Grosse faille OVH.

WRInaute discret
Ben, ça dépend si tu as déjà créé des tickets chez OVH en mentionnant dedans des informations "sensibles" (comme un mot de passe ou autre)...

Je ne pense pas que ce soit le cas de beaucoup de monde, mais qui sait...

Autrement, ça aurait été plus sympa de la part du découvreur de diffuser l'information une fois le problème connu et résolu par OVH et le cache de google expiré... mais bon.
 
WRInaute impliqué
J'ai cliqué sur la recherche google, on tombe bien sur une page qui a l'air d'etre d'ovh et on trouve meme les coordonnées d'une personne. Ca craint.......
 
WRInaute discret
Bah, les coordonnées d'une personne propriétaire d'un site, on les a facilement avec un whois...
Le plus gênant, c'est les mots de passe... si c'est juste un identifiant (nic-handle) on le trouve aussi dans le whois et on ne peut pas non plus en faire grand chose sans mot de passe... donc je crois qu'il ne faut pas dramatiser non plus.
 
WRInaute discret
appeler ca une faille !!!! il y va fort le type !
si ces thread de support on été exploré par google , c'est qu'un lien a été mis vers le thread.
alors si on met un lien en public c'est que les info contenue dans le thread ne sont pas sensibles.
 
WRInaute discret
Si bien sûr c'est une faille, puisque ces infos ne sont pas destinées à être publiées, et que ce contournement peut éventuellement permettre à des personnes malintentionnées de trouver des mots de passe.

C'est même répréhensible par la loi, OVH n'étant pas capable de protéger des infos personnelles.

Il suffirait d'inclure ces threads de support dans une session d'identification.

Je classe ce genre de faille comme très critique perso.
 
WRInaute passionné
j'avais déja remarqué que c'etait accessible sans login et mot de passe, mais j'ai pas réagit plus que ça a l'époque ( :? ) J'ai toujours fait gaffe de pas mettre de données sensibles dans ce genre de truc dans tous les cas le support d'ovh a déja accès a votre compte pas la peine de leur donner votre mot de passe quand vous avez un soucis avec quelque chose.

Mais c'est vrai que c'est critique comme situation ...

Edit : il y a pas l'air d'avoir beaucoup de messages quand meme, ça aurait pu etre pire.
 
WRInaute accro
Je n'aime pas plus les threads qui montrent les failles chez les hébergeurs que ceux qui dénoncent nommément les pratiques de spamdexing ou que les gestionnaires de blogs irresponsables.
On a déjà bien assez de soucis avec les pros du hack, pas besoin de susciter des vocations.
 
WRInaute discret
xgamer a dit:
appeler ca une faille !!!! il y va fort le type !
si ces thread de support on été exploré par google , c'est qu'un lien a été mis vers le thread.

Ou que quelqu'un l'a visité avec un navigateur équipé d'une googlebar aussi non ?
 
WRInaute accro
Monty973 a dit:
ninive a dit:
Ou que quelqu'un l'a visité avec un navigateur équipé d'une googlebar aussi non ?

Non, c'est un mythe :)
http://www.mattcutts.com/blog/debunking ... g-indexed/
La GGbar envoie une requête http pour renvoyer le PR de la page visitée et il peut arriver (ce n'est pas systématique) que si le site est inconnu de GG, le GGbot débarque rapidement.
J'en ai fait l'expérience plusieurs fois avec des pages en test, évidemment sans aucun lien pointé vers elles, qui se trouvaient en sous-rep et ne s'appelaient pas index.machin.
 
WRInaute accro
C'est assez vieux ça non (il me semble) ?
Enfin j'avais remarqué ça aussi, mais je m'étais dit que c'était pas bien grave étant donné que normalement il n'y a aucune info critique divulguée (mais ça m'est arrivé de répondre à des threads initié par un ami par exemple :s).
 
WRInaute discret
[Mode hors sujet excusez moi de m'etre un peu éloigné du sujet principal]
Je puis vous jurer que l'histoire suivante est vraie. Et c'est moi qui l'ai vécu : en 2003, alors que je m'amusais presque autant qu'un végetarien à une soirée boucherie, je prends mon navigateur et je me dis " ho allez mon ptit et si tu tapais une de ces requetes google du tonnerre ? ".

Et v'la que je demande a mister google de me sortir [ " index of " loterie gagnant admin ]...

Devenez quoi je suis tombé sur l'interface d'administration non sécurisée du site officiel de l'équivalent de notre française des jeux en cote d'ivoire. Avec possibilité de changer les gains, connaitre les virements en cours, changer le nom des gagnants, changer les textes, images de la page d'accueil etc.... bref foutre le bazar...

Connaissant la liberté d'expression qui regne la bas, j'ai un peu mis des messages politiques " irrévérencieux " etc...

Puis j'ai ecrit un mail a ZATAZ dans la foulée pour leur signaler la faille. Résultat : QQ temps plus tard, Zataz publie dans leur magazine " LEUR " découverte de cette faille et disent avoir fait le nécessaire pour que les gens de la loterie de la bas colmate cette faille. En réalité, la faille est restée présente environ encore trois semaine apres la publication de ZATAZ de cette faille....

[/ Fin mode hors sujet excusez moi de m'etre un peu éloigné du sujet principal]
 
WRInaute impliqué
khantic a dit:
Si bien sûr c'est une faille, puisque ces infos ne sont pas destinées à être publiées, et que ce contournement peut éventuellement permettre à des personnes malintentionnées de trouver des mots de passe.

C'est même répréhensible par la loi, OVH n'étant pas capable de protéger des infos personnelles.

Il suffirait d'inclure ces threads de support dans une session d'identification.

Je classe ce genre de faille comme très critique perso.

Les hotlines ne sont pas autorisés à communiquer des mots de passes par le biais du thread, ni par téléphone. Donc de ce côté c'est mort. D'ailleurs, ils ne connaissent aucun des mots de passe...

Maintenant c'est vrai qu'un noindex nofollow aurait été déjà un strict minimum. En même temps, c'est même étrange que Google indexe des urls aussi "sales".
 
WRInaute discret
Bourriquet a dit:
Maintenant c'est vrai qu'un noindex nofollow aurait été déjà un strict minimum. En même temps, c'est même étrange que Google indexe des urls aussi "sales".
Et il y a aussi le robots.txt pour ce genre de cas. Même si son contenu est public, il est presque impossible de trouver un thread par hasard.

D'ailleurs ils l'exploitent un peu :p
 
WRInaute discret
Bourriquet a dit:
khantic a dit:
Si bien sûr c'est une faille, puisque ces infos ne sont pas destinées à être publiées, et que ce contournement peut éventuellement permettre à des personnes malintentionnées de trouver des mots de passe.

C'est même répréhensible par la loi, OVH n'étant pas capable de protéger des infos personnelles.

Il suffirait d'inclure ces threads de support dans une session d'identification.

Je classe ce genre de faille comme très critique perso.

Les hotlines ne sont pas autorisés à communiquer des mots de passes par le biais du thread, ni par téléphone. Donc de ce côté c'est mort. D'ailleurs, ils ne connaissent aucun des mots de passe...

Maintenant c'est vrai qu'un noindex nofollow aurait été déjà un strict minimum. En même temps, c'est même étrange que Google indexe des urls aussi "sales".

Sauf que le client,lui, il redonne souvent son mot de passe sans qu'on lui demande... Je sais, c'est pas malin et ca sert à rien, mais c'est comme ça...
 
WRInaute discret
Vous semblez minimiser la chose, mais je trouve ca super grave, il y a forcément des infos sensibles dans les échanges entre les techniciens et les clients. J'ai quelques sites chez eux, et j'ai perdu totalement confiance en eux voyant ça, finalement ca vaut sans doute le coup de prendre un prestataire plus petit et un peu plus cher...
 
WRInaute discret
C'est peut être une critique un peu gratuite, mais c'est à la hauteur de l'ergonomie de leur interface...

J'ai jamais compris comment ils avaient réussi à faire une interface de gestion aussi compliqué et non intuitive. Y'a des écoles pour apprendre ça ?
 
WRInaute discret
khantic a dit:
C'est peut être une critique un peu gratuite, mais c'est à la hauteur de l'ergonomie de leur interface...

J'ai jamais compris comment il avait réussi à faire une interface de gestion aussi compliqué et non intuitive. Y'a des écoles pour apprendre ça ?

Moi je la trouve très bien leur interface !

Pour revenir au sujet principal, savez vous si le problème est réglé ? Je n'ai pas vu de post en parlant dans le forum ovh, et rien qui mentionne cette faille dans la page travaux.

Ils sont au courant au moins qu'il y a un problème ??
 
WRInaute discret
Le problème n'est toujours pas réglé, on accède aux mails sans problème, même si il corrigeait le problème, google garderait les pages en cache pour un bon moment..
 
WRInaute impliqué
Ils sont au courant, j'en ai parlé personnellement avec le frère du DT qui se charge de beaucoup de chose dans la boite, et envoyé un mail à Octave.

Maintenant, je trouve hallucinant d'affirmer perdre confiance en une boite qui a fait ses preuves sur un point aussi peu important.

Si c'est présent dans GG c'est aussi parce quelqu'un a du faire quelque chose pour. De plus, je trouve pas très malin de signaler ça sur un billet, ou un forum, sachant que ces données sont confidentielles. Un email aux intéressés (OVH) aurait été plus judicieux, d'autant plus que Octave prends toujours la peine de lire les ML comem hosting etc... Et que qui plus est, tous le monde là-bas les reçoit.

Sinon, la désindexation, je le confirme peut être fait en moins de 48h.

Pour l'interface, on leur demande surtout de faire de l'hébergement qui marche, pas dans l'artistique. En plus en général, ce genre de service n'est pas destiné à Tata Germaine, mais à des professionnels ou du moins des gens qui touchent un minimum.... Chacun son métier !
 
WRInaute discret
Bourriquet a dit:
Pour l'interface, on leur demande surtout de faire de l'hébergement qui marche, pas dans l'artistique. En plus en général, ce genre de service n'est pas destiné à Tata Germaine, mais à des professionnels ou du moins des gens qui touchent un minimum.... Chacun son métier !

Ce n'est pas une question de métier, mais d'ergonomie.
Ce n'est pas un métier de trouver le bon lien ou il faut cliquer pour passer d'une interface à une autre totalement différente sans aucun repère ni homogénéité. Cela fait aussi partie de l'accessibilité.

Je n'ai jamais dit qu'OVH était mauvais, je ne le pense pas d'ailleurs, seulement que leur interface était à revoir dans son ensemble, même si ils en sont à la V3... Et en plus, ce n'est que mon avis (même si je m'y connais un peu quand même dans ce domaine).

Enfin, concernant la faille, si OVH était au courant, c'est d'autant plus grave. Et c'est aussi pour cela qu'il faut le publier sur le net pour les obliger à changer cela ou au moins avertir les utilisateurs. Perso, je suis bien content de le savoir, je sais que je n'utiliserai plus leur support comme avant.

Pour info, j'ai trouvé il y a 1 an une faille similaire sur le support d'un autre hébergeur que je ne citerai pas. Il était possible d'accéder aux tickets du support sans aucune identification.
Non seulement il l'a corrigé en 1 heure après que je lui ai communiqué la faille (il a même coupé le serveur pour l'urgence), mais en plus, il m'a remercier commercialement. Lui a pris les mesures de la situation et je suis resté chez lui jusqu'à maintenant.

Tout cela pour dire que c'est une faille grave et que le nier est une énorme erreur, aussi grosse que de ne pas le reconnaitre ni la corriger. Perso, je trouve cela inacceptable (pas la faille, mais le fait de ne pas prendre de mesure et de nier l'importance).
 
WRInaute discret
Ah ok, autant pour moi, dans ce cas, c'est vrai qu'un mail avant uniquement aurait été préférable... Comme je l'ai fait il y a un an chez un autre...
 
WRInaute discret
Pour info, plusieurs emails ont été envoyés à ovh bien avant ce post, Ce soir les mails sont toujours en "accès libre", j'estime avoir le droit de gueuler!!!
Par ailleur, je suis tout à fait d'accord pour dire qu'il n'est pas très malin de signaler ça sur un billet.
 
WRInaute discret
Il faut cesser de s'alarmer aussi bètement. Le système de ticket OVH est peut-être critiquable, améliorable, ou ce que vous voulez, mais je n'y vois aucune faille !

Un client d'Ovh a mis l'url d'une session de support Ovh dans un forum accessible à tous y compris le bot GG . C'est tout ! Dès lors, cela permet à tous de lire son fil de discussion avec le support. A moins d'être totalement abruti, je ne pense pas que d'autres clients vont en faire autant et je ne vois pas où se présente là une faille.

Si je publie ici mon id et mdp du présent forum WRI, il y aura toujours des curieux pour lire mes mp, des malins pour répondre à ma place et quelques esprits faibles pour dire qu'il y a une faille sur le site de WRI.

Sérieusement, la faille c'est plutôt le gars qui a publié l'url, non ?
 
WRInaute impliqué
Ca dépend de la position d'OVH.

Si ça ne leur pose pas de problème que leur support est accessible par tout le monde: pas de faille...
Si ce n'était pas prévu: grosse faille.. ( inadmisible même ! )

..mais la encore..ça dépend de la position d'OVH !
 
P
pokemon_jojo
Guest
Moi je dis qu'il y a une GROSSE FAILLE, même si cette faille vient potentiellement du client !

Ex: Vous copier l'url d'un de vos mails présent dans votre boite de reception (gmail, hotmail, yahoo...) sur un forum. Vous n'avez pas grande connaissance du net, et pensez que les gens ne pourrons lire que ce mail. (vous pouvez demandez au support d'ovh, dieux seul sait le nombre de leur client qui n'y connaissent rien !)

Puis au final, vous retrouvez l'intégralité de votre boite mail sur google, parce que l'accès à votre boite mail est tout simplement pas sécurisée !!!!!

Excusez moi, mais moi je trouve que c'est une FAILLE !

[MOD GROS TROLLER ON]
De toute façon, être chez OVH est une faille en soit :D:D, leur panel client est tellement mal fichu ! La création d'une DB est tellement compliquée ! Faut même installer soit même PhpMyAdmin !!!! Etc, etc...
Enfin bref, ils sont peut être très bon au niveau hébergement, mais pour le reste, il serait temps qu'ils revoient tout leur site ! (A mince il l'ont déjà fait ya pas si longtemps).

Moi je dis :D:D:D [MOD PUB ON]Vive Celeonet[/MOD PUB ON]
[MOD GROS TROLLER ON]
 
WRInaute discret
Leonick a dit:
pokemon_jojo a dit:
La création d'une DB est tellement compliquée !
Ah bon ?
pokemon_jojo a dit:
Faut même installer soit même PhpMyAdmin !!!!
Non, il y a un lien à suivre, selon le type d'hébergement et on est directement sur phpmyadmin

+1

Certes, être webmaster nécessite un petit investissement intellectuel.Trouver une fonctionnalité dans une interface arborescente est parfois difficile voire impossible pour certains. [je plaisante] Dans ce cas précis, il ne faut pas hésiter à laisser tomber la création web et repartir depuis le début: Qu'est-ce le notepad? Comment utiliser la calculatrice de Windows? Comment faire un copié/collé, etc. [/je plaisante].

Encore une fois, le système OVH qui permet de consulter directement un ticket depuis son client mail (et non depuis l'interface admin car là, le login sécurisé est obligatoire) est critiquable! Mais confondre faille système et faille humaine ... ce n'est pas exactement pareil car il faut quand même faire la démarche volontaire (et totalement idiote) de copier l'url de la session ouverte dans un lien publique! Le but étant d'ouvrir au public une conversation avec son support, il ne faut pas ensuite s'en offusquer... à moins que l'auteur ait voulu prévenir Ovh de cette possibilité sauf qu'Ovh le sait parfaitement comme beaucoup d'entre nous.

Il y a des trucs qui me dérangent chez Ovh comme la réactivité du support dans certains cas... Concernant cette pseudo faille, non je ne ferai pas de procès.
 
WRInaute passionné
A partir du moment ou c'est volontaire et où les clients son explicitement informé, cela ne pose pas de probleme.

Il est toujours possible par des méthodes de brute de tester automatiquement les possibilités.
Et il est possible que des clients y mettent des informations sensibles (mot de passe par exemple en mettant une copie d'un script).

OVH, ce n'est pas que de l'hébergement. C'est un service et une expérience qui fait que le client n'a normalement pas à se poser de question sur ce type de question basique.
 
Discussions similaires
Haut