Je recherche en ligne un article ou site qui explique, si possible avec un
codage universel pour tous les navigateurs, d'empêcher l'enregistrement du
mot de passe et/ou de l'identifiant de connexion à un service sécurisé
https, même si l'internaute accepte de mémoriser ce mot de passe dans les
propriétés de son navigateur.
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en
ces temps d'attaques répétées me semble important, l'internaute n'étant
souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
Je recherche en ligne un article ou site qui explique, si possible avec un codage universel pour tous les navigateurs, d'empêcher l'enregistrement du mot de passe et/ou de l'identifiant de connexion à un service sécurisé https, même si l'internaute accepte de mémoriser ce mot de passe dans les propriétés de son navigateur.
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en ces temps d'attaques répétées me semble important, l'internaute n'étant souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
Merci
Bonsoir,
Personnellement, j'utilise Mozilla et je stocke mes mots de passe dans le gestionnaire prévu à cet effet et protégé lui même par un mot de passe. J'utilise cette fonctionnalité en toute connaissance de causes ! Cette action relève de ma propre responsabilité et je vois d'un mauvais oeil qu'un site (ou une personne) extérieure à mon ordinateur veuille m'imposer la restriction que vous envisagez...
De manière générale, la gestion de la sécurité de mon ordinateur personnel et de mes mots de passe m'incombe et je n'entends pas déléguer cette gestion, ni même la voir restreinte.
Vouloir imposer cette restriction peut même produire l'effet contraire de celui recherché, par exemple de coller toute une série de post-it à coté de l'écran de l'ordinateur où tous les identifiants/mots de passe sont retranscris en clair !
De plus, trouver un mécanisme universel pour cette procédure relève de la quete de graal, compte tenu de la variété des navigateurs sur le marché, voire des outils tiers (plugins, application autonome et indépendante, etc). En conclusion, d'autres pistes sont à explorer, en particulier si cette mesure cherche à protéger votre site d'utilisation non voulue pour ne pas dire frauduleuse...
-- Philippe.
Fred a demandé:
Bonsoir,
Je recherche en ligne un article ou site qui explique, si possible avec un
codage universel pour tous les navigateurs, d'empêcher l'enregistrement du
mot de passe et/ou de l'identifiant de connexion à un service sécurisé
https, même si l'internaute accepte de mémoriser ce mot de passe dans les
propriétés de son navigateur.
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en
ces temps d'attaques répétées me semble important, l'internaute n'étant
souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
Merci
Bonsoir,
Personnellement, j'utilise Mozilla et je stocke mes mots de passe dans
le gestionnaire prévu à cet effet et protégé lui même par un mot de
passe. J'utilise cette fonctionnalité en toute connaissance de causes !
Cette action relève de ma propre responsabilité et je vois d'un mauvais
oeil qu'un site (ou une personne) extérieure à mon ordinateur veuille
m'imposer la restriction que vous envisagez...
De manière générale, la gestion de la sécurité de mon ordinateur
personnel et de mes mots de passe m'incombe et je n'entends pas déléguer
cette gestion, ni même la voir restreinte.
Vouloir imposer cette restriction peut même produire l'effet contraire
de celui recherché, par exemple de coller toute une série de post-it à
coté de l'écran de l'ordinateur où tous les identifiants/mots de passe
sont retranscris en clair !
De plus, trouver un mécanisme universel pour cette procédure relève de
la quete de graal, compte tenu de la variété des navigateurs sur le
marché, voire des outils tiers (plugins, application autonome et
indépendante, etc).
En conclusion, d'autres pistes sont à explorer, en particulier si cette
mesure cherche à protéger votre site d'utilisation non voulue pour ne
pas dire frauduleuse...
Je recherche en ligne un article ou site qui explique, si possible avec un codage universel pour tous les navigateurs, d'empêcher l'enregistrement du mot de passe et/ou de l'identifiant de connexion à un service sécurisé https, même si l'internaute accepte de mémoriser ce mot de passe dans les propriétés de son navigateur.
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en ces temps d'attaques répétées me semble important, l'internaute n'étant souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
Merci
Bonsoir,
Personnellement, j'utilise Mozilla et je stocke mes mots de passe dans le gestionnaire prévu à cet effet et protégé lui même par un mot de passe. J'utilise cette fonctionnalité en toute connaissance de causes ! Cette action relève de ma propre responsabilité et je vois d'un mauvais oeil qu'un site (ou une personne) extérieure à mon ordinateur veuille m'imposer la restriction que vous envisagez...
De manière générale, la gestion de la sécurité de mon ordinateur personnel et de mes mots de passe m'incombe et je n'entends pas déléguer cette gestion, ni même la voir restreinte.
Vouloir imposer cette restriction peut même produire l'effet contraire de celui recherché, par exemple de coller toute une série de post-it à coté de l'écran de l'ordinateur où tous les identifiants/mots de passe sont retranscris en clair !
De plus, trouver un mécanisme universel pour cette procédure relève de la quete de graal, compte tenu de la variété des navigateurs sur le marché, voire des outils tiers (plugins, application autonome et indépendante, etc). En conclusion, d'autres pistes sont à explorer, en particulier si cette mesure cherche à protéger votre site d'utilisation non voulue pour ne pas dire frauduleuse...
-- Philippe.
Stephane Catteau
Fred n'était pas loin de dire :
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en ces temps d'attaques répétées me semble important, l'internaute n'étant souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
Il y a tant à répondre...
Tout d'abord, au nom de quoi t'arrogerais-tu le droit de décider de la façon dont je dois traiter mes identifiants ? Que je sache, nous sommes maître de nos ordinateurs et seuls à même de décider de ce que les logiciels que l'on utilise doivent ou non faire. D'ailleurs, as-tu conscience du fait que ce que tu envisages est puni par la loi au même titre que toute intrusion sur un ordinateur ne t'appartenant pas ? Ensuite, tu parles de la dangerosité d'enregistrer et mémoriser les mots de passe, mais as-tu conscience du fait que ces mots de passe sont aussi enregistrés du côté du serveur, et que si j'étais un méchant qui voulait récupérer le mot de passe d'un utilisateur d'un service donné, j'aurais plutôt tendance à cibler le service que l'utilisateur. Cela non seulement parce que l'histoire démontre que les sites web sont loins d'être exempts de failles, mais aussi parce que je récupèrerais dans la foulée les identifiants d'autres personnes, ce qui s'avère toujours utile. Bon, évidement, un bémol à mettre à cela, si le site est bien fait, seul un hash du mot de passe est stocké. Enfin, si un système tel que celui que tu cherches existait, ce qui n'est pas le cas, il s'agirait d'un épée de Damoclès placée droit au-dessus de la sécurité des utilisateurs. On place un petit keylogger sur l'ordinateur de la cible, on fait sauter la mémorisation des mots de passe, et hop, on récupère tous les identifiants sans avoir à se casser la tête pour les décoder...
Merci
De rien.
Fred n'était pas loin de dire :
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en
ces temps d'attaques répétées me semble important, l'internaute n'étant
souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
Il y a tant à répondre...
Tout d'abord, au nom de quoi t'arrogerais-tu le droit de décider de la
façon dont je dois traiter mes identifiants ? Que je sache, nous sommes
maître de nos ordinateurs et seuls à même de décider de ce que les
logiciels que l'on utilise doivent ou non faire.
D'ailleurs, as-tu conscience du fait que ce que tu envisages est puni
par la loi au même titre que toute intrusion sur un ordinateur ne
t'appartenant pas ?
Ensuite, tu parles de la dangerosité d'enregistrer et mémoriser les
mots de passe, mais as-tu conscience du fait que ces mots de passe sont
aussi enregistrés du côté du serveur, et que si j'étais un méchant qui
voulait récupérer le mot de passe d'un utilisateur d'un service donné,
j'aurais plutôt tendance à cibler le service que l'utilisateur. Cela
non seulement parce que l'histoire démontre que les sites web sont
loins d'être exempts de failles, mais aussi parce que je récupèrerais
dans la foulée les identifiants d'autres personnes, ce qui s'avère
toujours utile. Bon, évidement, un bémol à mettre à cela, si le site
est bien fait, seul un hash du mot de passe est stocké.
Enfin, si un système tel que celui que tu cherches existait, ce qui
n'est pas le cas, il s'agirait d'un épée de Damoclès placée droit
au-dessus de la sécurité des utilisateurs. On place un petit keylogger
sur l'ordinateur de la cible, on fait sauter la mémorisation des mots
de passe, et hop, on récupère tous les identifiants sans avoir à se
casser la tête pour les décoder...
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en ces temps d'attaques répétées me semble important, l'internaute n'étant souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
Il y a tant à répondre...
Tout d'abord, au nom de quoi t'arrogerais-tu le droit de décider de la façon dont je dois traiter mes identifiants ? Que je sache, nous sommes maître de nos ordinateurs et seuls à même de décider de ce que les logiciels que l'on utilise doivent ou non faire. D'ailleurs, as-tu conscience du fait que ce que tu envisages est puni par la loi au même titre que toute intrusion sur un ordinateur ne t'appartenant pas ? Ensuite, tu parles de la dangerosité d'enregistrer et mémoriser les mots de passe, mais as-tu conscience du fait que ces mots de passe sont aussi enregistrés du côté du serveur, et que si j'étais un méchant qui voulait récupérer le mot de passe d'un utilisateur d'un service donné, j'aurais plutôt tendance à cibler le service que l'utilisateur. Cela non seulement parce que l'histoire démontre que les sites web sont loins d'être exempts de failles, mais aussi parce que je récupèrerais dans la foulée les identifiants d'autres personnes, ce qui s'avère toujours utile. Bon, évidement, un bémol à mettre à cela, si le site est bien fait, seul un hash du mot de passe est stocké. Enfin, si un système tel que celui que tu cherches existait, ce qui n'est pas le cas, il s'agirait d'un épée de Damoclès placée droit au-dessus de la sécurité des utilisateurs. On place un petit keylogger sur l'ordinateur de la cible, on fait sauter la mémorisation des mots de passe, et hop, on récupère tous les identifiants sans avoir à se casser la tête pour les décoder...
Merci
De rien.
Delf
Stephane Catteau wrote:
Salut Stephane.
Que je sache, nous sommes maître de nos ordinateurs
Vives les DRM alors...
-- Delf Do not use this email in Cc! L'alcool tue lentement. On s'en fout. On n'est pas pressé.
Stephane Catteau wrote:
Salut Stephane.
Que je sache, nous sommes maître de nos ordinateurs
Vives les DRM alors...
--
Delf
Do not use this email in Cc!
L'alcool tue lentement. On s'en fout. On n'est pas pressé.
Que je sache, nous sommes maître de nos ordinateurs
Vives les DRM alors...
-- Delf Do not use this email in Cc! L'alcool tue lentement. On s'en fout. On n'est pas pressé.
R12y
On Sat, 08 Apr 2006 18:21:10 +0000, Fred wrote:
je recherche donc un code qui "bypass" le choix de l'internaute
En gros tu recherches un "virus". Parcequ'en supposant qu'un tel mechanisme existe, alors il serait aussi possible de faire des chose beaucoup plus condamnables que ce que tu comptes faire...
je recherche donc un code qui "bypass" le choix de l'internaute
En gros tu recherches un "virus".
Parcequ'en supposant qu'un tel mechanisme existe, alors il serait aussi
possible de faire des chose beaucoup plus condamnables que ce que tu
comptes faire...
je recherche donc un code qui "bypass" le choix de l'internaute
En gros tu recherches un "virus". Parcequ'en supposant qu'un tel mechanisme existe, alors il serait aussi possible de faire des chose beaucoup plus condamnables que ce que tu comptes faire...
le 08/04/2006 à 20:21, Fred a écrit dans le message <4437f27c$0$2076$ :
Je recherche en ligne un article ou site qui explique, si possible avec un codage universel pour tous les navigateurs, d'empêcher l'enregistrement du mot de passe et/ou de l'identifiant de connexion à un service sécurisé https, même si l'internaute accepte de mémoriser ce mot de passe dans les propriétés de son navigateur.
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en ces temps d'attaques répétées me semble important, l'internaute n'étant souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
Si c'est coté serveur que tu recherches, il suffit de faire comme bnpparibas.net : une grille où tu cliques pour taper ton mot de passe (ici des chiffres uniquement).
le 08/04/2006 à 20:21, Fred a écrit
dans le message <4437f27c$0$2076$626a54ce@news.free.fr> :
Je recherche en ligne un article ou site qui explique, si possible
avec un codage universel pour tous les navigateurs, d'empêcher
l'enregistrement du mot de passe et/ou de l'identifiant de connexion à
un service sécurisé https, même si l'internaute accepte de mémoriser
ce mot de passe dans les propriétés de son navigateur.
je recherche donc un code qui "bypass" le choix de l'internaute ce qui
en ces temps d'attaques répétées me semble important, l'internaute
n'étant souvent pas conscient de la dangerosité d'enregistrer et
mémoriser les mdp
Si c'est coté serveur que tu recherches, il suffit de faire comme
bnpparibas.net : une grille où tu cliques pour taper ton mot de passe
(ici des chiffres uniquement).
le 08/04/2006 à 20:21, Fred a écrit dans le message <4437f27c$0$2076$ :
Je recherche en ligne un article ou site qui explique, si possible avec un codage universel pour tous les navigateurs, d'empêcher l'enregistrement du mot de passe et/ou de l'identifiant de connexion à un service sécurisé https, même si l'internaute accepte de mémoriser ce mot de passe dans les propriétés de son navigateur.
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en ces temps d'attaques répétées me semble important, l'internaute n'étant souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
Si c'est coté serveur que tu recherches, il suffit de faire comme bnpparibas.net : une grille où tu cliques pour taper ton mot de passe (ici des chiffres uniquement).
Je recherche en ligne un article ou site qui explique, si possible avec un codage universel pour tous les navigateurs, d'empêcher l'enregistrement du mot de passe et/ou de l'identifiant de connexion à un service sécurisé https, même si l'internaute accepte de mémoriser ce mot de passe dans les propriétés de son navigateur.
En passant par un système à mot de passe à utilisation unique l'enregistrement du mot de passe devient caduque... Mais comme cela est basé sur un secret commun il faut soit du matériel spécialisé, soit un canal sûr pour l´échange d'une liste de mot passe, une grille ou autre.
Fred wrote:
Bonsoir,
Je recherche en ligne un article ou site qui explique, si possible avec un
codage universel pour tous les navigateurs, d'empêcher l'enregistrement du
mot de passe et/ou de l'identifiant de connexion à un service sécurisé
https, même si l'internaute accepte de mémoriser ce mot de passe dans les
propriétés de son navigateur.
En passant par un système à mot de passe à utilisation unique
l'enregistrement du mot de passe devient caduque...
Mais comme cela est basé sur un secret commun il faut soit du matériel
spécialisé, soit un canal sûr pour l´échange d'une liste de mot passe,
une grille ou autre.
Je recherche en ligne un article ou site qui explique, si possible avec un codage universel pour tous les navigateurs, d'empêcher l'enregistrement du mot de passe et/ou de l'identifiant de connexion à un service sécurisé https, même si l'internaute accepte de mémoriser ce mot de passe dans les propriétés de son navigateur.
En passant par un système à mot de passe à utilisation unique l'enregistrement du mot de passe devient caduque... Mais comme cela est basé sur un secret commun il faut soit du matériel spécialisé, soit un canal sûr pour l´échange d'une liste de mot passe, une grille ou autre.
Fred
Si c'est coté serveur que tu recherches, il suffit de faire comme bnpparibas.net : une grille où tu cliques pour taper ton mot de passe (ici des chiffres uniquement).
Merci de citer cet exemple car c'est justement avec une grille de ce type que nous nous sommes rendus compte que le mot de passe était quand même mémorisé ... Peut être que c'est la façon dont la grille a été conçue qui est en cause
Si c'est coté serveur que tu recherches, il suffit de faire comme
bnpparibas.net : une grille où tu cliques pour taper ton mot de passe
(ici des chiffres uniquement).
Merci de citer cet exemple car c'est justement avec une grille de ce type
que nous nous sommes rendus compte que le mot de passe était quand même
mémorisé ...
Peut être que c'est la façon dont la grille a été conçue qui est en cause
Si c'est coté serveur que tu recherches, il suffit de faire comme bnpparibas.net : une grille où tu cliques pour taper ton mot de passe (ici des chiffres uniquement).
Merci de citer cet exemple car c'est justement avec une grille de ce type que nous nous sommes rendus compte que le mot de passe était quand même mémorisé ... Peut être que c'est la façon dont la grille a été conçue qui est en cause
Emmanuel Florac
Le Sat, 08 Apr 2006 18:21:10 +0000, Fred a écrit :
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en ces temps d'attaques répétées me semble important, l'internaute n'étant souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
Un nouveau système anti-robots très astucieux, d'ailleurs peut-être intéressant dans ce cas précis : http://arstechnica.com/news.ars/post/20060407-6554.html
Il s'agit de choisir sur une grille de 9 images (ou plus) 3 (ou plus) images de petits chats, les robots étant notoirement peu doués pour cette tâche :)
-- Si ça a l'air facile, c'est difficile. Si ça a l'air difficile, c'est carrément impossible. Si ça a l'air impossible, c'est un compilateur Ada. Théorème de Stockmayer.
Le Sat, 08 Apr 2006 18:21:10 +0000, Fred a écrit :
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en
ces temps d'attaques répétées me semble important, l'internaute
n'étant souvent pas conscient de la dangerosité d'enregistrer et
mémoriser les mdp
Un nouveau système anti-robots très astucieux, d'ailleurs peut-être
intéressant dans ce cas précis :
http://arstechnica.com/news.ars/post/20060407-6554.html
Il s'agit de choisir sur une grille de 9 images (ou plus) 3 (ou plus)
images de petits chats, les robots étant notoirement peu doués pour
cette tâche :)
--
Si ça a l'air facile, c'est difficile. Si ça a l'air difficile, c'est
carrément impossible. Si ça a l'air impossible, c'est un compilateur
Ada.
Théorème de Stockmayer.
Le Sat, 08 Apr 2006 18:21:10 +0000, Fred a écrit :
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en ces temps d'attaques répétées me semble important, l'internaute n'étant souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
Un nouveau système anti-robots très astucieux, d'ailleurs peut-être intéressant dans ce cas précis : http://arstechnica.com/news.ars/post/20060407-6554.html
Il s'agit de choisir sur une grille de 9 images (ou plus) 3 (ou plus) images de petits chats, les robots étant notoirement peu doués pour cette tâche :)
-- Si ça a l'air facile, c'est difficile. Si ça a l'air difficile, c'est carrément impossible. Si ça a l'air impossible, c'est un compilateur Ada. Théorème de Stockmayer.
Nicolas Krebs
Fred écrivit dans l'article news:4437f27c$0$2076$
Bonsoir,
Bonjour,
Je recherche en ligne un article ou site qui explique, si possible avec un codage universel pour tous les navigateurs, d'empêcher l'enregistrement du mot de passe et/ou de l'identifiant de connexion à un service sécurisé https, même si l'internaute accepte de mémoriser ce mot de passe dans les propriétés de son navigateur.
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en ces temps d'attaques répétées me semble important, l'internaute n'étant souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
En sus des solutions techniques données par d'autres participants de fr.comp.securite, une solution éditoriale pour toute identification à un service client-serveur : identifiant ....... mot de passe ....... (Nous vous déconseillons de stocker/enregistrer/mémoriser vos/ce mots de passe dans votre ordinateur/client web pour les raisons _indiquées dans le document truc/cette page web/page de doc du logiciel_)
La partie soulignée est un liens vers une explication complémentaire.
Fred écrivit dans l'article news:4437f27c$0$2076$626a54ce@news.free.fr
Bonsoir,
Bonjour,
Je recherche en ligne un article ou site qui explique, si possible avec un
codage universel pour tous les navigateurs, d'empêcher l'enregistrement du
mot de passe et/ou de l'identifiant de connexion à un service sécurisé
https, même si l'internaute accepte de mémoriser ce mot de passe dans les
propriétés de son navigateur.
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en
ces temps d'attaques répétées me semble important, l'internaute n'étant
souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
En sus des solutions techniques données par d'autres participants de
fr.comp.securite, une solution éditoriale pour toute identification à un
service client-serveur :
identifiant .......
mot de passe ....... (Nous vous déconseillons de
stocker/enregistrer/mémoriser vos/ce mots de passe dans votre
ordinateur/client web pour les raisons _indiquées dans le document
truc/cette page web/page de doc du logiciel_)
La partie soulignée est un liens vers une explication complémentaire.
Je recherche en ligne un article ou site qui explique, si possible avec un codage universel pour tous les navigateurs, d'empêcher l'enregistrement du mot de passe et/ou de l'identifiant de connexion à un service sécurisé https, même si l'internaute accepte de mémoriser ce mot de passe dans les propriétés de son navigateur.
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en ces temps d'attaques répétées me semble important, l'internaute n'étant souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
En sus des solutions techniques données par d'autres participants de fr.comp.securite, une solution éditoriale pour toute identification à un service client-serveur : identifiant ....... mot de passe ....... (Nous vous déconseillons de stocker/enregistrer/mémoriser vos/ce mots de passe dans votre ordinateur/client web pour les raisons _indiquées dans le document truc/cette page web/page de doc du logiciel_)
La partie soulignée est un liens vers une explication complémentaire.
Fred
J'apporte une précision sur la raison de ma question : dans le climat actuel, qui ne vas pas aller en s'améliorant (phishing, keyloging, spyware, pc zombie ...) il est évident qu'il y aura à un moment ou un autre des internautes (ou une associations d'usagers) pour mettre en cause la responsabilité du fournisseur de service qui aura permis la mémorisation des mots de passe donnant accès à des services sensibles
Je souhaite donc faire de la prévention et protéger contre eux mêmes mes clients ...
Fred
J'apporte une précision sur la raison de ma question : dans le climat
actuel, qui ne vas pas aller en s'améliorant (phishing, keyloging, spyware,
pc zombie ...) il est évident qu'il y aura à un moment ou un autre des
internautes (ou une associations d'usagers) pour mettre en cause la
responsabilité du fournisseur de service qui aura permis la mémorisation des
mots de passe donnant accès à des services sensibles
Je souhaite donc faire de la prévention et protéger contre eux mêmes mes
clients ...
J'apporte une précision sur la raison de ma question : dans le climat actuel, qui ne vas pas aller en s'améliorant (phishing, keyloging, spyware, pc zombie ...) il est évident qu'il y aura à un moment ou un autre des internautes (ou une associations d'usagers) pour mettre en cause la responsabilité du fournisseur de service qui aura permis la mémorisation des mots de passe donnant accès à des services sensibles
Je souhaite donc faire de la prévention et protéger contre eux mêmes mes clients ...
