|
Voir le sujet précédent :: Voir le sujet suivant
|
| Auteur |
Message |
| |
|
Blau3grana
WRInaute occasionnel
Inscrit le: 14 Fév 2005
Messages: 169
Localisation: Lyon
|
|
| |
|
 |
tom_pascal
WRInaute impliqué
Inscrit le: 17 Nov 2003
Messages: 278
|
 Posté le : Mar Déc 12, 2006 15:30 Sujet du message: Grosse faille OVH... |
|
|
Ben, ça dépend si tu as déjà créé des tickets chez OVH en mentionnant dedans des informations "sensibles" (comme un mot de passe ou autre)...
Je ne pense pas que ce soit le cas de beaucoup de monde, mais qui sait...
Autrement, ça aurait été plus sympa de la part du découvreur de diffuser l'information une fois le problème connu et résolu par OVH et le cache de google expiré... mais bon. |
|
| |
|
|
bgdc
WRInaute passionné
Inscrit le: 23 Mai 2005
Messages: 629
Localisation: Jamais assez pres de ma femme et de ma fille.
|
| Posté le : Mar Déc 12, 2006 15:32 Sujet du message: Grosse faille OVH... |
|
|
| J'ai cliqué sur la recherche google, on tombe bien sur une page qui a l'air d'etre d'ovh et on trouve meme les coordonnées d'une personne. Ca craint....... |
|
| |
|
|
khantic
WRInaute occasionnel
Inscrit le: 06 Sep 2004
Messages: 208
|
| Posté le : Mar Déc 12, 2006 15:34 Sujet du message: Grosse faille OVH... |
|
|
| J'ai trouvé un identifiant en fouillant un peu... |
|
| |
|
|
tom_pascal
WRInaute impliqué
Inscrit le: 17 Nov 2003
Messages: 278
|
| Posté le : Mar Déc 12, 2006 15:38 Sujet du message: Grosse faille OVH... |
|
|
Bah, les coordonnées d'une personne propriétaire d'un site, on les a facilement avec un whois...
Le plus gênant, c'est les mots de passe... si c'est juste un identifiant (nic-handle) on le trouve aussi dans le whois et on ne peut pas non plus en faire grand chose sans mot de passe... donc je crois qu'il ne faut pas dramatiser non plus. |
|
| |
|
|
xgamer
WRInaute occasionnel
Inscrit le: 29 Nov 2006
Messages: 163
Localisation: cevennes
|
| Posté le : Mar Déc 12, 2006 15:43 Sujet du message: Grosse faille OVH... |
|
|
appeler ca une faille !!!! il y va fort le type !
si ces thread de support on été exploré par google , c'est qu'un lien a été mis vers le thread.
alors si on met un lien en public c'est que les info contenue dans le thread ne sont pas sensibles. |
|
| |
|
|
khantic
WRInaute occasionnel
Inscrit le: 06 Sep 2004
Messages: 208
|
| Posté le : Mar Déc 12, 2006 15:47 Sujet du message: Grosse faille OVH... |
|
|
Si bien sûr c'est une faille, puisque ces infos ne sont pas destinées à être publiées, et que ce contournement peut éventuellement permettre à des personnes malintentionnées de trouver des mots de passe.
C'est même répréhensible par la loi, OVH n'étant pas capable de protéger des infos personnelles.
Il suffirait d'inclure ces threads de support dans une session d'identification.
Je classe ce genre de faille comme très critique perso. |
|
| |
|
|
AW
WRInaute accro
Inscrit le: 31 Mai 2005
Messages: 2272
|
| Posté le : Mar Déc 12, 2006 15:52 Sujet du message: Grosse faille OVH... |
|
|
j'avais déja remarqué que c'etait accessible sans login et mot de passe, mais j'ai pas réagit plus que ça a l'époque (  ) J'ai toujours fait gaffe de pas mettre de données sensibles dans ce genre de truc dans tous les cas le support d'ovh a déja accès a votre compte pas la peine de leur donner votre mot de passe quand vous avez un soucis avec quelque chose.
Mais c'est vrai que c'est critique comme situation ...
Edit : il y a pas l'air d'avoir beaucoup de messages quand meme, ça aurait pu etre pire. |
|
| |
|
|
Szarah
WRInaute accro
Inscrit le: 22 Fév 2006
Messages: 7650
|
| Posté le : Mar Déc 12, 2006 17:09 Sujet du message: Grosse faille OVH... |
|
|
Je n'aime pas plus les threads qui montrent les failles chez les hébergeurs que ceux qui dénoncent nommément les pratiques de spamdexing ou que les gestionnaires de blogs irresponsables.
On a déjà bien assez de soucis avec les pros du hack, pas besoin de susciter des vocations. |
|
| |
|
|
ninive
WRInaute occasionnel
Inscrit le: 03 Mar 2004
Messages: 147
|
| Posté le : Mar Déc 12, 2006 17:57 Sujet du message: Grosse faille OVH... |
|
|
| xgamer a écrit: |
appeler ca une faille !!!! il y va fort le type !
si ces thread de support on été exploré par google , c'est qu'un lien a été mis vers le thread. |
Ou que quelqu'un l'a visité avec un navigateur équipé d'une googlebar aussi non ? |
|
| |
|
|
Monty973
WRInaute accro
Inscrit le: 21 Mar 2006
Messages: 1556
|
|
| |
|
|
Szarah
WRInaute accro
Inscrit le: 22 Fév 2006
Messages: 7650
|
| Posté le : Mar Déc 12, 2006 18:42 Sujet du message: Grosse faille OVH... |
|
|
La GGbar envoie une requête http pour renvoyer le PR de la page visitée et il peut arriver (ce n'est pas systématique) que si le site est inconnu de GG, le GGbot débarque rapidement.
J'en ai fait l'expérience plusieurs fois avec des pages en test, évidemment sans aucun lien pointé vers elles, qui se trouvaient en sous-rep et ne s'appelaient pas index.machin. |
|
| |
|
|
wullon
WRInaute accro
Inscrit le: 18 Sep 2004
Messages: 3898
Localisation: France
|
| Posté le : Mar Déc 12, 2006 19:08 Sujet du message: Grosse faille OVH... |
|
|
C'est assez vieux ça non (il me semble) ?
Enfin j'avais remarqué ça aussi, mais je m'étais dit que c'était pas bien grave étant donné que normalement il n'y a aucune info critique divulguée (mais ça m'est arrivé de répondre à des threads initié par un ami par exemple :s).
Dernière édition par wullon le Mer Déc 13, 2006 13:27; édité 2 fois |
|
| |
|
|
etrusco
WRInaute impliqué
Inscrit le: 31 Déc 2004
Messages: 258
|
| Posté le : Mar Déc 12, 2006 19:23 Sujet du message: Grosse faille OVH... |
|
|
[Mode hors sujet excusez moi de m'etre un peu éloigné du sujet principal]
Je puis vous jurer que l'histoire suivante est vraie. Et c'est moi qui l'ai vécu : en 2003, alors que je m'amusais presque autant qu'un végetarien à une soirée boucherie, je prends mon navigateur et je me dis " ho allez mon ptit et si tu tapais une de ces requetes google du tonnerre ? ".
Et v'la que je demande a mister google de me sortir [ " index of " loterie gagnant admin ]...
Devenez quoi je suis tombé sur l'interface d'administration non sécurisée du site officiel de l'équivalent de notre française des jeux en cote d'ivoire. Avec possibilité de changer les gains, connaitre les virements en cours, changer le nom des gagnants, changer les textes, images de la page d'accueil etc.... bref foutre le bazar...
Connaissant la liberté d'expression qui regne la bas, j'ai un peu mis des messages politiques " irrévérencieux " etc...
Puis j'ai ecrit un mail a ZATAZ dans la foulée pour leur signaler la faille. Résultat : QQ temps plus tard, Zataz publie dans leur magazine " LEUR " découverte de cette faille et disent avoir fait le nécessaire pour que les gens de la loterie de la bas colmate cette faille. En réalité, la faille est restée présente environ encore trois semaine apres la publication de ZATAZ de cette faille....
[/ Fin mode hors sujet excusez moi de m'etre un peu éloigné du sujet principal] |
|
| |
|
|
Bourriquet
WRInaute passionné
Inscrit le: 19 Sep 2005
Messages: 632
|
| Posté le : Mar Déc 12, 2006 20:24 Sujet du message: Grosse faille OVH... |
|
|
| khantic a écrit: |
Si bien sûr c'est une faille, puisque ces infos ne sont pas destinées à être publiées, et que ce contournement peut éventuellement permettre à des personnes malintentionnées de trouver des mots de passe.
C'est même répréhensible par la loi, OVH n'étant pas capable de protéger des infos personnelles.
Il suffirait d'inclure ces threads de support dans une session d'identification.
Je classe ce genre de faille comme très critique perso. |
Les hotlines ne sont pas autorisés à communiquer des mots de passes par le biais du thread, ni par téléphone. Donc de ce côté c'est mort. D'ailleurs, ils ne connaissent aucun des mots de passe...
Maintenant c'est vrai qu'un noindex nofollow aurait été déjà un strict minimum. En même temps, c'est même étrange que Google indexe des urls aussi "sales". |
|
| |
|
|
| |
|
|
