Bonjour,
Je serais très intéressée de pouvoir gérer mon argent depuis chez moi, sur
Internet; mais cette solution me semble aussi inquiétante que pratique:
quels sont les risques que des hackers interceptent mon numéro de compte
pendant une transaction, et "se servent" sur mon compte ? Je pense bien que
les concepteurs de "Netbanking" ne m'ont pas attendue pour y penser, et les
sites des grandes banques se montrent très rassurants quant à la sécurité,
mais naturellement ils ne vont pas nous dire que c'est la roulette russe...
Je préfèrerais avoir l'avis de gens à la fois pointus techniquement, ET
désintéressés ! Que pensez-vous de ce système ? Y a-t-il déjà eu des
exemples de clients Internets qui se sont fait vider leur compte ?
Merci d'avance pour tout renseignement.
Laurence
Mais une fois que vous avez un numero de CB, vous faites quoi ?.. Commander en ligne ? Avec votre adresse ? Pas bien serieux.
Sauf pour les services 100 % online. Je suis moi-même abonné à un service qui permet de télécharger certains fichiers, et il y a un an ou deux, ils se sont retrouvés avec pas mal de comptes ouverts avec des numéros de CB volés. Depuis ils sont un peu plus vigilants (on doit taper son adresse postale, l'adresse postale de la banque, etc.)
-- Tout sur fr.* (FAQ, etc.) : http://www.usenet-fr.net/fur/ et http://www.aminautes.org/forums/serveurs/tablefr.html Archives : http://groups.google.com/advanced_group_search http://www.usenet-fr.net/fur/usenet/repondre-sur-usenet.html
On 21 Jul 2003 13:38:59 GMT, "Bertrand" <usenet@pas.net.invalid>
wrote:
Mais une fois que vous avez un numero de CB, vous faites quoi ?..
Commander en ligne ? Avec votre adresse ? Pas bien serieux.
Sauf pour les services 100 % online.
Je suis moi-même abonné à un service qui permet de télécharger
certains fichiers, et il y a un an ou deux, ils se sont retrouvés avec
pas mal de comptes ouverts avec des numéros de CB volés. Depuis ils
sont un peu plus vigilants (on doit taper son adresse postale,
l'adresse postale de la banque, etc.)
--
Tout sur fr.* (FAQ, etc.) : http://www.usenet-fr.net/fur/
et http://www.aminautes.org/forums/serveurs/tablefr.html
Archives : http://groups.google.com/advanced_group_search
http://www.usenet-fr.net/fur/usenet/repondre-sur-usenet.html
Mais une fois que vous avez un numero de CB, vous faites quoi ?.. Commander en ligne ? Avec votre adresse ? Pas bien serieux.
Sauf pour les services 100 % online. Je suis moi-même abonné à un service qui permet de télécharger certains fichiers, et il y a un an ou deux, ils se sont retrouvés avec pas mal de comptes ouverts avec des numéros de CB volés. Depuis ils sont un peu plus vigilants (on doit taper son adresse postale, l'adresse postale de la banque, etc.)
-- Tout sur fr.* (FAQ, etc.) : http://www.usenet-fr.net/fur/ et http://www.aminautes.org/forums/serveurs/tablefr.html Archives : http://groups.google.com/advanced_group_search http://www.usenet-fr.net/fur/usenet/repondre-sur-usenet.html
joke0
Salut,
Cedric Blancher:
Et bien vérifier que son navigateur est à jour, pour éviter la superbe faille sur la vérification des contraintes de base :
Et surtout ne pas héberger un trojan avec keylogger ;-)
-- joke0
Salut,
Cedric Blancher:
Et bien vérifier que son navigateur est à jour, pour éviter la
superbe faille sur la vérification des contraintes de base :
Et surtout ne pas héberger un trojan avec keylogger ;-)
Et bien vérifier que son navigateur est à jour, pour éviter la superbe faille sur la vérification des contraintes de base :
Et surtout ne pas héberger un trojan avec keylogger ;-)
-- joke0
davnull
Certaines banques proposent de limiter les possibilités de virements à vos seuls comptes internes, ou vers des comptes bien identifiés.
Cela limite pas mal les risques et ça reste très pratique.
David Werquin
On Mon, 21 Jul 2003 15:41:09 +0000, Kupee wrote:
Laurence wrote:
Bonjour, Je serais très intéressée de pouvoir gérer mon argent depuis chez moi, sur Internet; mais cette solution me semble aussi inquiétante que pratique: quels sont les risques que des hackers interceptent mon numéro de compte pendant une transaction, et "se servent" sur mon compte ? Je pense bien que les concepteurs de "Netbanking" ne m'ont pas attendue pour y penser, et les sites des grandes banques se montrent très rassurants quant à la sécurité, mais naturellement ils ne vont pas nous dire que c'est la roulette russe... Je préfèrerais avoir l'avis de gens à la fois pointus techniquement, ET désintéressés ! Que pensez-vous de ce système ? Y a-t-il déjà eu des exemples de clients Internets qui se sont fait vider leur compte ? Merci d'avance pour tout renseignement.
Ba le crédit Lyonnais je crois a eu un très gros trou de sécurité qui permettais a n'importe quel client d'accéder au compte d'un autre client assez facilement. Mais bon ca reste rare ce genre de trou (espérons le), moi je consulte mon compte sur le net ca se passe bien, je fais des virements de temps en temps, c'est quand meme pratique
Certaines banques proposent de limiter les possibilités de virements à vos
seuls comptes internes, ou vers des comptes bien identifiés.
Cela limite pas mal les risques et ça reste très pratique.
David Werquin
On Mon, 21 Jul 2003 15:41:09 +0000, Kupee wrote:
Laurence wrote:
Bonjour,
Je serais très intéressée de pouvoir gérer mon argent depuis chez moi, sur
Internet; mais cette solution me semble aussi inquiétante que pratique:
quels sont les risques que des hackers interceptent mon numéro de compte
pendant une transaction, et "se servent" sur mon compte ? Je pense bien que
les concepteurs de "Netbanking" ne m'ont pas attendue pour y penser, et les
sites des grandes banques se montrent très rassurants quant à la sécurité,
mais naturellement ils ne vont pas nous dire que c'est la roulette russe...
Je préfèrerais avoir l'avis de gens à la fois pointus techniquement, ET
désintéressés ! Que pensez-vous de ce système ? Y a-t-il déjà eu des
exemples de clients Internets qui se sont fait vider leur compte ?
Merci d'avance pour tout renseignement.
Ba le crédit Lyonnais je crois a eu un très gros trou de sécurité qui
permettais a n'importe quel client d'accéder au compte d'un autre client
assez facilement. Mais bon ca reste rare ce genre de trou (espérons le),
moi je consulte mon compte sur le net ca se passe bien, je fais des
virements de temps en temps, c'est quand meme pratique
Certaines banques proposent de limiter les possibilités de virements à vos seuls comptes internes, ou vers des comptes bien identifiés.
Cela limite pas mal les risques et ça reste très pratique.
David Werquin
On Mon, 21 Jul 2003 15:41:09 +0000, Kupee wrote:
Laurence wrote:
Bonjour, Je serais très intéressée de pouvoir gérer mon argent depuis chez moi, sur Internet; mais cette solution me semble aussi inquiétante que pratique: quels sont les risques que des hackers interceptent mon numéro de compte pendant une transaction, et "se servent" sur mon compte ? Je pense bien que les concepteurs de "Netbanking" ne m'ont pas attendue pour y penser, et les sites des grandes banques se montrent très rassurants quant à la sécurité, mais naturellement ils ne vont pas nous dire que c'est la roulette russe... Je préfèrerais avoir l'avis de gens à la fois pointus techniquement, ET désintéressés ! Que pensez-vous de ce système ? Y a-t-il déjà eu des exemples de clients Internets qui se sont fait vider leur compte ? Merci d'avance pour tout renseignement.
Ba le crédit Lyonnais je crois a eu un très gros trou de sécurité qui permettais a n'importe quel client d'accéder au compte d'un autre client assez facilement. Mais bon ca reste rare ce genre de trou (espérons le), moi je consulte mon compte sur le net ca se passe bien, je fais des virements de temps en temps, c'est quand meme pratique
nospam
"Laurent Seguin" writes:
Par contre ce qui est possible, c'est de "deviner" le couple login/password te permettant d'acceder à ton compte et donc faire tout ce qu'il t'es possible de faire quand tu es en ligne.
Mais pourquoi les banques françaises ne proposent-ils pas un système
"challenge-response" (avec une petite "calculette" style secureID) pour se connecter *et* valider les transactions? En Suède par exemple, ce système est utilisé par le plupart (toutes?) des banques. -- Orjan Petersson, Logcode SARL The email address in the From: header is valid
"Laurent Seguin" <laurent@alussinan.org> writes:
Par contre ce qui est possible, c'est de "deviner" le couple login/password
te permettant d'acceder à ton compte et donc faire tout ce qu'il t'es
possible de faire quand tu es en ligne.
Mais pourquoi les banques françaises ne proposent-ils pas un système
"challenge-response" (avec une petite "calculette" style secureID)
pour se connecter *et* valider les transactions?
En Suède par exemple, ce système est utilisé par le plupart (toutes?)
des banques.
--
Orjan Petersson, Logcode SARL
The email address in the From: header is valid
Par contre ce qui est possible, c'est de "deviner" le couple login/password te permettant d'acceder à ton compte et donc faire tout ce qu'il t'es possible de faire quand tu es en ligne.
Mais pourquoi les banques françaises ne proposent-ils pas un système
"challenge-response" (avec une petite "calculette" style secureID) pour se connecter *et* valider les transactions? En Suède par exemple, ce système est utilisé par le plupart (toutes?) des banques. -- Orjan Petersson, Logcode SARL The email address in the From: header is valid
Pierre BETOUIN
Le Mon, 21 Jul 2003 23:37:06 +0000, Jerome a écrit :
"MeiK" a écrit dans le message de news:
Les timing attacks sur ssl ne sont-t-elles pas efficaces uniquement en réseau local, là ou une régularité du traffic existe ? car sur internet,
en fonction de l'encombrement, le temps mis par deux paquets pour aller d'une machine A a une machine B ne sera pas forcément le même...
Tout à fait : j'avais lu un article là dessus (dont le lien était donné sur secuser.com il me semble mais je ne remets plus la main dessus) et on y apprenait effectivement que la faille n'était exploitable que sur un tout petit réseau local dans certaines conditions... Et la conclusion était bien qu'en réalité, une telle tentative serait vaine sur le net. Non, jusqu'à 3,4 sauts, elle est efficace.
La raison est bien celle invoquée : il faut un traffic régulier avec un encombrement minimal pour avoir une rapidité extrême des échanges. Il suffit juste de "calibrer" le trafic (il doit, c'est vrai, être
relativement constant), pour regler les tps de réponses.
Jérôme
Pierre
Le Mon, 21 Jul 2003 23:37:06 +0000, Jerome a écrit :
"MeiK" <michael@attila6.ath.cx> a écrit dans le message de
news:20030721184659.17bd2ff7.michael@attila6.ath.cx...
Les timing attacks sur ssl ne sont-t-elles pas efficaces uniquement en
réseau local, là ou une régularité du traffic existe ? car sur internet,
en fonction de l'encombrement, le temps mis par deux paquets pour aller
d'une machine A a une machine B ne sera pas forcément le même...
Tout à fait : j'avais lu un article là dessus (dont le lien était donné
sur secuser.com il me semble mais je ne remets plus la main dessus) et
on y apprenait effectivement que la faille n'était exploitable que sur
un tout petit réseau local dans certaines conditions... Et la conclusion
était bien qu'en réalité, une telle tentative serait vaine sur le net.
Non, jusqu'à 3,4 sauts, elle est efficace.
La raison est bien celle invoquée : il faut un traffic régulier avec un
encombrement minimal pour avoir une rapidité extrême des échanges.
Il suffit juste de "calibrer" le trafic (il doit, c'est vrai, être
relativement constant), pour regler les tps de réponses.
Le Mon, 21 Jul 2003 23:37:06 +0000, Jerome a écrit :
"MeiK" a écrit dans le message de news:
Les timing attacks sur ssl ne sont-t-elles pas efficaces uniquement en réseau local, là ou une régularité du traffic existe ? car sur internet,
en fonction de l'encombrement, le temps mis par deux paquets pour aller d'une machine A a une machine B ne sera pas forcément le même...
Tout à fait : j'avais lu un article là dessus (dont le lien était donné sur secuser.com il me semble mais je ne remets plus la main dessus) et on y apprenait effectivement que la faille n'était exploitable que sur un tout petit réseau local dans certaines conditions... Et la conclusion était bien qu'en réalité, une telle tentative serait vaine sur le net. Non, jusqu'à 3,4 sauts, elle est efficace.
La raison est bien celle invoquée : il faut un traffic régulier avec un encombrement minimal pour avoir une rapidité extrême des échanges. Il suffit juste de "calibrer" le trafic (il doit, c'est vrai, être
relativement constant), pour regler les tps de réponses.
Jérôme
Pierre
Eric Razny
"T0t0" a écrit dans le message de news:
"Xavier Teyssier" wrote in message news:
A mon avis, c'est très peu probable, pour une raison simple, c'est qu'il y a bien plus facile. J'ai déjà aperçu sur le net des softs qui génère des numéros de CB valide. Donc si pirate je devais être, je preferais faire un clic sur ce soft que m'enquiquiner à essayer de pirater une transaction bancaire...
Tout à fait, et sinon, tant qu'à piquer des numéros de cartes bancaire, Un pirate préfèrera, à mon avis, s'attaquer à une base contenant un grand nombre de numéros que monter une attaque pour en trouver un seul.
Maintenant, vu qu'en pratique, je n'y connais pas grand chose, peut-être que je me dis ça juste pour me rassurer...
Ca me semble cohérent. Et pour répondre à Laurence, les connexions vers les sites bancaires se font en HTTPS. Il n'y a à ma connaissance pas de failles dans SSL connue aujourd'hui qui permette de douter de l'intégrité d'une connexion. Par mesure de précaution, tu peux vérifier que tu as bien le petit cadenas dans le navigateur et que le cetificat présenté par le serveur est correct.
Outre les éventuels gags possibles avec SSL (vérif des certifs, man in the middle) certaines banques semblent ne pas comprendre ce qu'est un certif! Exemple la société générale : son certif est donné pour : logitelnet.socgen.com On peut acceder au site par www.logitelnet.socgen.com et de la consulter ses comptes, ok, le lien est bon.
Mais quand on y accède par www.logitelnet.fr il n'y a pas de redirection et quand on utilise le lien on a un superbe warning de sécu comme quoi l'adresse du certif et du site ne correspondent pas.
Tu peux le vérifier sur leur site.
Pour moi c'est un double problème : - pour les autres : le gus non averti qui passe par le fr va prendre l'habitude d'accepter des certifs potentiellement bidons. - pour les autres et moi : quelle raison ais-je de croire que le reste de la sécu est mieux en aval et en amont chez eux, s'ils ne comprennent déjà pas les bases?
Eric.
"T0t0" <bibi@antionline.org> a écrit dans le message de
news:51d0fe045efc3f1b18ad3bdd5fe57f27_28089@mygate.mailgate.org...
"Xavier Teyssier" <xteyssier@ifrance.com> wrote in message
news:20030721141412.58de70b6.xteyssier@ifrance.com
A mon avis, c'est très peu probable, pour une raison simple, c'est qu'il
y a bien plus facile.
J'ai déjà aperçu sur le net des softs qui génère des numéros de CB
valide. Donc si pirate je devais être, je preferais faire un clic sur ce
soft que m'enquiquiner à essayer de pirater une transaction bancaire...
Tout à fait, et sinon, tant qu'à piquer des numéros de cartes bancaire,
Un pirate préfèrera, à mon avis, s'attaquer à une base contenant un
grand nombre de numéros que monter une attaque pour en trouver un seul.
Maintenant, vu qu'en pratique, je n'y connais pas grand chose,
peut-être que je me dis ça juste pour me rassurer...
Ca me semble cohérent.
Et pour répondre à Laurence, les connexions vers les sites bancaires
se font en HTTPS. Il n'y a à ma connaissance pas de failles dans SSL
connue aujourd'hui qui permette de douter de l'intégrité d'une
connexion.
Par mesure de précaution, tu peux vérifier que tu as bien le petit
cadenas dans le navigateur et que le cetificat présenté par le serveur
est correct.
Outre les éventuels gags possibles avec SSL (vérif des certifs, man in the
middle) certaines banques semblent ne pas comprendre ce qu'est un certif!
Exemple la société générale :
son certif est donné pour : logitelnet.socgen.com
On peut acceder au site par www.logitelnet.socgen.com et de la consulter ses
comptes, ok, le lien est bon.
Mais quand on y accède par www.logitelnet.fr il n'y a pas de redirection et
quand on utilise le lien on a un superbe warning de sécu comme quoi
l'adresse du certif et du site ne correspondent pas.
Tu peux le vérifier sur leur site.
Pour moi c'est un double problème :
- pour les autres : le gus non averti qui passe par le fr va prendre
l'habitude d'accepter des certifs potentiellement bidons.
- pour les autres et moi : quelle raison ais-je de croire que le reste de la
sécu est mieux en aval et en amont chez eux, s'ils ne comprennent déjà pas
les bases?
A mon avis, c'est très peu probable, pour une raison simple, c'est qu'il y a bien plus facile. J'ai déjà aperçu sur le net des softs qui génère des numéros de CB valide. Donc si pirate je devais être, je preferais faire un clic sur ce soft que m'enquiquiner à essayer de pirater une transaction bancaire...
Tout à fait, et sinon, tant qu'à piquer des numéros de cartes bancaire, Un pirate préfèrera, à mon avis, s'attaquer à une base contenant un grand nombre de numéros que monter une attaque pour en trouver un seul.
Maintenant, vu qu'en pratique, je n'y connais pas grand chose, peut-être que je me dis ça juste pour me rassurer...
Ca me semble cohérent. Et pour répondre à Laurence, les connexions vers les sites bancaires se font en HTTPS. Il n'y a à ma connaissance pas de failles dans SSL connue aujourd'hui qui permette de douter de l'intégrité d'une connexion. Par mesure de précaution, tu peux vérifier que tu as bien le petit cadenas dans le navigateur et que le cetificat présenté par le serveur est correct.
Outre les éventuels gags possibles avec SSL (vérif des certifs, man in the middle) certaines banques semblent ne pas comprendre ce qu'est un certif! Exemple la société générale : son certif est donné pour : logitelnet.socgen.com On peut acceder au site par www.logitelnet.socgen.com et de la consulter ses comptes, ok, le lien est bon.
Mais quand on y accède par www.logitelnet.fr il n'y a pas de redirection et quand on utilise le lien on a un superbe warning de sécu comme quoi l'adresse du certif et du site ne correspondent pas.
Tu peux le vérifier sur leur site.
Pour moi c'est un double problème : - pour les autres : le gus non averti qui passe par le fr va prendre l'habitude d'accepter des certifs potentiellement bidons. - pour les autres et moi : quelle raison ais-je de croire que le reste de la sécu est mieux en aval et en amont chez eux, s'ils ne comprennent déjà pas les bases?
Eric.
T0t0
"Eric Razny" wrote in message news:3f1e64ae$0$16687$
Outre les éventuels gags possibles avec SSL (vérif des certifs, man in the middle)
Je suis peut être à coté de la plaque, mais il ne me semble pas si simple de faire un mitm sur Internet. Ce qui semble être un pré-requis pour la plupart des attaques proposées.
certaines banques semblent ne pas comprendre ce qu'est un certif! Exemple la société générale : son certif est donné pour : logitelnet.socgen.com On peut acceder au site par www.logitelnet.socgen.com et de la consulter ses comptes, ok, le lien est bon. Mais quand on y accède par www.logitelnet.fr il n'y a pas de redirection et quand on utilise le lien on a un superbe warning de sécu comme quoi l'adresse du certif et du site ne correspondent pas.
Effectivement, c'est énorme ! Pour un site bancaire, ca la fout mal :-(
Et d'ailleurs, leur certificat signé par Verisign semble être du type de ceux décrits dans la page donnée par Cédric sur la faille IE de vérification des contraintes de base. Quelqu'un sait-il si les certificats vendus par verisign ou ses sbires sont encore sous le coup de ce problème ?
Pour moi c'est un double problème : - pour les autres : le gus non averti qui passe par le fr va prendre l'habitude d'accepter des certifs potentiellement bidons.
Oui, tout à fait. Mon avis d'ailleurs, est qu'à partir du moment où la personne est un peu clik bouton partout, et qu'un mitm est mis en place, autant lui fournir une autorité bidon qui permettra par la suite de présenter des certificats pour n'importe quel site sans la moindre alerte...
J'ai cru voir dans la page que le gars parlait d'une façon de faire accepter une autorité de certification silencieusement. Quelqu'un a-t-il des infos là dessus ? Ca vient d'un bug ? d'une fonctionnalité un peu "large" ? Ca existe vraiment ?
- pour les autres et moi : quelle raison ai-je de croire que le reste de la sécu est mieux en aval et en amont chez eux, s'ils ne comprennent déjà pas les bases?
Effectivement. Faut peut être envisager de changer de banque :-)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Eric Razny" <trash2@razny.net> wrote in message
news:3f1e64ae$0$16687$626a54ce@news.free.fr
Outre les éventuels gags possibles avec SSL (vérif des certifs, man in the
middle)
Je suis peut être à coté de la plaque, mais il ne me semble pas si
simple de faire un mitm sur Internet. Ce qui semble être un pré-requis
pour la plupart des attaques proposées.
certaines banques semblent ne pas comprendre ce qu'est un certif!
Exemple la société générale :
son certif est donné pour : logitelnet.socgen.com
On peut acceder au site par www.logitelnet.socgen.com et de la consulter ses
comptes, ok, le lien est bon.
Mais quand on y accède par www.logitelnet.fr il n'y a pas de redirection et
quand on utilise le lien on a un superbe warning de sécu comme quoi
l'adresse du certif et du site ne correspondent pas.
Effectivement, c'est énorme !
Pour un site bancaire, ca la fout mal :-(
Et d'ailleurs, leur certificat signé par Verisign semble être du type
de ceux décrits dans la page donnée par Cédric sur la faille IE de
vérification des contraintes de base.
Quelqu'un sait-il si les certificats vendus par verisign ou ses sbires
sont encore sous le coup de ce problème ?
Pour moi c'est un double problème :
- pour les autres : le gus non averti qui passe par le fr va prendre
l'habitude d'accepter des certifs potentiellement bidons.
Oui, tout à fait.
Mon avis d'ailleurs, est qu'à partir du moment où la personne est
un peu clik bouton partout, et qu'un mitm est mis en place, autant lui
fournir une autorité bidon qui permettra par la suite de présenter
des certificats pour n'importe quel site sans la moindre alerte...
J'ai cru voir dans la page que le gars parlait d'une façon de faire
accepter une autorité de certification silencieusement.
Quelqu'un a-t-il des infos là dessus ? Ca vient d'un bug ? d'une
fonctionnalité un peu "large" ? Ca existe vraiment ?
- pour les autres et moi : quelle raison ai-je de croire que le reste de la
sécu est mieux en aval et en amont chez eux, s'ils ne comprennent déjà pas
les bases?
Effectivement.
Faut peut être envisager de changer de banque :-)
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Eric Razny" wrote in message news:3f1e64ae$0$16687$
Outre les éventuels gags possibles avec SSL (vérif des certifs, man in the middle)
Je suis peut être à coté de la plaque, mais il ne me semble pas si simple de faire un mitm sur Internet. Ce qui semble être un pré-requis pour la plupart des attaques proposées.
certaines banques semblent ne pas comprendre ce qu'est un certif! Exemple la société générale : son certif est donné pour : logitelnet.socgen.com On peut acceder au site par www.logitelnet.socgen.com et de la consulter ses comptes, ok, le lien est bon. Mais quand on y accède par www.logitelnet.fr il n'y a pas de redirection et quand on utilise le lien on a un superbe warning de sécu comme quoi l'adresse du certif et du site ne correspondent pas.
Effectivement, c'est énorme ! Pour un site bancaire, ca la fout mal :-(
Et d'ailleurs, leur certificat signé par Verisign semble être du type de ceux décrits dans la page donnée par Cédric sur la faille IE de vérification des contraintes de base. Quelqu'un sait-il si les certificats vendus par verisign ou ses sbires sont encore sous le coup de ce problème ?
Pour moi c'est un double problème : - pour les autres : le gus non averti qui passe par le fr va prendre l'habitude d'accepter des certifs potentiellement bidons.
Oui, tout à fait. Mon avis d'ailleurs, est qu'à partir du moment où la personne est un peu clik bouton partout, et qu'un mitm est mis en place, autant lui fournir une autorité bidon qui permettra par la suite de présenter des certificats pour n'importe quel site sans la moindre alerte...
J'ai cru voir dans la page que le gars parlait d'une façon de faire accepter une autorité de certification silencieusement. Quelqu'un a-t-il des infos là dessus ? Ca vient d'un bug ? d'une fonctionnalité un peu "large" ? Ca existe vraiment ?
- pour les autres et moi : quelle raison ai-je de croire que le reste de la sécu est mieux en aval et en amont chez eux, s'ils ne comprennent déjà pas les bases?
Effectivement. Faut peut être envisager de changer de banque :-)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Nicob
On Mon, 21 Jul 2003 17:25:32 +0000, Jean-Pierre Louvet wrote:
Bertrand wrote:
Salut,
Bref a mon avis il faut se mefier. Surtout a cause du XSS. Le HTTPS ne suffit malheuresement pas... ce serait trop simple.
Bon, il faut comparer ce qui tu crains au risque de se faire piquer la
carte (ou l'argent) quand on fait un retrait dans un distrubuteur public... sans parler de l'immense trou des facturettes encore en usage dans de nombreux pays étrangers.
Mouais ...
Si tu te fais braquer au distributeur, tu peux porter plainte et ce type de problème est "connu" des flics.
Si on fait des achats avec ta CB sur le Net, tu vas gueuler auprès de ta banque et elle te rembourse sans (trop de) problème.
Par contre, si quelqu'un te vole le cookie d'accès à ton compte (via XSS), je te souhaite bien du courage pour expliquer ça à ta banque :(
Nicob
On Mon, 21 Jul 2003 17:25:32 +0000, Jean-Pierre Louvet wrote:
Bertrand wrote:
Salut,
Bref a mon avis il faut se mefier. Surtout a cause du XSS. Le HTTPS ne
suffit malheuresement pas... ce serait trop simple.
Bon, il faut comparer ce qui tu crains au risque de se faire piquer la
carte (ou l'argent) quand on fait un retrait dans un distrubuteur
public... sans parler de l'immense trou des facturettes encore en usage
dans de nombreux pays étrangers.
Mouais ...
Si tu te fais braquer au distributeur, tu peux porter plainte et ce type
de problème est "connu" des flics.
Si on fait des achats avec ta CB sur le Net, tu vas gueuler auprès de ta
banque et elle te rembourse sans (trop de) problème.
Par contre, si quelqu'un te vole le cookie d'accès à ton compte (via XSS),
je te souhaite bien du courage pour expliquer ça à ta banque :(
On Mon, 21 Jul 2003 17:25:32 +0000, Jean-Pierre Louvet wrote:
Bertrand wrote:
Salut,
Bref a mon avis il faut se mefier. Surtout a cause du XSS. Le HTTPS ne suffit malheuresement pas... ce serait trop simple.
Bon, il faut comparer ce qui tu crains au risque de se faire piquer la
carte (ou l'argent) quand on fait un retrait dans un distrubuteur public... sans parler de l'immense trou des facturettes encore en usage dans de nombreux pays étrangers.
Mouais ...
Si tu te fais braquer au distributeur, tu peux porter plainte et ce type de problème est "connu" des flics.
Si on fait des achats avec ta CB sur le Net, tu vas gueuler auprès de ta banque et elle te rembourse sans (trop de) problème.
Par contre, si quelqu'un te vole le cookie d'accès à ton compte (via XSS), je te souhaite bien du courage pour expliquer ça à ta banque :(
