Grosse faille OVH.

Discussion dans 'Administration d'un site Web' créé par nicofcb, 12 Décembre 2006.

Tags:
  1. nicofcb
    nicofcb WRInaute discret
    Inscrit:
    14 Février 2005
    Messages:
    142
    J'aime reçus:
    0
  2. tom_pascal
    tom_pascal WRInaute discret
    Inscrit:
    17 Novembre 2003
    Messages:
    249
    J'aime reçus:
    0
    Ben, ça dépend si tu as déjà créé des tickets chez OVH en mentionnant dedans des informations "sensibles" (comme un mot de passe ou autre)...

    Je ne pense pas que ce soit le cas de beaucoup de monde, mais qui sait...

    Autrement, ça aurait été plus sympa de la part du découvreur de diffuser l'information une fois le problème connu et résolu par OVH et le cache de google expiré... mais bon.
     
  3. bgdc
    bgdc WRInaute impliqué
    Inscrit:
    23 Mai 2005
    Messages:
    546
    J'aime reçus:
    0
    J'ai cliqué sur la recherche google, on tombe bien sur une page qui a l'air d'etre d'ovh et on trouve meme les coordonnées d'une personne. Ca craint.......
     
  4. khantic
    khantic WRInaute discret
    Inscrit:
    6 Septembre 2004
    Messages:
    190
    J'aime reçus:
    0
    J'ai trouvé un identifiant en fouillant un peu...
     
  5. tom_pascal
    tom_pascal WRInaute discret
    Inscrit:
    17 Novembre 2003
    Messages:
    249
    J'aime reçus:
    0
    Bah, les coordonnées d'une personne propriétaire d'un site, on les a facilement avec un whois...
    Le plus gênant, c'est les mots de passe... si c'est juste un identifiant (nic-handle) on le trouve aussi dans le whois et on ne peut pas non plus en faire grand chose sans mot de passe... donc je crois qu'il ne faut pas dramatiser non plus.
     
  6. xgamer
    xgamer WRInaute discret
    Inscrit:
    29 Novembre 2006
    Messages:
    134
    J'aime reçus:
    0
    appeler ca une faille !!!! il y va fort le type !
    si ces thread de support on été exploré par google , c'est qu'un lien a été mis vers le thread.
    alors si on met un lien en public c'est que les info contenue dans le thread ne sont pas sensibles.
     
  7. khantic
    khantic WRInaute discret
    Inscrit:
    6 Septembre 2004
    Messages:
    190
    J'aime reçus:
    0
    Si bien sûr c'est une faille, puisque ces infos ne sont pas destinées à être publiées, et que ce contournement peut éventuellement permettre à des personnes malintentionnées de trouver des mots de passe.

    C'est même répréhensible par la loi, OVH n'étant pas capable de protéger des infos personnelles.

    Il suffirait d'inclure ces threads de support dans une session d'identification.

    Je classe ce genre de faille comme très critique perso.
     
  8. AW
    AW WRInaute passionné
    Inscrit:
    31 Mai 2005
    Messages:
    1 673
    J'aime reçus:
    1
    j'avais déja remarqué que c'etait accessible sans login et mot de passe, mais j'ai pas réagit plus que ça a l'époque ( :? ) J'ai toujours fait gaffe de pas mettre de données sensibles dans ce genre de truc dans tous les cas le support d'ovh a déja accès a votre compte pas la peine de leur donner votre mot de passe quand vous avez un soucis avec quelque chose.

    Mais c'est vrai que c'est critique comme situation ...

    Edit : il y a pas l'air d'avoir beaucoup de messages quand meme, ça aurait pu etre pire.
     
  9. Szarah
    Szarah WRInaute accro
    Inscrit:
    22 Février 2006
    Messages:
    6 026
    J'aime reçus:
    1
    Je n'aime pas plus les threads qui montrent les failles chez les hébergeurs que ceux qui dénoncent nommément les pratiques de spamdexing ou que les gestionnaires de blogs irresponsables.
    On a déjà bien assez de soucis avec les pros du hack, pas besoin de susciter des vocations.
     
  10. ninive
    ninive WRInaute discret
    Inscrit:
    3 Mars 2004
    Messages:
    103
    J'aime reçus:
    0
    Ou que quelqu'un l'a visité avec un navigateur équipé d'une googlebar aussi non ?
     
  11. Monty973
    Monty973 WRInaute passionné
    Inscrit:
    21 Mars 2006
    Messages:
    1 175
    J'aime reçus:
    0
  12. Szarah
    Szarah WRInaute accro
    Inscrit:
    22 Février 2006
    Messages:
    6 026
    J'aime reçus:
    1
    La GGbar envoie une requête http pour renvoyer le PR de la page visitée et il peut arriver (ce n'est pas systématique) que si le site est inconnu de GG, le GGbot débarque rapidement.
    J'en ai fait l'expérience plusieurs fois avec des pages en test, évidemment sans aucun lien pointé vers elles, qui se trouvaient en sous-rep et ne s'appelaient pas index.machin.
     
  13. wullon
    wullon WRInaute accro
    Inscrit:
    18 Septembre 2004
    Messages:
    2 811
    J'aime reçus:
    0
    C'est assez vieux ça non (il me semble) ?
    Enfin j'avais remarqué ça aussi, mais je m'étais dit que c'était pas bien grave étant donné que normalement il n'y a aucune info critique divulguée (mais ça m'est arrivé de répondre à des threads initié par un ami par exemple :s).
     
  14. etrusco
    etrusco WRInaute discret
    Inscrit:
    31 Décembre 2004
    Messages:
    205
    J'aime reçus:
    0
    [Mode hors sujet excusez moi de m'etre un peu éloigné du sujet principal]
    Je puis vous jurer que l'histoire suivante est vraie. Et c'est moi qui l'ai vécu : en 2003, alors que je m'amusais presque autant qu'un végetarien à une soirée boucherie, je prends mon navigateur et je me dis " ho allez mon ptit et si tu tapais une de ces requetes google du tonnerre ? ".

    Et v'la que je demande a mister google de me sortir [ " index of " loterie gagnant admin ]...

    Devenez quoi je suis tombé sur l'interface d'administration non sécurisée du site officiel de l'équivalent de notre française des jeux en cote d'ivoire. Avec possibilité de changer les gains, connaitre les virements en cours, changer le nom des gagnants, changer les textes, images de la page d'accueil etc.... bref foutre le bazar...

    Connaissant la liberté d'expression qui regne la bas, j'ai un peu mis des messages politiques " irrévérencieux " etc...

    Puis j'ai ecrit un mail a ZATAZ dans la foulée pour leur signaler la faille. Résultat : QQ temps plus tard, Zataz publie dans leur magazine " LEUR " découverte de cette faille et disent avoir fait le nécessaire pour que les gens de la loterie de la bas colmate cette faille. En réalité, la faille est restée présente environ encore trois semaine apres la publication de ZATAZ de cette faille....

    [/ Fin mode hors sujet excusez moi de m'etre un peu éloigné du sujet principal]
     
  15. Bourriquet
    Bourriquet WRInaute impliqué
    Inscrit:
    19 Septembre 2005
    Messages:
    565
    J'aime reçus:
    0
    Les hotlines ne sont pas autorisés à communiquer des mots de passes par le biais du thread, ni par téléphone. Donc de ce côté c'est mort. D'ailleurs, ils ne connaissent aucun des mots de passe...

    Maintenant c'est vrai qu'un noindex nofollow aurait été déjà un strict minimum. En même temps, c'est même étrange que Google indexe des urls aussi "sales".
     
  16. Reivilo
    Reivilo WRInaute discret
    Inscrit:
    9 Août 2005
    Messages:
    89
    J'aime reçus:
    0
    Et il y a aussi le robots.txt pour ce genre de cas. Même si son contenu est public, il est presque impossible de trouver un thread par hasard.

    D'ailleurs ils l'exploitent un peu :p
     
  17. khantic
    khantic WRInaute discret
    Inscrit:
    6 Septembre 2004
    Messages:
    190
    J'aime reçus:
    0
    Sauf que le client,lui, il redonne souvent son mot de passe sans qu'on lui demande... Je sais, c'est pas malin et ca sert à rien, mais c'est comme ça...
     
  18. tophus
    tophus WRInaute discret
    Inscrit:
    12 Août 2005
    Messages:
    192
    J'aime reçus:
    0
    Vous semblez minimiser la chose, mais je trouve ca super grave, il y a forcément des infos sensibles dans les échanges entre les techniciens et les clients. J'ai quelques sites chez eux, et j'ai perdu totalement confiance en eux voyant ça, finalement ca vaut sans doute le coup de prendre un prestataire plus petit et un peu plus cher...
     
  19. khantic
    khantic WRInaute discret
    Inscrit:
    6 Septembre 2004
    Messages:
    190
    J'aime reçus:
    0
    C'est peut être une critique un peu gratuite, mais c'est à la hauteur de l'ergonomie de leur interface...

    J'ai jamais compris comment ils avaient réussi à faire une interface de gestion aussi compliqué et non intuitive. Y'a des écoles pour apprendre ça ?
     
  20. Moof
    Moof WRInaute discret
    Inscrit:
    22 Mars 2003
    Messages:
    183
    J'aime reçus:
    0
    Moi je la trouve très bien leur interface !

    Pour revenir au sujet principal, savez vous si le problème est réglé ? Je n'ai pas vu de post en parlant dans le forum ovh, et rien qui mentionne cette faille dans la page travaux.

    Ils sont au courant au moins qu'il y a un problème ??
     
  21. tophus
    tophus WRInaute discret
    Inscrit:
    12 Août 2005
    Messages:
    192
    J'aime reçus:
    0
    Le problème n'est toujours pas réglé, on accède aux mails sans problème, même si il corrigeait le problème, google garderait les pages en cache pour un bon moment..
     
  22. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 417
    J'aime reçus:
    0
    Non, toutes les pages que j'ai demandé à google de supprimer l'étaient sous moins de 48h et souvent 24h
     
  23. Bourriquet
    Bourriquet WRInaute impliqué
    Inscrit:
    19 Septembre 2005
    Messages:
    565
    J'aime reçus:
    0
    Ils sont au courant, j'en ai parlé personnellement avec le frère du DT qui se charge de beaucoup de chose dans la boite, et envoyé un mail à Octave.

    Maintenant, je trouve hallucinant d'affirmer perdre confiance en une boite qui a fait ses preuves sur un point aussi peu important.

    Si c'est présent dans GG c'est aussi parce quelqu'un a du faire quelque chose pour. De plus, je trouve pas très malin de signaler ça sur un billet, ou un forum, sachant que ces données sont confidentielles. Un email aux intéressés (OVH) aurait été plus judicieux, d'autant plus que Octave prends toujours la peine de lire les ML comem hosting etc... Et que qui plus est, tous le monde là-bas les reçoit.

    Sinon, la désindexation, je le confirme peut être fait en moins de 48h.

    Pour l'interface, on leur demande surtout de faire de l'hébergement qui marche, pas dans l'artistique. En plus en général, ce genre de service n'est pas destiné à Tata Germaine, mais à des professionnels ou du moins des gens qui touchent un minimum.... Chacun son métier !
     
  24. khantic
    khantic WRInaute discret
    Inscrit:
    6 Septembre 2004
    Messages:
    190
    J'aime reçus:
    0
    Ce n'est pas une question de métier, mais d'ergonomie.
    Ce n'est pas un métier de trouver le bon lien ou il faut cliquer pour passer d'une interface à une autre totalement différente sans aucun repère ni homogénéité. Cela fait aussi partie de l'accessibilité.

    Je n'ai jamais dit qu'OVH était mauvais, je ne le pense pas d'ailleurs, seulement que leur interface était à revoir dans son ensemble, même si ils en sont à la V3... Et en plus, ce n'est que mon avis (même si je m'y connais un peu quand même dans ce domaine).

    Enfin, concernant la faille, si OVH était au courant, c'est d'autant plus grave. Et c'est aussi pour cela qu'il faut le publier sur le net pour les obliger à changer cela ou au moins avertir les utilisateurs. Perso, je suis bien content de le savoir, je sais que je n'utiliserai plus leur support comme avant.

    Pour info, j'ai trouvé il y a 1 an une faille similaire sur le support d'un autre hébergeur que je ne citerai pas. Il était possible d'accéder aux tickets du support sans aucune identification.
    Non seulement il l'a corrigé en 1 heure après que je lui ai communiqué la faille (il a même coupé le serveur pour l'urgence), mais en plus, il m'a remercier commercialement. Lui a pris les mesures de la situation et je suis resté chez lui jusqu'à maintenant.

    Tout cela pour dire que c'est une faille grave et que le nier est une énorme erreur, aussi grosse que de ne pas le reconnaitre ni la corriger. Perso, je trouve cela inacceptable (pas la faille, mais le fait de ne pas prendre de mesure et de nier l'importance).
     
  25. AW
    AW WRInaute passionné
    Inscrit:
    31 Mai 2005
    Messages:
    1 673
    J'aime reçus:
    1
    Ce que voulait dire Bourriquet c'est qu'ils ont été mis au courant suite a ce post :wink:
     
  26. khantic
    khantic WRInaute discret
    Inscrit:
    6 Septembre 2004
    Messages:
    190
    J'aime reçus:
    0
    Ah ok, autant pour moi, dans ce cas, c'est vrai qu'un mail avant uniquement aurait été préférable... Comme je l'ai fait il y a un an chez un autre...
     
  27. tophus
    tophus WRInaute discret
    Inscrit:
    12 Août 2005
    Messages:
    192
    J'aime reçus:
    0
    Pour info, plusieurs emails ont été envoyés à ovh bien avant ce post, Ce soir les mails sont toujours en "accès libre", j'estime avoir le droit de gueuler!!!
    Par ailleur, je suis tout à fait d'accord pour dire qu'il n'est pas très malin de signaler ça sur un billet.
     
  28. sun location
    sun location WRInaute discret
    Inscrit:
    14 Décembre 2006
    Messages:
    96
    J'aime reçus:
    0
    C'est vraiment pas serieux de lapart d'ovh.
     
  29. guicara
    guicara WRInaute passionné
    Inscrit:
    2 Février 2006
    Messages:
    1 583
    J'aime reçus:
    0
    Une erreur arrive si vite...
    Si OVH répare le plus gros possible, il n'y a pas de gros problèmes
     
  30. Mister_G
    Mister_G WRInaute discret
    Inscrit:
    4 Mai 2004
    Messages:
    132
    J'aime reçus:
    0
    Il faut cesser de s'alarmer aussi bètement. Le système de ticket OVH est peut-être critiquable, améliorable, ou ce que vous voulez, mais je n'y vois aucune faille !

    Un client d'Ovh a mis l'url d'une session de support Ovh dans un forum accessible à tous y compris le bot GG . C'est tout ! Dès lors, cela permet à tous de lire son fil de discussion avec le support. A moins d'être totalement abruti, je ne pense pas que d'autres clients vont en faire autant et je ne vois pas où se présente là une faille.

    Si je publie ici mon id et mdp du présent forum WRI, il y aura toujours des curieux pour lire mes mp, des malins pour répondre à ma place et quelques esprits faibles pour dire qu'il y a une faille sur le site de WRI.

    Sérieusement, la faille c'est plutôt le gars qui a publié l'url, non ?
     
  31. ACth
    ACth WRInaute impliqué
    Inscrit:
    11 Novembre 2006
    Messages:
    692
    J'aime reçus:
    0
    Ca dépend de la position d'OVH.

    Si ça ne leur pose pas de problème que leur support est accessible par tout le monde: pas de faille...
    Si ce n'était pas prévu: grosse faille.. ( inadmisible même ! )

    ..mais la encore..ça dépend de la position d'OVH !
     
  32. pokemon_jojo
    pokemon_jojo Nouveau WRInaute
    Inscrit:
    2 Octobre 2006
    Messages:
    20
    J'aime reçus:
    0
    Moi je dis qu'il y a une GROSSE FAILLE, même si cette faille vient potentiellement du client !

    Ex: Vous copier l'url d'un de vos mails présent dans votre boite de reception (gmail, hotmail, yahoo...) sur un forum. Vous n'avez pas grande connaissance du net, et pensez que les gens ne pourrons lire que ce mail. (vous pouvez demandez au support d'ovh, dieux seul sait le nombre de leur client qui n'y connaissent rien !)

    Puis au final, vous retrouvez l'intégralité de votre boite mail sur google, parce que l'accès à votre boite mail est tout simplement pas sécurisée !!!!!

    Excusez moi, mais moi je trouve que c'est une FAILLE !

    [MOD GROS TROLLER ON]
    De toute façon, être chez OVH est une faille en soit :D:D, leur panel client est tellement mal fichu ! La création d'une DB est tellement compliquée ! Faut même installer soit même PhpMyAdmin !!!! Etc, etc...
    Enfin bref, ils sont peut être très bon au niveau hébergement, mais pour le reste, il serait temps qu'ils revoient tout leur site ! (A mince il l'ont déjà fait ya pas si longtemps).

    Moi je dis :D:D:D [MOD PUB ON]Vive Celeonet[/MOD PUB ON]
    [MOD GROS TROLLER ON]
     
  33. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 417
    J'aime reçus:
    0
    Ah bon ?
    Non, il y a un lien à suivre, selon le type d'hébergement et on est directement sur phpmyadmin
     
  34. Mister_G
    Mister_G WRInaute discret
    Inscrit:
    4 Mai 2004
    Messages:
    132
    J'aime reçus:
    0
    +1

    Certes, être webmaster nécessite un petit investissement intellectuel.Trouver une fonctionnalité dans une interface arborescente est parfois difficile voire impossible pour certains. [je plaisante] Dans ce cas précis, il ne faut pas hésiter à laisser tomber la création web et repartir depuis le début: Qu'est-ce le notepad? Comment utiliser la calculatrice de Windows? Comment faire un copié/collé, etc. [/je plaisante].

    Encore une fois, le système OVH qui permet de consulter directement un ticket depuis son client mail (et non depuis l'interface admin car là, le login sécurisé est obligatoire) est critiquable! Mais confondre faille système et faille humaine ... ce n'est pas exactement pareil car il faut quand même faire la démarche volontaire (et totalement idiote) de copier l'url de la session ouverte dans un lien publique! Le but étant d'ouvrir au public une conversation avec son support, il ne faut pas ensuite s'en offusquer... à moins que l'auteur ait voulu prévenir Ovh de cette possibilité sauf qu'Ovh le sait parfaitement comme beaucoup d'entre nous.

    Il y a des trucs qui me dérangent chez Ovh comme la réactivité du support dans certains cas... Concernant cette pseudo faille, non je ne ferai pas de procès.
     
  35. Suede
    Suede WRInaute passionné
    Inscrit:
    4 Octobre 2002
    Messages:
    2 474
    J'aime reçus:
    0
    A partir du moment ou c'est volontaire et où les clients son explicitement informé, cela ne pose pas de probleme.

    Il est toujours possible par des méthodes de brute de tester automatiquement les possibilités.
    Et il est possible que des clients y mettent des informations sensibles (mot de passe par exemple en mettant une copie d'un script).

    OVH, ce n'est pas que de l'hébergement. C'est un service et une expérience qui fait que le client n'a normalement pas à se poser de question sur ce type de question basique.
     
Chargement...
Similar Threads - Grosse faille OVH Forum Date
Grosse perte de positionnement Problèmes de référencement spécifiques à vos sites 5 Juillet 2021
Google Discover : grosse chute Référencement Google 25 Juin 2021
WordPress Grosse chute de trafic, pourquoi ? Problèmes de référencement spécifiques à vos sites 9 Juin 2021
Search Console Très grosse baisse de positionnement suite à un piratage WP (pages exclues) Problèmes de référencement spécifiques à vos sites 7 Février 2021
Grosse perte de positionnement - Uniquement sur Ordinateur Référencement Google 7 Janvier 2021
Les très grosses erreurs à éviter en référencement Débuter en référencement 1 Décembre 2020
Que faire avec une "grosse" page facebook ? Facebook 18 Avril 2020
Grosse différence d'impressions ordinateur vs mobile Référencement Google 12 Novembre 2019
Grosse update de Google le 30 octobre 2019 ? Débuter en référencement 1 Novembre 2019
Grosse volatilité des résultats en cours (MàJ Google ?) Référencement Google 30 Août 2019