TheShurikn Posté(e) le 20 août 2013 Partager Posté(e) le 20 août 2013 (modifié) Hello, En saisissant l'url à la main (car pas de redirection auto possible): https://mondomaine.com/photo les commandes de login sont envoyées en GET sans script CGI. Ce qui a pour effet d'être envoyée en clair sur le réseau. Autrement dit, l'activation du HTTPS pour PhotoStation est complètement inutile au niveau cryptage des données! Il suffit de sniffer le réseau pour s'en aperçevoir! C'est quand-même fou à l'heure actuelle! Surtout qu'ils viennent d'effectuer une refonte majeur avec la V6 en beta! Et c'est même traitre comme comportement car on se log en https sur DSM puis en cliquant sur un bouton (PhotoStation), hop les identifiants sont balancés en clair! Faites-vous le même constat et ne trouvez-vous pas ceci limite!? ++ §hu Modifié le 20 août 2013 par TheShurikn 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Brunchto Posté(e) le 20 août 2013 Partager Posté(e) le 20 août 2013 ça a l'air crypté chez moi (https + fiddler) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TheShurikn Posté(e) le 20 août 2013 Auteur Partager Posté(e) le 20 août 2013 Je viens de refaire le test avec Wireshark et HttpWatch, dans les deux cas le login+mdp est envoyé en clair lors de la connexion. En revanche je n'ai pas testé le basculement de DSM à PhotoStation... ++ §hu 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 20 août 2013 Partager Posté(e) le 20 août 2013 Tu peux poster ta capture Wireshark ? Chez moi, toutes les communications de PhotoStation 5 sont bien cryptées avec SSL. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TheShurikn Posté(e) le 20 août 2013 Auteur Partager Posté(e) le 20 août 2013 (modifié) Voici quelques tests effectués mais avant j'oubliais de préciser que je suis sous PhotoStation 6 (et donc en version Beta). Finalement les commandes envoyées sont bien en POST (et non en GET comme annoncé précédemment). Le passage DSM à PhotoStation ne transmet pas les identifiants, il effectue un check au moyen d'une api (vérifie si le user est déjà logué via un cookie). Ce point est donc résolu. En revanche si on se log depuis la page de PhotoStation en https, les identifiants sont envoyés en clair sur le réseau. En image: Et comme différence, voici ce que j'obtiens lorsque je me log via l'interface DSM (tout est OK grâce au script encryption.cgi) ++ §hu Modifié le 20 août 2013 par TheShurikn 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 20 août 2013 Partager Posté(e) le 20 août 2013 Il ne s'agit pas d'une capture Wireshark. Il est normal que les outils de développement de ton navigateur te donnent les requêtes en clair, mais si tu fais une capture Wireshark, tu verras que ces requêtes sont bien cryptées avec SSL. Donc de ce côté pas de souci. Le gros problème est que la majorité des utilisateurs n'utilisent pas HTTPS avec Photo Station, ce qui est effectivement une grosse faille de sécurité vu la nature des données qui transitent (compte admin...). Je vais regarder si le problème est le même avec Photo Station 5. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TheShurikn Posté(e) le 20 août 2013 Auteur Partager Posté(e) le 20 août 2013 (modifié) Comment tu expliques que via l'interface DSM la commande POST n'envoie aucune information en clair avec cet outil? Dès que j'ai le temps, je fais un check avec Wireshark. ++ §hu Modifié le 20 août 2013 par TheShurikn 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 20 août 2013 Partager Posté(e) le 20 août 2013 Le problème existait déjà avec Photo Station 5 : du POST avec les identifiants en clair. Les outils de développement de ton navigateur te montrent les requêtes avant cryptage SSL, sinon ça ne servirait à rien pour un développeur. Mais en réalité, toutes les communications sont bien cryptées avec SSL à partir du moment où HTTPS est utilisé (heureusement). 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
pluton212+ Posté(e) le 21 août 2013 Partager Posté(e) le 21 août 2013 (modifié) Salut, je me pose la même question quant au chiffrement des pages dans photo station 6. par ex, opera et firefox ne se mettent pas en vert ("connection non sécurisée" mais peut-être chiffrée malgré tout?) alors que chromium oui... (tout est ok c'est tout vert roule ma poule!). il y a donc bien quelque chose qui ne colle pas. Modifié le 21 août 2013 par pluton212+ 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TheShurikn Posté(e) le 21 août 2013 Auteur Partager Posté(e) le 21 août 2013 (modifié) Ok, merci Piwi pour ces précisions, je comprends mieux à présent. Mais je ne comprends pas bien pourquoi je ne vois pas les identifiants lorsque je me log sur DSM. J'ai voulu checker avec Wireshark mais le filtre que j'avais en mémoire ne fonctionne pas avec le https, je n'ai donc pas pu tester mais je vais approfondire dès que j'ai un moment. Pour répondre à pluton: ce que j'ai pu constater c'est que tous les éléments ne sont pas en https dans la page. Au vu du code il y a des iframe et je pense que le hic vient de la et certain navigateur le signal, d'autre pas. ++ §hu Modifié le 21 août 2013 par TheShurikn 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.