IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Question sécurité, phishing


Sujet :

Sécurité

  1. #1
    Nouveau membre du Club
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Décembre 2008
    Messages
    34
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Décembre 2008
    Messages : 34
    Points : 39
    Points
    39
    Par défaut Question sécurité, phishing
    Bonjour à tous, j'ai une question qui me turlupine depuis un bout de temps et je crois que vous, professionnel du Web, pourrez me répondre correctement.

    Est-il possible qu'en cliquant sur un lien, le distinataire (site au bout du lien) puisse acquérir des données sensibles contenue dans ma session active.

    Je donne un exemple, je suis sur un forum où j'ai du me connecter en utilisant un nom d'usager et un mot de passe. Dans l'un des fils de discussion un utilisateur met un lien vers un site malveillant. Est-il possible pour se site malveillant d'obtenir des données sensibles comme mon nom d'utilisateur, mot de passe ou autre me concernant (concernant plutôt ma connexion actuelle et celles utilisées dans le site de départ), évidemment sans que j'aie à les entrées?

    Merci de m'éclairer sur ce point.

  2. #2
    Membre averti Avatar de Nheo_
    Homme Profil pro
    Étudiant
    Inscrit en
    Avril 2011
    Messages
    323
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Avril 2011
    Messages : 323
    Points : 416
    Points
    416
    Par défaut
    Je ne crois pas que se soit possible, tout du moins j'espère. Je ne vois pas comment il pourrait récupérer ton login et mdp.

    Enfin, propos à confirmer, je ne suis absolument pas certains de ce que j'avance.

  3. #3
    Membre habitué
    Homme Profil pro
    Chef d'entreprise
    Inscrit en
    Novembre 2010
    Messages
    94
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Chef d'entreprise
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Novembre 2010
    Messages : 94
    Points : 153
    Points
    153
    Par défaut
    Bonjour,

    Quand on s'identifie sur un site web, on récupère un ID de session et c'est la seule chose qui reste stockée sur son ordinateur (dans un cookie). Les cookies ne sont accessibles SEULEMENT par les domaines les ayant créés (et leurs sous-domaines sauf si le champ domain ou path est activé, ce qui est le cas pour les sessions de PHP ou encore de Rails).

    Donc aucun risque que ce site malveillant accède à quoi que ce soit.

    Par contre, certains sites renvoient l'ID de session dans l'URL (par exemple /page.php?PHPSESSID=54dsd56sdsds96dssd56sq, ce qui (je suppose) est renvoyé dans le header HTTP Referer vers le "site de destination". Dans ce cas-ci, le site malveillant pourrait utiliser la session tant qu'elle est encore active.

    Néanmoins, peu de sites utilisent les sessions de la sorte et il faudrait vérifier que les navigateurs renvoient ces valeurs dans le Referer. Peut-être existent-ils des protections pour des noms connus tels que PHPSESSID.

    Pas trop de soucis à se faire donc.

    Cordialement,
    Thomas Feron de Backsmash.

  4. #4
    Nouveau membre du Club
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Décembre 2008
    Messages
    34
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Décembre 2008
    Messages : 34
    Points : 39
    Points
    39
    Par défaut
    Je te remercie beaucoup pour cette réponse qui correspond pas mal à ce que je cherchais. En fait, je voulais savoir si le simple fait de clicker sur lien qui mène à un site du genre "phishing" pouvait te compromettre. Il semble que ce ne soit pas le cas et j'en suis bien heureux.

    Merci encore.

  5. #5
    Membre éclairé Avatar de fallais
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Juillet 2006
    Messages
    858
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : Juillet 2006
    Messages : 858
    Points : 783
    Points
    783
    Par défaut
    Ce sujet a déja été traité à cette adresse : http://www.developez.net/forums/d108...urite/hacking/

    Merci de publier vos demandes/réponses sur celui-ci

    Voici un exemple de phishing qui peut réellement arriver, puisque comme dit plus haut, non le site ne pourra pas récupérer ton couple login/mdp.
    En revanche en cliquant sur ce lien (bon là il ne doit pas marcher) tu arrives sur un faux site (il manque un p à developpez.net).

    Tu veux publier un commentaire, bizarrement tu dois te connecter, et hop !
    Dire Straits, Bob Dylan, Led Zeppelin, the Who, Pink Floyd, AC/DC, Guns & Roses, the Doors, ...
    Nicolas Jaar, Paul Kalkbrenner, Marek Hermann

  6. #6
    Membre averti Avatar de Nheo_
    Homme Profil pro
    Étudiant
    Inscrit en
    Avril 2011
    Messages
    323
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Avril 2011
    Messages : 323
    Points : 416
    Points
    416
    Par défaut
    Citation Envoyé par Elwyn Voir le message
    (bon là il ne doit pas marcher)!
    Si il marche .

  7. #7
    Membre éclairé Avatar de fallais
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Juillet 2006
    Messages
    858
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : Juillet 2006
    Messages : 858
    Points : 783
    Points
    783
    Par défaut
    Citation Envoyé par Nheo_ Voir le message
    Si il marche .
    Damn it !
    Dire Straits, Bob Dylan, Led Zeppelin, the Who, Pink Floyd, AC/DC, Guns & Roses, the Doors, ...
    Nicolas Jaar, Paul Kalkbrenner, Marek Hermann

  8. #8
    Membre expérimenté Avatar de 10_GOTO_10
    Profil pro
    Inscrit en
    Juillet 2004
    Messages
    885
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2004
    Messages : 885
    Points : 1 522
    Points
    1 522
    Par défaut
    Citation Envoyé par Nheo_ Voir le message
    Je ne crois pas que se soit possible, tout du moins j'espère. Je ne vois pas comment il pourrait récupérer ton login et mdp.
    Il est parfois possible (avec JavaScript) de récupérer les cookies, donc le login et le mot de passe s'il est stocké en clair dedans, ou au moins assez d'informations pour continuer une session ouverte.

    Voir explications ici: http://fr.wikipedia.org/wiki/Cookie_...#Vol_de_cookie

  9. #9
    Membre habitué
    Homme Profil pro
    Chef d'entreprise
    Inscrit en
    Novembre 2010
    Messages
    94
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Chef d'entreprise
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Novembre 2010
    Messages : 94
    Points : 153
    Points
    153
    Par défaut
    Citation Envoyé par 10_GOTO_10 Voir le message
    Il est parfois possible (avec JavaScript) de récupérer les cookies, donc le login et le mot de passe s'il est stocké en clair dedans, ou au moins assez d'informations pour continuer une session ouverte.

    Voir explications ici: http://fr.wikipedia.org/wiki/Cookie_...#Vol_de_cookie
    Encore faut-il qu'il y ait une faille XSS ou CSRF sur le site en question, ce qui peut aller beaucoup plus loin qu'un simple vol de session d'ailleurs.

    Cordialement,
    Thomas Feron de Backsmash.

Discussions similaires

  1. Question sécurité PHP, HTML
    Par JustForProg dans le forum PHP & Base de données
    Réponses: 5
    Dernier message: 15/12/2008, 23h00
  2. Question sécurité
    Par Spyje dans le forum Autres
    Réponses: 0
    Dernier message: 17/11/2008, 20h45
  3. Question sécurité Affichage
    Par noarno dans le forum Mise en page CSS
    Réponses: 5
    Dernier message: 17/01/2007, 12h59
  4. [Sécurité] Question sécurité : sessions
    Par Alain15 dans le forum Langage
    Réponses: 3
    Dernier message: 08/05/2006, 16h28
  5. [question sécurité]
    Par greg64 dans le forum Sécurité
    Réponses: 5
    Dernier message: 15/03/2006, 22h05

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo