Je recherche en ligne un article ou site qui explique, si possible avec un
codage universel pour tous les navigateurs, d'empêcher l'enregistrement du
mot de passe et/ou de l'identifiant de connexion à un service sécurisé
https, même si l'internaute accepte de mémoriser ce mot de passe dans les
propriétés de son navigateur.
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en
ces temps d'attaques répétées me semble important, l'internaute n'étant
souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
Ceci dit, en changeant à tous les coups l'URL du formulaire d'identification, tu pourrais faire sauter le truc.
Ben non. On cumule les inconvénients des deux méthodes : on doit taper le mot de passe à chaque fois, et il est enregistré à chaque fois, donc a priori plus facile à trouver pour un éventuel pirate.
On 10 Apr 2006 10:08:04 GMT, R12y
<mihamina.rakotomandimby@etu.univ-orleans.fr>:
Ceci dit, en changeant à tous les coups l'URL du formulaire
d'identification, tu pourrais faire sauter le truc.
Ben non. On cumule les inconvénients des deux méthodes : on doit taper
le mot de passe à chaque fois, et il est enregistré à chaque fois,
donc a priori plus facile à trouver pour un éventuel pirate.
Ceci dit, en changeant à tous les coups l'URL du formulaire d'identification, tu pourrais faire sauter le truc.
Ben non. On cumule les inconvénients des deux méthodes : on doit taper le mot de passe à chaque fois, et il est enregistré à chaque fois, donc a priori plus facile à trouver pour un éventuel pirate.
Eric Belhomme
Fred wrote in news:4437f27c$0$2076$:
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en ces temps d'attaques répétées me semble important, l'internaute n'étant souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
je reviens pas sur l'aspect intrusif de la chose, mes petits camarades on
déjà suffisament réagit à la question, et je crois que tout est dit...
En revanche, _la_ solution est, amha, la PKI, avec token hardware et tout le tintouin, genre ce que l'Administration impose maintenant aux entreprises pour payer leurs URSSAF par Internet : - certificat délivré par une banque habilitée, sur un token USB - ActiveX installé sur le navigateur pour taper sur le token
Mais c'est _lourd_ à mettre en oeuvre, et tres onéreux... ... et pour l'utilisateur lambda (en l'occurance le gérant) un véritable casse-tête informatique : ca m'a d'ailleurs bien fait suer moi même avant que ca tombe en marche...
-- Rico
Fred <nobody@aol.com> wrote in
news:4437f27c$0$2076$626a54ce@news.free.fr:
je recherche donc un code qui "bypass" le choix de l'internaute ce qui
en ces temps d'attaques répétées me semble important, l'internaute
n'étant souvent pas conscient de la dangerosité d'enregistrer et
mémoriser les mdp
je reviens pas sur l'aspect intrusif de la chose, mes petits camarades on
déjà suffisament réagit à la question, et je crois que tout est dit...
En revanche, _la_ solution est, amha, la PKI, avec token hardware et tout
le tintouin, genre ce que l'Administration impose maintenant aux
entreprises pour payer leurs URSSAF par Internet :
- certificat délivré par une banque habilitée, sur un token USB
- ActiveX installé sur le navigateur pour taper sur le token
Mais c'est _lourd_ à mettre en oeuvre, et tres onéreux...
... et pour l'utilisateur lambda (en l'occurance le gérant) un véritable
casse-tête informatique : ca m'a d'ailleurs bien fait suer moi même avant
que ca tombe en marche...
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en ces temps d'attaques répétées me semble important, l'internaute n'étant souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
je reviens pas sur l'aspect intrusif de la chose, mes petits camarades on
déjà suffisament réagit à la question, et je crois que tout est dit...
En revanche, _la_ solution est, amha, la PKI, avec token hardware et tout le tintouin, genre ce que l'Administration impose maintenant aux entreprises pour payer leurs URSSAF par Internet : - certificat délivré par une banque habilitée, sur un token USB - ActiveX installé sur le navigateur pour taper sur le token
Mais c'est _lourd_ à mettre en oeuvre, et tres onéreux... ... et pour l'utilisateur lambda (en l'occurance le gérant) un véritable casse-tête informatique : ca m'a d'ailleurs bien fait suer moi même avant que ca tombe en marche...
-- Rico
Eric Razny
Le Mon, 10 Apr 2006 12:19:47 +0000, Eric Belhomme a écrit :
En revanche, _la_ solution est, amha, la PKI, avec token hardware et tout le tintouin, genre ce que l'Administration impose maintenant aux entreprises pour payer leurs URSSAF par Internet : - certificat délivré par une banque habilitée, sur un token USB - ActiveX installé sur le navigateur pour taper sur le token ^^^^^^^^^
ahem! ça fait du bien de rire!
Amha le simple fait d'imposer activeX et donc un browser windows couplé à ce bidule c'est fait pour tout sauf me rassurer. Certes l'authentification sera ok (à condition bien sur que le token fasse de la crypto. Si c'est juste pour stocker la clef et la délivrer en clair après password -si si j'ai déjà vu- ça change juste l'endroit où il faut intercepter les données, intérêt limité je trouve) mais les effets de bords pour Mme Michu seront tels (ok, acceptons tous les activeX dans IE...) que le résultat sera catastrophique.
Eric.
Le Mon, 10 Apr 2006 12:19:47 +0000, Eric Belhomme a écrit :
En revanche, _la_ solution est, amha, la PKI, avec token hardware et tout
le tintouin, genre ce que l'Administration impose maintenant aux
entreprises pour payer leurs URSSAF par Internet : - certificat délivré
par une banque habilitée, sur un token USB
- ActiveX installé sur le navigateur pour taper sur le token
^^^^^^^^^
ahem! ça fait du bien de rire!
Amha le simple fait d'imposer activeX et donc un browser windows couplé
à ce bidule c'est fait pour tout sauf me rassurer. Certes
l'authentification sera ok (à condition bien sur que le token fasse de la
crypto. Si c'est juste pour stocker la clef et la délivrer en clair
après password -si si j'ai déjà vu- ça change juste l'endroit où il
faut intercepter les données, intérêt limité je trouve) mais les effets
de bords pour Mme Michu seront tels (ok, acceptons tous les activeX dans
IE...) que le résultat sera catastrophique.
Le Mon, 10 Apr 2006 12:19:47 +0000, Eric Belhomme a écrit :
En revanche, _la_ solution est, amha, la PKI, avec token hardware et tout le tintouin, genre ce que l'Administration impose maintenant aux entreprises pour payer leurs URSSAF par Internet : - certificat délivré par une banque habilitée, sur un token USB - ActiveX installé sur le navigateur pour taper sur le token ^^^^^^^^^
ahem! ça fait du bien de rire!
Amha le simple fait d'imposer activeX et donc un browser windows couplé à ce bidule c'est fait pour tout sauf me rassurer. Certes l'authentification sera ok (à condition bien sur que le token fasse de la crypto. Si c'est juste pour stocker la clef et la délivrer en clair après password -si si j'ai déjà vu- ça change juste l'endroit où il faut intercepter les données, intérêt limité je trouve) mais les effets de bords pour Mme Michu seront tels (ok, acceptons tous les activeX dans IE...) que le résultat sera catastrophique.
Eric.
Eric Razny
Le Mon, 10 Apr 2006 10:08:04 +0000, Guillaume F a écrit :
Tu peux utiliser un clavier virtuelle par ex
Sauf que les "keyloggers" se sont déjà adapté pour récupérer un bitmap de l'endroit où l'on clique.
Je suis à la société générale et à chaque fois je suis mort de rire de voir que pour mon compte perso c'est clavier virtuel alors que pour le compte pro c'est frappe au clavier. Trouver l'erreur! (dommage que je n'ai pas le temps de m'en "inquiéter" officiellement par RAR, rien que pour le fun).
De toute façon à part un dispositif physique bien conçu il est illusoire de vouloir limiter la casse à partir d'une machine corrompue. Et dans ce cas même si le hard empêche le rejeu il n'empêche pas le hijack de session. Game over.
-- Eric.
Le Mon, 10 Apr 2006 10:08:04 +0000, Guillaume F a écrit :
Tu peux utiliser un clavier virtuelle par ex
Sauf que les "keyloggers" se sont déjà adapté pour récupérer un
bitmap de l'endroit où l'on clique.
Je suis à la société générale et à chaque fois je suis mort de rire
de voir que pour mon compte perso c'est clavier virtuel alors que pour le
compte pro c'est frappe au clavier. Trouver l'erreur! (dommage que je n'ai
pas le temps de m'en "inquiéter" officiellement par RAR, rien que pour le
fun).
De toute façon à part un dispositif physique bien conçu il est
illusoire de vouloir limiter la casse à partir d'une machine corrompue.
Et dans ce cas même si le hard empêche le rejeu il n'empêche pas le
hijack de session. Game over.
Le Mon, 10 Apr 2006 10:08:04 +0000, Guillaume F a écrit :
Tu peux utiliser un clavier virtuelle par ex
Sauf que les "keyloggers" se sont déjà adapté pour récupérer un bitmap de l'endroit où l'on clique.
Je suis à la société générale et à chaque fois je suis mort de rire de voir que pour mon compte perso c'est clavier virtuel alors que pour le compte pro c'est frappe au clavier. Trouver l'erreur! (dommage que je n'ai pas le temps de m'en "inquiéter" officiellement par RAR, rien que pour le fun).
De toute façon à part un dispositif physique bien conçu il est illusoire de vouloir limiter la casse à partir d'une machine corrompue. Et dans ce cas même si le hard empêche le rejeu il n'empêche pas le hijack de session. Game over.
-- Eric.
Fabien LE LEZ
On 10 Apr 2006 12:19:47 GMT, Eric Belhomme <{rico}+no/:
- ActiveX installé sur le navigateur pour taper sur le token
Tant qu'à faire, autant créer une application dédiée au lieu du navigateur, ce sera plus fiable[*] et moins lourd.
[*] Ou plutôt, ça pourra être plus fiable, si c'est fait correctement.
On 10 Apr 2006 12:19:47 GMT, Eric Belhomme
<{rico}+no/spam@ricospirit.net>:
- ActiveX installé sur le navigateur pour taper sur le token
Tant qu'à faire, autant créer une application dédiée au lieu du
navigateur, ce sera plus fiable[*] et moins lourd.
[*] Ou plutôt, ça pourra être plus fiable, si c'est fait correctement.
On 10 Apr 2006 12:19:47 GMT, Eric Belhomme <{rico}+no/:
- ActiveX installé sur le navigateur pour taper sur le token
Tant qu'à faire, autant créer une application dédiée au lieu du navigateur, ce sera plus fiable[*] et moins lourd.
[*] Ou plutôt, ça pourra être plus fiable, si c'est fait correctement.
Emmanuel Florac
Le Mon, 10 Apr 2006 12:19:47 +0000, Eric Belhomme a écrit :
En revanche, _la_ solution est, amha, la PKI, avec token hardware et tout le tintouin, genre ce que l'Administration impose maintenant aux entreprises pour payer leurs URSSAF par Internet : - certificat délivré par une banque habilitée, sur un token USB - ActiveX installé sur le navigateur pour taper sur le token
Et donc on est obligé d'utiliser IE et windows, super pour la sécurité. Ils n'ont pas trouvé plus malin ?
-- Je suis riche des biens dont je sais me passer. Louis-Jean-Baptiste Etienne Vigée.
Le Mon, 10 Apr 2006 12:19:47 +0000, Eric Belhomme a écrit :
En revanche, _la_ solution est, amha, la PKI, avec token hardware et tout
le tintouin, genre ce que l'Administration impose maintenant aux
entreprises pour payer leurs URSSAF par Internet : - certificat délivré
par une banque habilitée, sur un token USB - ActiveX installé sur le
navigateur pour taper sur le token
Et donc on est obligé d'utiliser IE et windows, super pour la sécurité.
Ils n'ont pas trouvé plus malin ?
--
Je suis riche des biens dont je sais me passer.
Louis-Jean-Baptiste Etienne Vigée.
Le Mon, 10 Apr 2006 12:19:47 +0000, Eric Belhomme a écrit :
En revanche, _la_ solution est, amha, la PKI, avec token hardware et tout le tintouin, genre ce que l'Administration impose maintenant aux entreprises pour payer leurs URSSAF par Internet : - certificat délivré par une banque habilitée, sur un token USB - ActiveX installé sur le navigateur pour taper sur le token
Et donc on est obligé d'utiliser IE et windows, super pour la sécurité. Ils n'ont pas trouvé plus malin ?
-- Je suis riche des biens dont je sais me passer. Louis-Jean-Baptiste Etienne Vigée.
Eric Belhomme
Emmanuel Florac wrote in news::
Et donc on est obligé d'utiliser IE et windows, super pour la sécurité. Ils n'ont pas trouvé plus malin ?
zut, j'ai souvenir que dans la doc, le bouzin peut marcher aussi avec
netscape/mozilla... Finalement ca doit pas etre activeX (ou pas _que_)
Pour répondre à Eric, c'est un "vrai" token crypto PKCS #11
Mais j'insiste sur le fait que pour l'utilisateur basique (j'entends par là pas trop ami avec l'informatique) c'est une véritable usine à gaz !
-- Rico
Emmanuel Florac <eflorac@imaginet.fr> wrote in
news:pan.2006.04.10.21.00.43.91087@imaginet.fr:
Et donc on est obligé d'utiliser IE et windows, super pour la
sécurité. Ils n'ont pas trouvé plus malin ?
zut, j'ai souvenir que dans la doc, le bouzin peut marcher aussi avec
netscape/mozilla... Finalement ca doit pas etre activeX (ou pas _que_)
Pour répondre à Eric, c'est un "vrai" token crypto PKCS #11
Mais j'insiste sur le fait que pour l'utilisateur basique (j'entends par là
pas trop ami avec l'informatique) c'est une véritable usine à gaz !