En testant diverses méthodes d'authentification, j'ai soudainement (ça
montre que j'avais pas réfléchi bien longtemps avant) pensé à un
problème : dans un cybercafé ou autre point d'accès internet public
(physique, pas uniquement la connexion), qq un qui se connecte, même en
https, une session courte, etc. va laisser ses identifiants sur le
navigateur.
Donc n'importe qui peut venir ensuite et exploiter ces données très
facilement, qu'elles aient été envoyées en get ou en post.
Sans parler bien sûr des keylogger et autres techniques : je pars du
principe que ce n'est pas le tenancier qui est malhonnête dans ce cas de
figure.
Alors comment se protéger au mieux de ça (pour une appli simple, pas se
balader avec un token rsa)?
En fait, est-il tout simplement possible de s'en prémunir (hormis donc
token - trop cher -, carte à puce - puisque pas de lecteur -), quitte à
avoir une identification renforcée dans cette situation ?
En testant diverses méthodes d'authentification, j'ai soudainement (ça montre que j'avais pas réfléchi bien longtemps avant) pensé à un problème : dans un cybercafé ou autre point d'accès internet public (physique, pas uniquement la connexion), qq un qui se connecte, même en https, une session courte, etc. va laisser ses identifiants sur le navigateur.
Donc n'importe qui peut venir ensuite et exploiter ces données très facilement, qu'elles aient été envoyées en get ou en post.
Sans parler bien sûr des keylogger et autres techniques : je pars du principe que ce n'est pas le tenancier qui est malhonnête dans ce cas de figure.
Alors comment se protéger au mieux de ça (pour une appli simple, pas se balader avec un token rsa)?
En fait, est-il tout simplement possible de s'en prémunir (hormis donc token - trop cher -, carte à puce - puisque pas de lecteur -), quitte à avoir une identification renforcée dans cette situation ?
On peut paramétrer le navigateur pour ne pas mémoriser ce qui est saisi. L'utilisateur lorsqu'il a terminé peut utiliser la fonction "Effacer mes traces".
Olivier Masson a écrit :
En testant diverses méthodes d'authentification, j'ai soudainement (ça
montre que j'avais pas réfléchi bien longtemps avant) pensé à un
problème : dans un cybercafé ou autre point d'accès internet public
(physique, pas uniquement la connexion), qq un qui se connecte, même en
https, une session courte, etc. va laisser ses identifiants sur le
navigateur.
Donc n'importe qui peut venir ensuite et exploiter ces données très
facilement, qu'elles aient été envoyées en get ou en post.
Sans parler bien sûr des keylogger et autres techniques : je pars du
principe que ce n'est pas le tenancier qui est malhonnête dans ce cas de
figure.
Alors comment se protéger au mieux de ça (pour une appli simple, pas se
balader avec un token rsa)?
En fait, est-il tout simplement possible de s'en prémunir (hormis donc
token - trop cher -, carte à puce - puisque pas de lecteur -), quitte à
avoir une identification renforcée dans cette situation ?
On peut paramétrer le navigateur pour ne pas mémoriser ce qui est
saisi.
L'utilisateur lorsqu'il a terminé peut utiliser la fonction
"Effacer mes traces".
En testant diverses méthodes d'authentification, j'ai soudainement (ça montre que j'avais pas réfléchi bien longtemps avant) pensé à un problème : dans un cybercafé ou autre point d'accès internet public (physique, pas uniquement la connexion), qq un qui se connecte, même en https, une session courte, etc. va laisser ses identifiants sur le navigateur.
Donc n'importe qui peut venir ensuite et exploiter ces données très facilement, qu'elles aient été envoyées en get ou en post.
Sans parler bien sûr des keylogger et autres techniques : je pars du principe que ce n'est pas le tenancier qui est malhonnête dans ce cas de figure.
Alors comment se protéger au mieux de ça (pour une appli simple, pas se balader avec un token rsa)?
En fait, est-il tout simplement possible de s'en prémunir (hormis donc token - trop cher -, carte à puce - puisque pas de lecteur -), quitte à avoir une identification renforcée dans cette situation ?
On peut paramétrer le navigateur pour ne pas mémoriser ce qui est saisi. L'utilisateur lorsqu'il a terminé peut utiliser la fonction "Effacer mes traces".
Le Gaulois
Olivier Masson a écrit :
En testant diverses méthodes d'authentification, j'ai soudainement (ça montre que j'avais pas réfléchi bien longtemps avant) pensé à un problème : dans un cybercafé ou autre point d'accès internet public (physique, pas uniquement la connexion), qq un qui se connecte, même en https, une session courte, etc. va laisser ses identifiants sur le navigateur.
Donc n'importe qui peut venir ensuite et exploiter ces données très facilement, qu'elles aient été envoyées en get ou en post.
Sans parler bien sûr des keylogger et autres techniques : je pars du principe que ce n'est pas le tenancier qui est malhonnête dans ce cas de figure.
Alors comment se protéger au mieux de ça (pour une appli simple, pas se balader avec un token rsa)?
En fait, est-il tout simplement possible de s'en prémunir (hormis donc token - trop cher -, carte à puce - puisque pas de lecteur -), quitte à avoir une identification renforcée dans cette situation ?
On peut paramétrer le navigateur pour ne pas mémoriser ce qui est saisi. L'utilisateur lorsqu'il a terminé peut utiliser la fonction "Effacer mes traces".
Olivier Masson a écrit :
En testant diverses méthodes d'authentification, j'ai soudainement (ça
montre que j'avais pas réfléchi bien longtemps avant) pensé à un
problème : dans un cybercafé ou autre point d'accès internet public
(physique, pas uniquement la connexion), qq un qui se connecte, même en
https, une session courte, etc. va laisser ses identifiants sur le
navigateur.
Donc n'importe qui peut venir ensuite et exploiter ces données très
facilement, qu'elles aient été envoyées en get ou en post.
Sans parler bien sûr des keylogger et autres techniques : je pars du
principe que ce n'est pas le tenancier qui est malhonnête dans ce cas de
figure.
Alors comment se protéger au mieux de ça (pour une appli simple, pas se
balader avec un token rsa)?
En fait, est-il tout simplement possible de s'en prémunir (hormis donc
token - trop cher -, carte à puce - puisque pas de lecteur -), quitte à
avoir une identification renforcée dans cette situation ?
On peut paramétrer le navigateur pour ne pas mémoriser ce qui est
saisi.
L'utilisateur lorsqu'il a terminé peut utiliser la fonction
"Effacer mes traces".
En testant diverses méthodes d'authentification, j'ai soudainement (ça montre que j'avais pas réfléchi bien longtemps avant) pensé à un problème : dans un cybercafé ou autre point d'accès internet public (physique, pas uniquement la connexion), qq un qui se connecte, même en https, une session courte, etc. va laisser ses identifiants sur le navigateur.
Donc n'importe qui peut venir ensuite et exploiter ces données très facilement, qu'elles aient été envoyées en get ou en post.
Sans parler bien sûr des keylogger et autres techniques : je pars du principe que ce n'est pas le tenancier qui est malhonnête dans ce cas de figure.
Alors comment se protéger au mieux de ça (pour une appli simple, pas se balader avec un token rsa)?
En fait, est-il tout simplement possible de s'en prémunir (hormis donc token - trop cher -, carte à puce - puisque pas de lecteur -), quitte à avoir une identification renforcée dans cette situation ?
On peut paramétrer le navigateur pour ne pas mémoriser ce qui est saisi. L'utilisateur lorsqu'il a terminé peut utiliser la fonction "Effacer mes traces".
Olivier Masson
Le Gaulois a écrit :
On peut paramétrer le navigateur pour ne pas mémoriser ce qui est saisi. L'utilisateur lorsqu'il a terminé peut utiliser la fonction "Effacer mes traces".
:) Oui bon, il faut vraiment supposer que le cyber-café est honnête alors... Je cherche des solutions à la connexion, pas à la déconnexion (une fois que l'info est là, elle peut être récupérée : je doute de l'efficacité de l'effacement "effacer mes traces").
Le Gaulois a écrit :
On peut paramétrer le navigateur pour ne pas mémoriser ce qui est
saisi.
L'utilisateur lorsqu'il a terminé peut utiliser la fonction
"Effacer mes traces".
:) Oui bon, il faut vraiment supposer que le cyber-café est honnête alors...
Je cherche des solutions à la connexion, pas à la déconnexion (une fois
que l'info est là, elle peut être récupérée : je doute de l'efficacité
de l'effacement "effacer mes traces").
On peut paramétrer le navigateur pour ne pas mémoriser ce qui est saisi. L'utilisateur lorsqu'il a terminé peut utiliser la fonction "Effacer mes traces".
:) Oui bon, il faut vraiment supposer que le cyber-café est honnête alors... Je cherche des solutions à la connexion, pas à la déconnexion (une fois que l'info est là, elle peut être récupérée : je doute de l'efficacité de l'effacement "effacer mes traces").
Adrien
Olivier Masson a écrit :
Le Gaulois a écrit :
On peut paramétrer le navigateur pour ne pas mémoriser ce qui est saisi. L'utilisateur lorsqu'il a terminé peut utiliser la fonction "Effacer mes traces".
:) Oui bon, il faut vraiment supposer que le cyber-café est honnête alors... Je cherche des solutions à la connexion, pas à la déconnexion (une fois que l'info est là, elle peut être récupérée : je doute de l'efficacité de l'effacement "effacer mes traces").
Et si tu navigues à partir d'une clé USB, ça ne règle pas le problème?
Olivier Masson a écrit :
Le Gaulois a écrit :
On peut paramétrer le navigateur pour ne pas mémoriser ce qui est
saisi.
L'utilisateur lorsqu'il a terminé peut utiliser la fonction
"Effacer mes traces".
:) Oui bon, il faut vraiment supposer que le cyber-café est honnête
alors...
Je cherche des solutions à la connexion, pas à la déconnexion (une fois
que l'info est là, elle peut être récupérée : je doute de l'efficacité
de l'effacement "effacer mes traces").
Et si tu navigues à partir d'une clé USB, ça ne règle pas le problème?
On peut paramétrer le navigateur pour ne pas mémoriser ce qui est saisi. L'utilisateur lorsqu'il a terminé peut utiliser la fonction "Effacer mes traces".
:) Oui bon, il faut vraiment supposer que le cyber-café est honnête alors... Je cherche des solutions à la connexion, pas à la déconnexion (une fois que l'info est là, elle peut être récupérée : je doute de l'efficacité de l'effacement "effacer mes traces").
Et si tu navigues à partir d'une clé USB, ça ne règle pas le problème?
Fabien LE LEZ
On 16 Jul 2008 15:15:06 GMT, Olivier Masson :
:) Oui bon, il faut vraiment supposer que le cyber-café est honnête alors...
De toute façon, si tu veux utiliser son clavier, tu n'as pas le choix.
On 16 Jul 2008 15:15:06 GMT, Olivier Masson <sisemen@laposte.net>:
:) Oui bon, il faut vraiment supposer que le cyber-café est honnête alors...
De toute façon, si tu veux utiliser son clavier, tu n'as pas le choix.
:) Oui bon, il faut vraiment supposer que le cyber-café est honnête alors...
De toute façon, si tu veux utiliser son clavier, tu n'as pas le choix.
Olivier Masson
Adrien a écrit :
Et si tu navigues à partir d'une clé USB, ça ne règle pas le problème?
En partie, mais encore faut-il se balader avec une clé. Je pense qu'il n'y a pas d'autre solution que le mot de passe à usage unique. Reste à le mettre en place...
Adrien a écrit :
Et si tu navigues à partir d'une clé USB, ça ne règle pas le problème?
En partie, mais encore faut-il se balader avec une clé.
Je pense qu'il n'y a pas d'autre solution que le mot de passe à usage
unique. Reste à le mettre en place...
Et si tu navigues à partir d'une clé USB, ça ne règle pas le problème?
En partie, mais encore faut-il se balader avec une clé. Je pense qu'il n'y a pas d'autre solution que le mot de passe à usage unique. Reste à le mettre en place...
Pascal
-------- Message original --------
Bonjour,
En testant diverses méthodes d'authentification, j'ai soudainement (ça montre que j'avais pas réfléchi bien longtemps avant) pensé à un problème : dans un cybercafé ou autre point d'accès internet public (physique, pas uniquement la connexion), qq un qui se connecte, même en https, une session courte, etc. va laisser ses identifiants sur le navigateur.
Donc n'importe qui peut venir ensuite et exploiter ces données très facilement, qu'elles aient été envoyées en get ou en post.
Sans parler bien sûr des keylogger et autres techniques : je pars du principe que ce n'est pas le tenancier qui est malhonnête dans ce cas de figure.
Alors comment se protéger au mieux de ça (pour une appli simple, pas se balader avec un token rsa)?
En fait, est-il tout simplement possible de s'en prémunir (hormis donc token - trop cher -, carte à puce - puisque pas de lecteur -), quitte à avoir une identification renforcée dans cette situation ?
Merci.
pourquoi ne pas utiliser des pc en mode kiosque genre ltsp ?
-------- Message original --------
Bonjour,
En testant diverses méthodes d'authentification, j'ai soudainement (ça
montre que j'avais pas réfléchi bien longtemps avant) pensé à un
problème : dans un cybercafé ou autre point d'accès internet public
(physique, pas uniquement la connexion), qq un qui se connecte, même en
https, une session courte, etc. va laisser ses identifiants sur le
navigateur.
Donc n'importe qui peut venir ensuite et exploiter ces données très
facilement, qu'elles aient été envoyées en get ou en post.
Sans parler bien sûr des keylogger et autres techniques : je pars du
principe que ce n'est pas le tenancier qui est malhonnête dans ce cas de
figure.
Alors comment se protéger au mieux de ça (pour une appli simple, pas se
balader avec un token rsa)?
En fait, est-il tout simplement possible de s'en prémunir (hormis donc
token - trop cher -, carte à puce - puisque pas de lecteur -), quitte à
avoir une identification renforcée dans cette situation ?
Merci.
pourquoi ne pas utiliser des pc en mode kiosque genre ltsp ?
En testant diverses méthodes d'authentification, j'ai soudainement (ça montre que j'avais pas réfléchi bien longtemps avant) pensé à un problème : dans un cybercafé ou autre point d'accès internet public (physique, pas uniquement la connexion), qq un qui se connecte, même en https, une session courte, etc. va laisser ses identifiants sur le navigateur.
Donc n'importe qui peut venir ensuite et exploiter ces données très facilement, qu'elles aient été envoyées en get ou en post.
Sans parler bien sûr des keylogger et autres techniques : je pars du principe que ce n'est pas le tenancier qui est malhonnête dans ce cas de figure.
Alors comment se protéger au mieux de ça (pour une appli simple, pas se balader avec un token rsa)?
En fait, est-il tout simplement possible de s'en prémunir (hormis donc token - trop cher -, carte à puce - puisque pas de lecteur -), quitte à avoir une identification renforcée dans cette situation ?
Merci.
pourquoi ne pas utiliser des pc en mode kiosque genre ltsp ?
Bruno S
Olivier Masson a écrit :
Bonjour,
En testant diverses méthodes d'authentification, j'ai soudainement (ça montre que j'avais pas réfléchi bien longtemps avant) pensé à un problème : dans un cybercafé ou autre point d'accès internet public (physique, pas uniquement la connexion), qq un qui se connecte, même en https, une session courte, etc. va laisser ses identifiants sur le navigateur.
Donc n'importe qui peut venir ensuite et exploiter ces données très facilement, qu'elles aient été envoyées en get ou en post.
Sans parler bien sûr des keylogger et autres techniques : je pars du principe que ce n'est pas le tenancier qui est malhonnête dans ce cas de figure.
Alors comment se protéger au mieux de ça (pour une appli simple, pas se balader avec un token rsa)?
En fait, est-il tout simplement possible de s'en prémunir (hormis donc token - trop cher -, carte à puce - puisque pas de lecteur -), quitte à avoir une identification renforcée dans cette situation ?
Merci.
Sans parler des logiciels espions pré-installés, nettoyer toutes les traces de navigation avant et après l'utilisation du navigateur. Certains cyber-café restaure un ghost après l'utilisation de chaque PC
Olivier Masson a écrit :
Bonjour,
En testant diverses méthodes d'authentification, j'ai soudainement (ça
montre que j'avais pas réfléchi bien longtemps avant) pensé à un
problème : dans un cybercafé ou autre point d'accès internet public
(physique, pas uniquement la connexion), qq un qui se connecte, même en
https, une session courte, etc. va laisser ses identifiants sur le
navigateur.
Donc n'importe qui peut venir ensuite et exploiter ces données très
facilement, qu'elles aient été envoyées en get ou en post.
Sans parler bien sûr des keylogger et autres techniques : je pars du
principe que ce n'est pas le tenancier qui est malhonnête dans ce cas de
figure.
Alors comment se protéger au mieux de ça (pour une appli simple, pas se
balader avec un token rsa)?
En fait, est-il tout simplement possible de s'en prémunir (hormis donc
token - trop cher -, carte à puce - puisque pas de lecteur -), quitte à
avoir une identification renforcée dans cette situation ?
Merci.
Sans parler des logiciels espions pré-installés, nettoyer toutes les
traces de navigation avant et après l'utilisation du navigateur.
Certains cyber-café restaure un ghost après l'utilisation de chaque PC
En testant diverses méthodes d'authentification, j'ai soudainement (ça montre que j'avais pas réfléchi bien longtemps avant) pensé à un problème : dans un cybercafé ou autre point d'accès internet public (physique, pas uniquement la connexion), qq un qui se connecte, même en https, une session courte, etc. va laisser ses identifiants sur le navigateur.
Donc n'importe qui peut venir ensuite et exploiter ces données très facilement, qu'elles aient été envoyées en get ou en post.
Sans parler bien sûr des keylogger et autres techniques : je pars du principe que ce n'est pas le tenancier qui est malhonnête dans ce cas de figure.
Alors comment se protéger au mieux de ça (pour une appli simple, pas se balader avec un token rsa)?
En fait, est-il tout simplement possible de s'en prémunir (hormis donc token - trop cher -, carte à puce - puisque pas de lecteur -), quitte à avoir une identification renforcée dans cette situation ?
Merci.
Sans parler des logiciels espions pré-installés, nettoyer toutes les traces de navigation avant et après l'utilisation du navigateur. Certains cyber-café restaure un ghost après l'utilisation de chaque PC
Olivier Masson
Pascal a écrit :
pourquoi ne pas utiliser des pc en mode kiosque genre ltsp ?
Je ne suis pas un cyber-café :) Je cherche des solutions pour pouvoir s'y rendre sans risque (hormis le mauvais café.)
Pascal a écrit :
pourquoi ne pas utiliser des pc en mode kiosque genre ltsp ?
Je ne suis pas un cyber-café :) Je cherche des solutions pour pouvoir
s'y rendre sans risque (hormis le mauvais café.)
pourquoi ne pas utiliser des pc en mode kiosque genre ltsp ?
Je ne suis pas un cyber-café :) Je cherche des solutions pour pouvoir s'y rendre sans risque (hormis le mauvais café.)
Eric Razny
Le Thu, 17 Jul 2008 07:28:39 +0000, Olivier Masson a écrit :
Adrien a écrit :
Et si tu navigues à partir d'une clé USB, ça ne règle pas le problème?
Même pas, il existe des keyloggers "physiques" :)
En partie, mais encore faut-il se balader avec une clé. Je pense qu'il n'y a pas d'autre solution que le mot de passe à usage unique. Reste à le mettre en place...
OPIE ne marche pas trop mal et est assez simple à mettre en oeuvre (au moins sur des machines linux) et il existe des clients (pour calculer le password) à peut près sous tout et n'importe quoi, et en particulier les pda et autres smartphones.
Le OTP est effectivement la seule solution qui m'a paru convenable en partant du fait que je suis en environnement hostile pour ssh. Je risque toujours le hijacking de ma session ouverte mais pas les rejeux.
Néanmoins attention : sur son seurveur sous ssh (par exemple) on a naturellement tendance à se sentir en sécurité ; on tappe facilement des couples login/password qui eux peuvent être récupéré par le keylogger. Si ces accès concernent d'autres machines/protocoles accessibles directement depuis le net, c'est cuit aussi :)
Eric
Le Thu, 17 Jul 2008 07:28:39 +0000, Olivier Masson a écrit :
Adrien a écrit :
Et si tu navigues à partir d'une clé USB, ça ne règle pas le problème?
Même pas, il existe des keyloggers "physiques" :)
En partie, mais encore faut-il se balader avec une clé.
Je pense qu'il n'y a pas d'autre solution que le mot de passe à usage
unique. Reste à le mettre en place...
OPIE ne marche pas trop mal et est assez simple à mettre en oeuvre (au
moins sur des machines linux) et il existe des clients (pour calculer le
password) à peut près sous tout et n'importe quoi, et en particulier les
pda et autres smartphones.
Le OTP est effectivement la seule solution qui m'a paru convenable en
partant du fait que je suis en environnement hostile pour ssh. Je risque
toujours le hijacking de ma session ouverte mais pas les rejeux.
Néanmoins attention : sur son seurveur sous ssh (par exemple) on a
naturellement tendance à se sentir en sécurité ; on tappe facilement
des couples login/password qui eux peuvent être récupéré par le
keylogger. Si ces accès concernent d'autres machines/protocoles
accessibles directement depuis le net, c'est cuit aussi :)
Le Thu, 17 Jul 2008 07:28:39 +0000, Olivier Masson a écrit :
Adrien a écrit :
Et si tu navigues à partir d'une clé USB, ça ne règle pas le problème?
Même pas, il existe des keyloggers "physiques" :)
En partie, mais encore faut-il se balader avec une clé. Je pense qu'il n'y a pas d'autre solution que le mot de passe à usage unique. Reste à le mettre en place...
OPIE ne marche pas trop mal et est assez simple à mettre en oeuvre (au moins sur des machines linux) et il existe des clients (pour calculer le password) à peut près sous tout et n'importe quoi, et en particulier les pda et autres smartphones.
Le OTP est effectivement la seule solution qui m'a paru convenable en partant du fait que je suis en environnement hostile pour ssh. Je risque toujours le hijacking de ma session ouverte mais pas les rejeux.
Néanmoins attention : sur son seurveur sous ssh (par exemple) on a naturellement tendance à se sentir en sécurité ; on tappe facilement des couples login/password qui eux peuvent être récupéré par le keylogger. Si ces accès concernent d'autres machines/protocoles accessibles directement depuis le net, c'est cuit aussi :)