davidbgk
/
larlet-fr-david
Watch 1
Star 0
Fork 0
Code Releases 0 Activity
Repository with sources and generator of https://larlet.fr/david/ https://larlet.fr/david/
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
244 Commits
1 Branch
Tree: f16aada5e3
Branches Tags
${ item.name }
Create branch ${ searchTerm }
from 'f16aada5e3'
${ noResults }
larlet-fr-david/david/biologeek/archives/20070418-myopenid-propose-d.../comments.html

comments.html 6.2KB
Raw Blame History

12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091 
  1. 

  2. <div class="comment" typeof="schema:UserComments">

  3.     <p class="comment-meta">

  4.         <span class="comment-author" property="schema:creator">lordphoenix</span> le <span class="comment-date" property="schema:commentTime">18/04/2007</span> :

  5.     </p>

  6.     <div class="comment-content" property="schema:commentText">

  7.         <p>à noter cette adresse : <a href="http://openiddirectory.com/" title="http://openiddirectory.com/" rel="nofollow">openiddirectory.com/</a> qui recense des sites utilisant OpenID</p>

  8.     </div>

  9. </div>

  10. <div class="comment" typeof="schema:UserComments">

  11.     <p class="comment-meta">

  12.         <span class="comment-author" property="schema:creator">NiCoS</span> le <span class="comment-date" property="schema:commentTime">18/04/2007</span> :

  13.     </p>

  14.     <div class="comment-content" property="schema:commentText">

  15.         <p>Le relooking était nécessaire de toutes façons et c'est une bonne chose que ce soit fait :-)<br />

  16. <br />

  17. Pour le certificat ou l'image, à voir parce qu'en utilisant plusieurs pcs, c'est un peu pénible à gérer ça, non ??</p>

  18.     </div>

  19. </div>

  20. <div class="comment" typeof="schema:UserComments">

  21.     <p class="comment-meta">

  22.         <span class="comment-author" property="schema:creator">haypo</span> le <span class="comment-date" property="schema:commentTime">18/04/2007</span> :

  23.     </p>

  24.     <div class="comment-content" property="schema:commentText">

  25.         <p>Attention au vol de cookie ! Il faut que site d'authentification n'est pas de faille XSS.</p>

  26.     </div>

  27. </div>

  28. <div class="comment" typeof="schema:UserComments">

  29.     <p class="comment-meta">

  30.         <span class="comment-author" property="schema:creator">Mehdi Kabab</span> le <span class="comment-date" property="schema:commentTime">18/04/2007</span> :

  31.     </p>

  32.     <div class="comment-content" property="schema:commentText">

  33.         <p>La mise en place d'un certificat SSL est une solution intéressante effectivement.<br />

  34. <br />

  35. La solution de l'image cookie était en place depuis un moment, mais disons que le design du site ne la mettait pas en évidence.</p>

  36.     </div>

  37. </div>

  38. <div class="comment" typeof="schema:UserComments">

  39.     <p class="comment-meta">

  40.         <span class="comment-author" property="schema:creator">David, biologeek</span> le <span class="comment-date" property="schema:commentTime">18/04/2007</span> :

  41.     </p>

  42.     <div class="comment-content" property="schema:commentText">

  43.         <p>@lordphoenix : merci pour le lien, je ne connaissais pas.<br />

  44. <br />

  45. @NiCoS : personnellement j'ai 2 machines sur lesquelles je suis susceptible d'utiliser OpenID, après le public n'est pas forcément geek non plus...<br />

  46. <br />

  47. @haypo : XSS est assez documenté maintenant, je pense (et j'espère !) que de telles failles ont été testées. De toute façon, lorsqu'on s'intéresse au phishing c'est la première chose à laquelle on pense.</p>

  48.     </div>

  49. </div>

  50. <div class="comment" typeof="schema:UserComments">

  51.     <p class="comment-meta">

  52.         <span class="comment-author" property="schema:creator">Eric Daspet</span> le <span class="comment-date" property="schema:commentTime">19/04/2007</span> :

  53.     </p>

  54.     <div class="comment-content" property="schema:commentText">

  55.         <p>Bah, même avec une XSS, ça devient plus complexe quand même. Ca veut dire qu'il faut viser quelqu'un particulièrement, préalablement arriver à lui faire exécuter le XSS sur son provider openid, puis après arriver à l'envoyer sur le faux site pour lui demander son login.<br />

  56. <br />

  57. Je ne suis pas en train de dire que ce n'est pas possible ou que ce n'est pas très grave si ça arrive, mais ça implique de cibler une personne particulièrement et pas d'avoir un exploitation en masse. Ca implique aussi une exploitation qui n'est pas forcément facile.<br />

  58. <br />

  59. Bref, des failles nous en aurons, comme dans toutes les applications. Là on a paré le problème principal, celui qui est exploitable en aveugle.</p>

  60.     </div>

  61. </div>

  62. <div class="comment" typeof="schema:UserComments">

  63.     <p class="comment-meta">

  64.         <span class="comment-author" property="schema:creator">mat</span> le <span class="comment-date" property="schema:commentTime">19/04/2007</span> :

  65.     </p>

  66.     <div class="comment-content" property="schema:commentText">

  67.         <p>L'idée de l'image est exploitée en test depuis quelque temps par yahoo (ils appellent ca sign-in seal), mais ca pose une tonne de problèmes. Si on éduque l'utilisateur à se méfier quand il ne voit pas l'image, alors il aura le reflexe de se méfier à des mauvais moments (cookies nettoyés, nouveau navigateur, etc). <br />

  68. <br />

  69. Et sur les PCs ou plein de monde circule (bibliothèques, cybercafés, etc) c'est risqué de laisser l'image dans un cookie, l'utilisateur croit qu'en se déconnectant c'est bon son compte est à l'abri, mais pas de bol le cookie est resté et peut être récupéré par quelqu'un ensuite. Il ne reste plus à ce quelqu'un qu'a mettre l'image sur un faux site pour feinter l'utilisateur quand il reviendra... Bien sur, c'est tiré par les cheveux, mais c'est quand même vachement problématique, je trouve.</p>

  70.     </div>

  71. </div>

  72. <div class="comment" typeof="schema:UserComments">

  73.     <p class="comment-meta">

  74.         <span class="comment-author" property="schema:creator">naked</span> le <span class="comment-date" property="schema:commentTime">29/06/2010</span> :

  75.     </p>

  76.     <div class="comment-content" property="schema:commentText">

  77.         <p>Ca implique aussi une exploitation qui n&#39;est pas forcément facile.</p>

  78.     </div>

  79. </div>

  80. <div class="comment" typeof="schema:UserComments">

  81.     <p class="comment-meta">

  82.         <span class="comment-author" property="schema:creator">j&#39;arrive apres la guerre</span> le <span class="comment-date" property="schema:commentTime">29/04/2011</span> :

  83.     </p>

  84.     <div class="comment-content" property="schema:commentText">

  85.         <p>Mais, l&#39;utilisation d&#39;un certificat SSL client ne protège PAS contre le phishing.</p>

  86. 

  87. <p>Un site contrefait peut très bien accepter une authentification par certificat SSL client.</p>

  88. 

  89. <p>En revanche, pour se protéger du phishing, un site en https avec un certificat SSL serveur, certifié par une AC reconnue chargée dans le navigateur du client (Thawte, Verisign...), serait une bonne option.<br /></p>

  90.     </div>

  91. </div>