Aller au contenu

Https En R


Messages recommandés

Hello,

En saisissant l'url à la main (car pas de redirection auto possible): https://mondomaine.com/photo les commandes de login sont envoyées en GET sans script CGI. Ce qui a pour effet d'être envoyée en clair sur le réseau. Autrement dit, l'activation du HTTPS pour PhotoStation est complètement inutile au niveau cryptage des données!

Il suffit de sniffer le réseau pour s'en aperçevoir!

C'est quand-même fou à l'heure actuelle! Surtout qu'ils viennent d'effectuer une refonte majeur avec la V6 en beta!

Et c'est même traitre comme comportement car on se log en https sur DSM puis en cliquant sur un bouton (PhotoStation), hop les identifiants sont balancés en clair!

Faites-vous le même constat et ne trouvez-vous pas ceci limite!?

++ §hu

Modifié par TheShurikn
Lien vers le commentaire
Partager sur d’autres sites

Voici quelques tests effectués mais avant j'oubliais de préciser que je suis sous PhotoStation 6 (et donc en version Beta).

Finalement les commandes envoyées sont bien en POST (et non en GET comme annoncé précédemment).

Le passage DSM à PhotoStation ne transmet pas les identifiants, il effectue un check au moyen d'une api (vérifie si le user est déjà logué via un cookie). Ce point est donc résolu.

En revanche si on se log depuis la page de PhotoStation en https, les identifiants sont envoyés en clair sur le réseau.

En image:

1377018075-httpsphotostation.jpg

Et comme différence, voici ce que j'obtiens lorsque je me log via l'interface DSM (tout est OK grâce au script encryption.cgi)

1377018321-httpsphotostation2.jpg

++ §hu

Modifié par TheShurikn
Lien vers le commentaire
Partager sur d’autres sites

Il ne s'agit pas d'une capture Wireshark.

Il est normal que les outils de développement de ton navigateur te donnent les requêtes en clair, mais si tu fais une capture Wireshark, tu verras que ces requêtes sont bien cryptées avec SSL. Donc de ce côté pas de souci.

Le gros problème est que la majorité des utilisateurs n'utilisent pas HTTPS avec Photo Station, ce qui est effectivement une grosse faille de sécurité vu la nature des données qui transitent (compte admin...).

Je vais regarder si le problème est le même avec Photo Station 5.

Lien vers le commentaire
Partager sur d’autres sites

Le problème existait déjà avec Photo Station 5 : du POST avec les identifiants en clair. <_<

Les outils de développement de ton navigateur te montrent les requêtes avant cryptage SSL, sinon ça ne servirait à rien pour un développeur.

Mais en réalité, toutes les communications sont bien cryptées avec SSL à partir du moment où HTTPS est utilisé (heureusement).

Lien vers le commentaire
Partager sur d’autres sites

Salut,

je me pose la même question quant au chiffrement des pages dans photo station 6.

par ex, opera et firefox ne se mettent pas en vert ("connection non sécurisée" mais peut-être chiffrée malgré tout?) alors que chromium oui... (tout est ok c'est tout vert roule ma poule!).

il y a donc bien quelque chose qui ne colle pas.

Modifié par pluton212+
Lien vers le commentaire
Partager sur d’autres sites

Ok, merci Piwi pour ces précisions, je comprends mieux à présent. Mais je ne comprends pas bien pourquoi je ne vois pas les identifiants lorsque je me log sur DSM.

J'ai voulu checker avec Wireshark mais le filtre que j'avais en mémoire ne fonctionne pas avec le https, je n'ai donc pas pu tester mais je vais approfondire dès que j'ai un moment.

Pour répondre à pluton: ce que j'ai pu constater c'est que tous les éléments ne sont pas en https dans la page. Au vu du code il y a des iframe et je pense que le hic vient de la et certain navigateur le signal, d'autre pas.

++ §hu

Modifié par TheShurikn
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.