Bonjour,
[â¦]
J'aimerais savoir si le fait de tenter de se logguer sur une machine
laissait une trace de mon passage et tout particulièrement affichait
quelque part dans les logs de la machine le mot de passe que j'ai
utilisé pour tenter de me logguer.
Cela pourrait permettre Ã
l'administrateur de la machine d'avoir un accès à celle que j' étais
censé être loggué, dans l'optique où il déduirai t l'erreur de saisie
d'url que j'ai fais (un .org au lieu d'un .com dans le cas présent).
Bonjour,
[â¦]
J'aimerais savoir si le fait de tenter de se logguer sur une machine
laissait une trace de mon passage et tout particulièrement affichait
quelque part dans les logs de la machine le mot de passe que j'ai
utilisé pour tenter de me logguer.
Cela pourrait permettre Ã
l'administrateur de la machine d'avoir un accès à celle que j' étais
censé être loggué, dans l'optique où il déduirai t l'erreur de saisie
d'url que j'ai fais (un .org au lieu d'un .com dans le cas présent).
Bonjour,
[â¦]
J'aimerais savoir si le fait de tenter de se logguer sur une machine
laissait une trace de mon passage et tout particulièrement affichait
quelque part dans les logs de la machine le mot de passe que j'ai
utilisé pour tenter de me logguer.
Cela pourrait permettre Ã
l'administrateur de la machine d'avoir un accès à celle que j' étais
censé être loggué, dans l'optique où il déduirai t l'erreur de saisie
d'url que j'ai fais (un .org au lieu d'un .com dans le cas présent).
Cela pourrait permettre Ã
l'administrateur de la machine d'avoir un accès à celle que j'étais
censé être loggué, dans l'optique où il dédui rait l'erreur de saisie
d'url que j'ai fais (un .org au lieu d'un .com dans le cas présen t).
⦠et pire.
La connexion est chiffrée avant de demander le mot de passe.
Mais bon, celui qui contrôle le serveur SSH peut en faire ce
quâil veut et la chaîne de caractères quâest ton mot de passe
lui est bien accessibleâ¦
Cela pourrait permettre Ã
l'administrateur de la machine d'avoir un accès à celle que j'étais
censé être loggué, dans l'optique où il dédui rait l'erreur de saisie
d'url que j'ai fais (un .org au lieu d'un .com dans le cas présen t).
⦠et pire.
La connexion est chiffrée avant de demander le mot de passe.
Mais bon, celui qui contrôle le serveur SSH peut en faire ce
quâil veut et la chaîne de caractères quâest ton mot de passe
lui est bien accessibleâ¦
Cela pourrait permettre Ã
l'administrateur de la machine d'avoir un accès à celle que j'étais
censé être loggué, dans l'optique où il dédui rait l'erreur de saisie
d'url que j'ai fais (un .org au lieu d'un .com dans le cas présen t).
⦠et pire.
La connexion est chiffrée avant de demander le mot de passe.
Mais bon, celui qui contrôle le serveur SSH peut en faire ce
quâil veut et la chaîne de caractères quâest ton mot de passe
lui est bien accessibleâ¦
Bonjour,
[â¦]
> Mais bon, celui qui contrôle le serveur SSH peut en faire ce
> quâil veut et la chaîne de caractères quâest ton mot de passe
> lui est bien accessibleâ¦
Est-ce bien certain ?
Même si la connexion est chiffrée l'envoi
du mot de passe ne me paraît pas utile. Un hachage du password
doit suffire non ?
Bonjour,
[â¦]
> Mais bon, celui qui contrôle le serveur SSH peut en faire ce
> quâil veut et la chaîne de caractères quâest ton mot de passe
> lui est bien accessibleâ¦
Est-ce bien certain ?
Même si la connexion est chiffrée l'envoi
du mot de passe ne me paraît pas utile. Un hachage du password
doit suffire non ?
Bonjour,
[â¦]
> Mais bon, celui qui contrôle le serveur SSH peut en faire ce
> quâil veut et la chaîne de caractères quâest ton mot de passe
> lui est bien accessibleâ¦
Est-ce bien certain ?
Même si la connexion est chiffrée l'envoi
du mot de passe ne me paraît pas utile. Un hachage du password
doit suffire non ?
Goldy, vendredi 10 avril 2009, 01:19:45 CESTBonjour,
’re,[…]
J'aimerais savoir si le fait de tenter de se logguer sur une machine
laissait une trace de mon passage et tout particulièrement affichait
quelque part dans les logs de la machine le mot de passe que j'ai
utilisé pour tenter de me logguer.
Heureusement que non (normalement). Sinon…Cela pourrait permettre à
l'administrateur de la machine d'avoir un accès à celle que j'étais
censé être loggué, dans l'optique où il déduirait l'erreur de saisie
d'url que j'ai fais (un .org au lieu d'un .com dans le cas présent).
… et pire.
La connexion est chiffrée avant de demander le mot de passe.
Mais bon, celui qui contrôle le serveur SSH peut en faire ce
qu’il veut et la chaîne de caractères qu’est ton mot de passe
lui est bien accessible…
Donc, c’est à toi de vérifier le serveur sur lequel tu te
connectes. C’est pour ça qu’il y a un fichier known_hosts. C’est
pour ça que ssh te demandes te confirmer quand tu vas sur un
nouveau serveur et qu’il ne faut pas répondre oui sans
réfléchir…
Goldy, vendredi 10 avril 2009, 01:19:45 CEST
Bonjour,
’re,
[…]
J'aimerais savoir si le fait de tenter de se logguer sur une machine
laissait une trace de mon passage et tout particulièrement affichait
quelque part dans les logs de la machine le mot de passe que j'ai
utilisé pour tenter de me logguer.
Heureusement que non (normalement). Sinon…
Cela pourrait permettre à
l'administrateur de la machine d'avoir un accès à celle que j'étais
censé être loggué, dans l'optique où il déduirait l'erreur de saisie
d'url que j'ai fais (un .org au lieu d'un .com dans le cas présent).
… et pire.
La connexion est chiffrée avant de demander le mot de passe.
Mais bon, celui qui contrôle le serveur SSH peut en faire ce
qu’il veut et la chaîne de caractères qu’est ton mot de passe
lui est bien accessible…
Donc, c’est à toi de vérifier le serveur sur lequel tu te
connectes. C’est pour ça qu’il y a un fichier known_hosts. C’est
pour ça que ssh te demandes te confirmer quand tu vas sur un
nouveau serveur et qu’il ne faut pas répondre oui sans
réfléchir…
Goldy, vendredi 10 avril 2009, 01:19:45 CESTBonjour,
’re,[…]
J'aimerais savoir si le fait de tenter de se logguer sur une machine
laissait une trace de mon passage et tout particulièrement affichait
quelque part dans les logs de la machine le mot de passe que j'ai
utilisé pour tenter de me logguer.
Heureusement que non (normalement). Sinon…Cela pourrait permettre à
l'administrateur de la machine d'avoir un accès à celle que j'étais
censé être loggué, dans l'optique où il déduirait l'erreur de saisie
d'url que j'ai fais (un .org au lieu d'un .com dans le cas présent).
… et pire.
La connexion est chiffrée avant de demander le mot de passe.
Mais bon, celui qui contrôle le serveur SSH peut en faire ce
qu’il veut et la chaîne de caractères qu’est ton mot de passe
lui est bien accessible…
Donc, c’est à toi de vérifier le serveur sur lequel tu te
connectes. C’est pour ça qu’il y a un fichier known_hosts. C’est
pour ça que ssh te demandes te confirmer quand tu vas sur un
nouveau serveur et qu’il ne faut pas répondre oui sans
réfléchir…
> > Mais bon, celui qui contrôle le serveur SSH peut en faire ce
> > qu’il veut et la chaîne de caractères qu’est ton mot de passe
> > lui est bien accessible…
>
> Est-ce bien certain ?
D’après ce que j’en sais, oui.
Après vérification rapide du code, le mot de passe est lu et
placé tel quel dans le paquet à envoyer (chiffré).
> > Mais bon, celui qui contrôle le serveur SSH peut en faire ce
> > qu’il veut et la chaîne de caractères qu’est ton mot de passe
> > lui est bien accessible…
>
> Est-ce bien certain ?
D’après ce que j’en sais, oui.
Après vérification rapide du code, le mot de passe est lu et
placé tel quel dans le paquet à envoyer (chiffré).
> > Mais bon, celui qui contrôle le serveur SSH peut en faire ce
> > qu’il veut et la chaîne de caractères qu’est ton mot de passe
> > lui est bien accessible…
>
> Est-ce bien certain ?
D’après ce que j’en sais, oui.
Après vérification rapide du code, le mot de passe est lu et
placé tel quel dans le paquet à envoyer (chiffré).
On 2009-04-10 16:48:04 +0200, Sylvain Sauvage wrote:
[â¦]
> Dâaprès ce que jâen sais, oui.
> Après vérification rapide du code, le mot de passe est lu et
> placé tel quel dans le paquet à envoyer (chiffré).
D'ailleurs il est bien connu qu'un des trous de sécurité de tel net
était l'envoi du mot de passe en clair.
Maintenant c'est peut-être une des raisons pour lesquelles le syst ème
d'authentification RSA est plus sûr.
On 2009-04-10 16:48:04 +0200, Sylvain Sauvage wrote:
[â¦]
> Dâaprès ce que jâen sais, oui.
> Après vérification rapide du code, le mot de passe est lu et
> placé tel quel dans le paquet à envoyer (chiffré).
D'ailleurs il est bien connu qu'un des trous de sécurité de tel net
était l'envoi du mot de passe en clair.
Maintenant c'est peut-être une des raisons pour lesquelles le syst ème
d'authentification RSA est plus sûr.
On 2009-04-10 16:48:04 +0200, Sylvain Sauvage wrote:
[â¦]
> Dâaprès ce que jâen sais, oui.
> Après vérification rapide du code, le mot de passe est lu et
> placé tel quel dans le paquet à envoyer (chiffré).
D'ailleurs il est bien connu qu'un des trous de sécurité de tel net
était l'envoi du mot de passe en clair.
Maintenant c'est peut-être une des raisons pour lesquelles le syst ème
d'authentification RSA est plus sûr.
Vincent Lefevre, dimanche 12 avril 2009, 01:45:57 CESTOn 2009-04-10 16:48:04 +0200, Sylvain Sauvage wrote:
[…]D’après ce que j’en sais, oui.
Après vérification rapide du code, le mot de passe est lu et
placé tel quel dans le paquet à envoyer (chiffré).
D'ailleurs il est bien connu qu'un des trous de sécurité de telnet
était l'envoi du mot de passe en clair.
Vois pas le rapport. Dans ssh, le mot de passe est en clair
mais dans le tunnel chiffré. Il me semble logique que le mot de
passe soit donné au serveur pour qu’il puisse authentifier.
Dans telnet, la connexion n’est pas chiffrée, donc le problème,
c’est un petit malin qui se placerait au milieu pour regarder ce
qui passe dans le tuyau.
Notons aussi que lors d’un login sur une machine, le mot de
passe est en clair, hein ; il est tapé au clavier. La machine le
connait donc bien aussi et si un méchant a remplacé le programme
login, on n’est au même point que si un méchant remplace le
programme sshd pour choper les mots de passe. La seule
différence, c’est que le fait que l’accès à la machine par
l’utilisateur soit physique permet plus facilement à cet
utilisateur de se rendre compte qu’il se trompe de machine…Maintenant c'est peut-être une des raisons pour lesquelles le système
d'authentification RSA est plus sûr.
Sûr, vu que les clefs privées restent privées.
Vincent Lefevre, dimanche 12 avril 2009, 01:45:57 CEST
On 2009-04-10 16:48:04 +0200, Sylvain Sauvage wrote:
[…]
D’après ce que j’en sais, oui.
Après vérification rapide du code, le mot de passe est lu et
placé tel quel dans le paquet à envoyer (chiffré).
D'ailleurs il est bien connu qu'un des trous de sécurité de telnet
était l'envoi du mot de passe en clair.
Vois pas le rapport. Dans ssh, le mot de passe est en clair
mais dans le tunnel chiffré. Il me semble logique que le mot de
passe soit donné au serveur pour qu’il puisse authentifier.
Dans telnet, la connexion n’est pas chiffrée, donc le problème,
c’est un petit malin qui se placerait au milieu pour regarder ce
qui passe dans le tuyau.
Notons aussi que lors d’un login sur une machine, le mot de
passe est en clair, hein ; il est tapé au clavier. La machine le
connait donc bien aussi et si un méchant a remplacé le programme
login, on n’est au même point que si un méchant remplace le
programme sshd pour choper les mots de passe. La seule
différence, c’est que le fait que l’accès à la machine par
l’utilisateur soit physique permet plus facilement à cet
utilisateur de se rendre compte qu’il se trompe de machine…
Maintenant c'est peut-être une des raisons pour lesquelles le système
d'authentification RSA est plus sûr.
Sûr, vu que les clefs privées restent privées.
Vincent Lefevre, dimanche 12 avril 2009, 01:45:57 CESTOn 2009-04-10 16:48:04 +0200, Sylvain Sauvage wrote:
[…]D’après ce que j’en sais, oui.
Après vérification rapide du code, le mot de passe est lu et
placé tel quel dans le paquet à envoyer (chiffré).
D'ailleurs il est bien connu qu'un des trous de sécurité de telnet
était l'envoi du mot de passe en clair.
Vois pas le rapport. Dans ssh, le mot de passe est en clair
mais dans le tunnel chiffré. Il me semble logique que le mot de
passe soit donné au serveur pour qu’il puisse authentifier.
Dans telnet, la connexion n’est pas chiffrée, donc le problème,
c’est un petit malin qui se placerait au milieu pour regarder ce
qui passe dans le tuyau.
Notons aussi que lors d’un login sur une machine, le mot de
passe est en clair, hein ; il est tapé au clavier. La machine le
connait donc bien aussi et si un méchant a remplacé le programme
login, on n’est au même point que si un méchant remplace le
programme sshd pour choper les mots de passe. La seule
différence, c’est que le fait que l’accès à la machine par
l’utilisateur soit physique permet plus facilement à cet
utilisateur de se rendre compte qu’il se trompe de machine…Maintenant c'est peut-être une des raisons pour lesquelles le système
d'authentification RSA est plus sûr.
Sûr, vu que les clefs privées restent privées.
Vincent Lefevre, dimanche 12 avril 2009, 01:45:57 CEST
> D'ailleurs il est bien connu qu'un des trous de sécurité de telnet
> était l'envoi du mot de passe en clair.
Vois pas le rapport. Dans ssh, le mot de passe est en clair
mais dans le tunnel chiffré.
Il me semble logique que le mot de passe soit donné au serveur pour
qu’il puisse authentifier.
Vincent Lefevre, dimanche 12 avril 2009, 01:45:57 CEST
> D'ailleurs il est bien connu qu'un des trous de sécurité de telnet
> était l'envoi du mot de passe en clair.
Vois pas le rapport. Dans ssh, le mot de passe est en clair
mais dans le tunnel chiffré.
Il me semble logique que le mot de passe soit donné au serveur pour
qu’il puisse authentifier.
Vincent Lefevre, dimanche 12 avril 2009, 01:45:57 CEST
> D'ailleurs il est bien connu qu'un des trous de sécurité de telnet
> était l'envoi du mot de passe en clair.
Vois pas le rapport. Dans ssh, le mot de passe est en clair
mais dans le tunnel chiffré.
Il me semble logique que le mot de passe soit donné au serveur pour
qu’il puisse authentifier.
[â¦]
> Il me semble logique que le mot de passe soit donné au serveur pour
> quâil puisse authentifier.
Ãa ne me semble pas si logique que ça.
Le mot de passe chiffré (avec
une donnée propre au serveur et une méthode asymétrique) p ourrait
être passé au serveur. Cela permettrait d'éviter de divulg uer son
mot de passe si par hasard, on le fourni[ss]ait à un mauvais serveur
(e.g. serveur non identifié par RSA, etc.).
[â¦]
> Il me semble logique que le mot de passe soit donné au serveur pour
> quâil puisse authentifier.
Ãa ne me semble pas si logique que ça.
Le mot de passe chiffré (avec
une donnée propre au serveur et une méthode asymétrique) p ourrait
être passé au serveur. Cela permettrait d'éviter de divulg uer son
mot de passe si par hasard, on le fourni[ss]ait à un mauvais serveur
(e.g. serveur non identifié par RSA, etc.).
[â¦]
> Il me semble logique que le mot de passe soit donné au serveur pour
> quâil puisse authentifier.
Ãa ne me semble pas si logique que ça.
Le mot de passe chiffré (avec
une donnée propre au serveur et une méthode asymétrique) p ourrait
être passé au serveur. Cela permettrait d'éviter de divulg uer son
mot de passe si par hasard, on le fourni[ss]ait à un mauvais serveur
(e.g. serveur non identifié par RSA, etc.).