patpro.net/ blog http://www.patpro.net/
Nicolas George
Yliur , dans le message , a écrit :
Techniquement si tu contrôles le serveur web (qui déchiffre le SSL) ou l'appli (qui manipule les données en clair), tu peux toujours intercepter le mot de passe.
C'est pour ça que j'ai répondu oui à la première question.
Yliur , dans le message <20130810170704.07b293fc@alcheringa>, a écrit :
Techniquement si tu contrôles le serveur web (qui déchiffre le SSL) ou
l'appli (qui manipule les données en clair), tu peux toujours
intercepter le mot de passe.
C'est pour ça que j'ai répondu oui à la première question.
Techniquement si tu contrôles le serveur web (qui déchiffre le SSL) ou l'appli (qui manipule les données en clair), tu peux toujours intercepter le mot de passe.
C'est pour ça que j'ai répondu oui à la première question.
Nicolas George
Yliur , dans le message , a écrit :
Et tant qu'on y est, rappelons qu'il n'a pas besoin du mot de passe pour faire quoi que ce soit sur le compte et qu'un message demandant un mot de passe pour une intervention sur un compte est une tentative d'escroquerie
Ce n'est pas tout à fait vrai : il peut arriver, dans le cas de services de stockage par exemple, que des données sur le serveur soient chiffrées avec une clef dérivée du mot de passe, et déchiffrées temporairement uniquement quand nécessaire.
Si c'est le cas, l'administrateur du site est toujours en position d'intercepter le mot de passe réel au moment où il est utilisé, mais il ne peut strictement rien faire d'utile par lui-même.
C'est bien entendu un cas très rare.
Yliur , dans le message <20130810171039.73774db8@alcheringa>, a écrit :
Et tant qu'on y est, rappelons qu'il n'a pas besoin du mot de passe
pour faire quoi que ce soit sur le compte et qu'un message demandant un
mot de passe pour une intervention sur un compte est une
tentative d'escroquerie
Ce n'est pas tout à fait vrai : il peut arriver, dans le cas de services de
stockage par exemple, que des données sur le serveur soient chiffrées avec
une clef dérivée du mot de passe, et déchiffrées temporairement uniquement
quand nécessaire.
Si c'est le cas, l'administrateur du site est toujours en position
d'intercepter le mot de passe réel au moment où il est utilisé, mais il ne
peut strictement rien faire d'utile par lui-même.
Et tant qu'on y est, rappelons qu'il n'a pas besoin du mot de passe pour faire quoi que ce soit sur le compte et qu'un message demandant un mot de passe pour une intervention sur un compte est une tentative d'escroquerie
Ce n'est pas tout à fait vrai : il peut arriver, dans le cas de services de stockage par exemple, que des données sur le serveur soient chiffrées avec une clef dérivée du mot de passe, et déchiffrées temporairement uniquement quand nécessaire.
Si c'est le cas, l'administrateur du site est toujours en position d'intercepter le mot de passe réel au moment où il est utilisé, mais il ne peut strictement rien faire d'utile par lui-même.
C'est bien entendu un cas très rare.
Otomatic
patpro ~ patrick proniewski écrivait :
Donc tu es en position technique de connaitre les mots de passe des utilisateurs, mais tu n'as probablement rien fait dans ce sens.
J'aurais pu le faire, surtout pour communiquer leur mot de passe à ceux qui l'ont oublié, plutôt que d'en affecter un nouveau ; mais c'est le genre de truc qui ne fait pas partie de ma « culture ». -- N'ayez d'intolérance que vis-à-vis de l'intolérance. Hippolyte Taine À force d'être tolérant on en arrive à accepter l'intolérance. Dominique Ottello
patpro ~ patrick proniewski <patpro@boleskine.patpro.net> écrivait :
Donc tu es en position technique de connaitre les mots de passe des
utilisateurs, mais tu n'as probablement rien fait dans ce sens.
J'aurais pu le faire, surtout pour communiquer leur mot de passe à ceux
qui l'ont oublié, plutôt que d'en affecter un nouveau ; mais c'est le
genre de truc qui ne fait pas partie de ma « culture ».
--
N'ayez d'intolérance que vis-à-vis de l'intolérance. Hippolyte Taine
À force d'être tolérant on en arrive à accepter l'intolérance. Dominique Ottello
Donc tu es en position technique de connaitre les mots de passe des utilisateurs, mais tu n'as probablement rien fait dans ce sens.
J'aurais pu le faire, surtout pour communiquer leur mot de passe à ceux qui l'ont oublié, plutôt que d'en affecter un nouveau ; mais c'est le genre de truc qui ne fait pas partie de ma « culture ». -- N'ayez d'intolérance que vis-à-vis de l'intolérance. Hippolyte Taine À force d'être tolérant on en arrive à accepter l'intolérance. Dominique Ottello
