Faille de sécurité importante, plusieurs navigateurs
12 réponses
Denis Beauregard
Bonjour,
Mon PC vient de planter (peu importe la raison) et il a donc
redémarrer tout seul.
Puis, j'ai relancé mes navigateurs qui étaient en marche au
moment de la panne, et les deux (Seamonkey et Chrome) ont agi
de la même façon, ils ont restauré mes sessions en cours, y
compris les mots de passe qui n'ont pas été redemandés.
C'est arrivé chez moi, alors, pas de danger.
Imaginons la situation suivante : je suis dans une bibliothèque
publique, je viens de regarder dans mon compte de banque et il y a
une panne de courant (ou quelqu'un tire le fil de l'ordinateur).
Le PC arrête et il est possible qu'un autre le relance plus tard
AVEC MON MOT DE PASSE ENCORE ACTIF.
Un joli gadget mais quel danger cela représente dans une telle
situation...
Quelqu'un peut traduire et faire suivre à l'équipe de développement
(je suppose que c'est commun à Chrome, Firefox et Seamonkey).
... Imaginons la situation suivante : je suis dans une bibliothèque publique, je viens de regarder dans mon compte de banque et il y a une panne de courant (ou quelqu'un tire le fil de l'ordinateur). Le PC arrête et il est possible qu'un autre le relance plus tard AVEC MON MOT DE PASSE ENCORE ACTIF.
Un joli gadget mais quel danger cela représente dans une telle situation... ...
Normalement, le système d'authentification de ta banque ne devrait pas permettre de rentrer avec un mot de passe mémorisé.
Il y a une très forte chance que la connexion soit restée active grâce aux cookies. Et si ta banque a bien fait les choses, une inactivité trop prolongée devrait te déconnecter automatiquement. Pour ma banque, c'est inférieur à 5 minutes (je n'ai pas mesuré la durée exacte, c'est sans doute beaucoup plus court).
Tu peux faire l'essai: - connecte toi à ta banque - ne fais rien pendant plusieurs minutes
Par contre, si la connexion reste, regarde s'il y a des options pour ca dans ton profil. Et sinon, je t'invite à en parler à ta banque... :-)
Thierry
Le 21/11/2013 00:29, Denis Beauregard a écrit :
...
Imaginons la situation suivante : je suis dans une bibliothèque
publique, je viens de regarder dans mon compte de banque et il y a
une panne de courant (ou quelqu'un tire le fil de l'ordinateur).
Le PC arrête et il est possible qu'un autre le relance plus tard
AVEC MON MOT DE PASSE ENCORE ACTIF.
Un joli gadget mais quel danger cela représente dans une telle
situation...
...
Normalement, le système d'authentification de ta banque ne devrait pas
permettre de rentrer avec un mot de passe mémorisé.
Il y a une très forte chance que la connexion soit restée active grâce
aux cookies.
Et si ta banque a bien fait les choses, une inactivité trop prolongée
devrait te déconnecter automatiquement.
Pour ma banque, c'est inférieur à 5 minutes (je n'ai pas mesuré la durée
exacte, c'est sans doute beaucoup plus court).
Tu peux faire l'essai:
- connecte toi à ta banque
- ne fais rien pendant plusieurs minutes
Par contre, si la connexion reste, regarde s'il y a des options pour ca
dans ton profil.
Et sinon, je t'invite à en parler à ta banque... :-)
... Imaginons la situation suivante : je suis dans une bibliothèque publique, je viens de regarder dans mon compte de banque et il y a une panne de courant (ou quelqu'un tire le fil de l'ordinateur). Le PC arrête et il est possible qu'un autre le relance plus tard AVEC MON MOT DE PASSE ENCORE ACTIF.
Un joli gadget mais quel danger cela représente dans une telle situation... ...
Normalement, le système d'authentification de ta banque ne devrait pas permettre de rentrer avec un mot de passe mémorisé.
Il y a une très forte chance que la connexion soit restée active grâce aux cookies. Et si ta banque a bien fait les choses, une inactivité trop prolongée devrait te déconnecter automatiquement. Pour ma banque, c'est inférieur à 5 minutes (je n'ai pas mesuré la durée exacte, c'est sans doute beaucoup plus court).
Tu peux faire l'essai: - connecte toi à ta banque - ne fais rien pendant plusieurs minutes
Par contre, si la connexion reste, regarde s'il y a des options pour ca dans ton profil. Et sinon, je t'invite à en parler à ta banque... :-)
Thierry
Dominique
Le 21/11/2013 00:44, Professeur Méphisto a écrit :
Ce n'est pas un bug mais une fonctionnalité... qui se désactive. Si l'installation a été faite correctement et intelligemment, l'admin de la bibliothèque aura prit soin de passer (pour FF et co) le parametre de config
browser.sessionstore.resume_from_crash à false
Je ne connaissais pas ce paramétrage.
Je viens de le mettre à false. Merci pour le tuyau.
Bonne soirée,
-- Dominique Courriel : dominique point sextant ate orange en France Esto quod es
Le 21/11/2013 00:44, Professeur Méphisto a écrit :
Ce n'est pas un bug mais une fonctionnalité... qui se désactive. Si
l'installation a été faite correctement et intelligemment, l'admin de la
bibliothèque aura prit soin de passer (pour FF et co) le parametre de config
browser.sessionstore.resume_from_crash à false
Je ne connaissais pas ce paramétrage.
Je viens de le mettre à false. Merci pour le tuyau.
Bonne soirée,
--
Dominique
Courriel : dominique point sextant ate orange en France
Esto quod es
Le 21/11/2013 00:44, Professeur Méphisto a écrit :
Ce n'est pas un bug mais une fonctionnalité... qui se désactive. Si l'installation a été faite correctement et intelligemment, l'admin de la bibliothèque aura prit soin de passer (pour FF et co) le parametre de config
browser.sessionstore.resume_from_crash à false
Je ne connaissais pas ce paramétrage.
Je viens de le mettre à false. Merci pour le tuyau.
Bonne soirée,
-- Dominique Courriel : dominique point sextant ate orange en France Esto quod es