Securité : remplissage caché des formulaires

[Fenrir]

Une raison de plus (s'il en fallait) pour ne pas utiliser chrome

 

Other browsers

It works differently in some other browsers. For example:

• In Safari, it will tell you all the data it is filling into the form, even if it isn't visible to you.

• In Firefox, you have to right click an input field and then select an identity to use. So a Firefox user autofills each field.

 

source : https://github.com/anttiviljami/browser-autofill-phishing

[antdid]

Bon à savoir, merci pour l'information.

[Invité]

Merci - je détestai déjà chrome


Envoyé de mon iPhone en utilisant Tapatalk

[Mic13710]

J'aime pas le clinquant. Pas de chrome chez moi . Et puis c'est galère à entretenir, faut toujours passer le chiffon.

[unPixel]

J'enlève un peu de poussière à ce post

 

Que pensez-vous de la protection du mot de passe de Firefox pour atteindre certaines options comme le gestionnaire de mot de passe svp ?

Je sais que le gestionnaire de mot de passe peut être copier mais est-ce le cas avec ce fameux mot de passe ?

Merci

[Fenrir]

En 2013 (je n'ai pas vérifié depuis), Firefox avait le système de protection des mots de passe le plus robuste, suivi par opera/IE/safari, chrome était bon dernier. La situation a peut être changée depuis ... (le système d'opera c'est fait casser depuis par exemple, mais ils ont surement corrigé).

Encore maintenant, Firefox chiffre convenablement les mots de passe avec le mot de passe maitre (3DES+CBC de mémoire, pas top mais suffisant pour un particulier). Donc même si le fichier key3.db est "volé", le risque est faible, à la condition que le mot de passe maitre soit fort.

Pour Chrome, la sécurité repose sur celle du mot de passe de la session du poste => c'est à dire sur rien pour la plupart des gens

Perso le seul mot de passe stocké dans mon Firefox est celui de mon compte Firefox Sync, pour le reste tout est dans ma tête ou dans keepass (pass+clef)

Il existe tout de même un pb avec tous les navigateurs et les mots de passe : les extensions et les plugins - techniquement ils peuvent voir le contenu des pages (pour virer les pubs par exemple), donc accéder aux formulaires de saisie et donc aux identifiants => il faut choisir ses extensions/plugins avec le plus grand soin.

----

• exemples de mot de passe :
  • Très faible : CIFAsKKWAYql
  • Faible : %`#>~@^.+_?[;#-}
  • Convenable : LeSup3rPassw0rd (attention, c'est exemple est mauvais car prédictible, leetspeak de base <=> lesuperpassword => faible)
  • Fort : M'hbZYjA&h$Pi%
  • Très fort : MMvXGUrUHBDuGe4lyras
  • Très fort : voiciuNExEmplEassEzFort (et simple à retrouver)
  • Très fort  : CIFAsKKWAYql + 2FA (OTP, token, ...)

On peut très bien utiliser des mots de passe moyen si on les change régulièrement, perso j'ai la flemme donc je mets des mots de passe aléatoire fort ou très fort partout (y compris pour ce forum) ou utiliser des mots de passe bidon s'ils sont couplés à une double authentification.

[unPixel]

Merci pour les précisions même si je savais déjà pour la complexité des MdP. Pour ma part, j'avais pour habitude d'utiliser comme ça :

- Paypal : un mot de passe fort unique que je mémorise

- Boite mail principale : idem

- tous les sites bateaux et forums : le même mot de passe très simple. Car quelque part, je m'en fichais qu'on me vole le compte d'un forum...

 

Mais à présent, je cherche une alternative afin d'avoir un mot de passe fort et différent sur chaque site ou je dois me connecter et je m'intéresse à deux applications. Endpass et Keepass.

Endpass est propriétaire et ça, je suis pas fan. Bon après, c'est pas grave puisque je bloque tous les flux de cette application via mon firewall sur MAC.

Utilisable en application avec synchro via Cloud Station et fonctionnel sur Opera et Firefox.

Keepass lui est open source (pas mal pour la sécurité), mais et là, ça me dérange, je ne vois rien qui puisse (sur mac) le faire fonctionner sur Firefox et Opera :(

Et là, c'est pas top pour moi car j'aime avoir de l'automatisation. Surtout que sur Firefox, je dois avoir plus de 200MdP... Alors ok, je suis prêt à tout enregistrer en changeant les MdP au fur et à mesure mais pas au point d'aller copier coller chacune des lignes d'un formulaire dans Keepass. Je préfèrerai de l'automatisation à la manière de Endpass et autres.

 

Merci en tout cas Fenrir pour la précision sur Firefox.

[Fenrir]

il y a 2 minutes, InfoYANN a dit :

- tous les sites bateaux et forums : le même mot de passe très simple. Car quelque part, je m'en fichais qu'on me vole le compte d'un forum...

C'est une erreur, rien que dans les MP il y a tout un tas d'infos sur toi, dans ton compte il y a aussi ton mail (et peut être autre chose) ...

il y a 5 minutes, InfoYANN a dit :

avoir un mot de passe fort et différent sur chaque site

C'est déjà mieux

il y a 7 minutes, InfoYANN a dit :

Keepass lui est open source (pas mal pour la sécurité), mais et là, ça me dérange, je ne vois rien qui puisse (sur mac) le faire fonctionner sur Firefox et Opera :(

Firefox :

• keepass : http://keefox.org/
• keepassxc : https://github.com/pfn/passifox

Pour opera il existe aussi des extensions, mais je n'utilise pas ce navigateur donc pas testé.

[unPixel]

Merci mais je les avais vu et ils ne sont pas compatibles avec ma version (la dernière) de Firefox :(

Je vais quand même voir pour tester une ancienne version qui le serait.

[Fenrir]

Si tu parles de Firefox 55.0.2 (64bits), aucun problème, je l'ai sous les yeux (obsolète ne veux pas dire incompatible).

Il se trouve juste que Mozilla vient de poser la première brique des WebExtensions, les dev ont jusqu'en novembre pour migrer leurs extensions (ça ne concerne pas que keepass, mais presque toutes les extensions).

[unPixel]

Non non, regarde ;)

Et ça fait pareil pour les deux

 

https://img4.hostingpics.net/pics/809606Capturede769cran20170818a768011605.png

 

 

[Fenrir]

[unPixel]

Certainement parce que tu l'as déjà dans ton Firefox ce qui n'est pas mon cas. Donc je peux pas l'installer.


Envoyé de mon iPhone en utilisant Tapatalk

[unPixel]

Certainement parce que tu l'as déjà dans ton Firefox ce qui n'est pas mon cas. Donc je peux pas l'installer.


Envoyé de mon iPhone en utilisant Tapatalk

[Fenrir]

Non, je viens de créer un nouveau profil pour vérifier, il s'installe sans problème (en tout pas en passant par le gestionnaire d'extensions, je ne passe pas par le site). Imagine si c'était le cas, ça voudrait dire que plus personne ne pourrait installer la plupart des extensions.

Je pense que c'est une de tes autres extensions qui bloque le test de compatibilité.

[unPixel]

Je ne trouve pas cette option dans Firefox pour changer de profil. Tu fais quoi exactement stp à part supprimer le dossier de ton profil ?

Merci ;)

 

 

[Fenrir]

https://support.mozilla.org/en-US/kb/profile-manager-create-and-remove-firefox-profiles

[unPixel]

Merci, je vais regardé demain si je peux arranger ça. Sont chiant Firefox... Ils auraient pu imposer ça pour une mise à jour d'addon mais pas les actuels...

[Einsteinium]

Mouai enfin l’auto remplissage on ne l’utilise que sur des sites respectables... perso je ne l’utilise que sur les sites où je commande et au final toutes les informations sont nécessaires... Sous Safari iOS faut sélectionner cette option.

Concernant les mots de passe, perso je laisse la génération de Safari faire, qui sont aux formats d’un mélange : majuscules/minuscules/chiffres en xxx-xxx-xxx-xxx.

[Fenrir]

Il y a 6 heures, Einsteinium a dit :

Mouai enfin l’auto remplissage on ne l’utilise que sur des sites respectables...

Oui, mais le problème avec Chrome (au moment de la rédaction du post, il y a une éternité), c'est qu'il remplissait automatiquement tous le champs (pas seulement ceux liés à des password), même les champs cachés.

Il suffisait donc de créer un formulaire avec des questions anodines (un vote par exemple) pour récupérer en cachette tout un tas d'info perso.

[unPixel]

Et c'est toujours le cas ou ils ont bouché tout ça ? En dehors de la vie privée, Chrome a l'air d'être un bon navigateur.

Je lui préfère Chromium sur MAC mais malheuresement, pas de plugin Chrome dessus. Ou alors on peut mais j'ai pas encore prit le temps de chercher.

Juste essayer depuis le site d'extensions de chrome.

[Fenrir]

Je ne sais pas, je n'utilise pas chrome (pour tout un tas de raison que je ne détaillerai pas ici, ce n'est pas sujet), uniquement Firefox (sous linux, mac, windows, android et ios).

[unPixel]

J'aime (j'adore même) Firefox mais bon en ce moment, ça part en sucette... Leur navigateur est de plus en plus lourd. On a l'impression d'avoir un os dans un autre os...

Sans compter que la gestion de la RAM avec pas mal d'onglets ouvert, c'est pas top. Je continu à l'utiliser mais pas pour l'accès à mon NAS ou je suis plutôt Opera.

Chrome est installé sur mon PC mais j'évite de l'ouvrir.

[Einsteinium]

il y a une heure, Fenrir a dit :

Oui, mais le problème avec Chrome (au moment de la rédaction du post, il y a une éternité), c'est qu'il remplissait automatiquement tous le champs (pas seulement ceux liés à des password), même les champs cachés.

Il suffisait donc de créer un formulaire avec des questions anodines (un vote par exemple) pour récupérer en cachette tout un tas d'info perso.

Ouai bah c’est l’exemple même que tu montres, voilà pourquoi je restreint son utilisation, après c’est sur que si on fait son feignant juste pour un pseudo ou mail... bah la j’ai envie de dire... bien fait =)

[Fenrir]

On pars complétement hors sujet mais puisque c'est moi qui ait créé le post, j'assume.

Je pourrais te faire un long message avec des vrais tests de perf (la plupart des test qu'on trouve sont biaisés car ils ne savent pas que Chrome s'appuie énormément sur l'OS, donc consomme plus de ressource que celles de ses propres processus), mais ça me prendrait trop de temps.

Pour faire court, Chrome et Firefox consomment à peu près autant de ressources (cpu, ram* et disque*) en conditions réelles (plusieurs onglets, historique long comme le bras, plein d'extensions, ...), affichent les sites globalement à la même vitesse et ont un rendu très similaire, donc ce n'est pas un critère déterminant pour moi.

Niveau contraintes d'utilisation et comportement de l'entreprise parente (Google VS Mozilla) c'est différent, mais ici on rentre dans le subjectif et les avis personnels. Mozilla a grandement contribué au Web tel qu'on le connait, bien plus que Google (Alphabet) dont 86% des revenus sont encore issus de la publicité. Mozilla lutte tous les jours pour un meilleur respect de la vie privée. Ici chacun voit midi à sa porte.

*la conso de ram et de disque on s'en fiche en pratique, on a tous de la marge

ps : pour tes soucis avec Firefox, commence par faire le ménage dans tes extensions et vide tes caches.