Securité : remplissage caché des formulaires

Fenrir · le 14 janvier 2017

Une raison de plus (s'il en fallait) pour ne pas utiliser chrome

Other browsers

It works differently in some other browsers. For example:

In Safari, it will tell you all the data it is filling into the form, even if it isn't visible to you.
In Firefox, you have to right click an input field and then select an identity to use. So a Firefox user autofills each field.

source : https://github.com/anttiviljami/browser-autofill-phishing

antdid · le 14 janvier 2017

Bon à savoir, merci pour l'information.

le 15 janvier 2017

Merci - je détestai déjà chrome

Envoyé de mon iPhone en utilisant Tapatalk

Mic13710 · le 15 janvier 2017

J'aime pas le clinquant. Pas de chrome chez moi :lol: . Et puis c'est galère à entretenir, faut toujours passer le chiffon.

unPixel · le 17 août 2017

J'enlève un peu de poussière à ce post :rolleyes:

Que pensez-vous de la protection du mot de passe de Firefox pour atteindre certaines options comme le gestionnaire de mot de passe svp ?

Je sais que le gestionnaire de mot de passe peut être copier mais est-ce le cas avec ce fameux mot de passe ?

Merci

Fenrir · le 17 août 2017

En 2013 (je n'ai pas vérifié depuis), Firefox avait le système de protection des mots de passe le plus robuste, suivi par opera/IE/safari, chrome était bon dernier. La situation a peut être changée depuis ... (le système d'opera c'est fait casser depuis par exemple, mais ils ont surement corrigé).

Encore maintenant, Firefox chiffre convenablement les mots de passe avec le mot de passe maitre (3DES+CBC de mémoire, pas top mais suffisant pour un particulier). Donc même si le fichier key3.db est "volé", le risque est faible, à la condition que le mot de passe maitre soit fort.

Pour Chrome, la sécurité repose sur celle du mot de passe de la session du poste => c'est à dire sur rien pour la plupart des gens :evil:

Perso le seul mot de passe stocké dans mon Firefox est celui de mon compte Firefox Sync, pour le reste tout est dans ma tête ou dans keepass (pass+clef)

Il existe tout de même un pb avec tous les navigateurs et les mots de passe : les extensions et les plugins - techniquement ils peuvent voir le contenu des pages (pour virer les pubs par exemple), donc accéder aux formulaires de saisie et donc aux identifiants => il faut choisir ses extensions/plugins avec le plus grand soin.

----

exemples de mot de passe :
- Très faible : CIFAsKKWAYql
- Faible : %`#>~@^.+_?[;#-}
- Convenable : LeSup3rPassw0rd (attention, c'est exemple est mauvais car prédictible, leetspeak de base <=> lesuperpassword => faible)
- Fort : M'hbZYjA&h$Pi%
- Très fort : MMvXGUrUHBDuGe4lyras
- Très fort : voiciuNExEmplEassEzFort (et simple à retrouver)
- Très fort : CIFAsKKWAYql + 2FA (OTP, token, ...)

On peut très bien utiliser des mots de passe moyen si on les change régulièrement, perso j'ai la flemme donc je mets des mots de passe aléatoire fort ou très fort partout (y compris pour ce forum) ou utiliser des mots de passe bidon s'ils sont couplés à une double authentification.

unPixel · le 17 août 2017

Merci pour les précisions même si je savais déjà pour la complexité des MdP. Pour ma part, j'avais pour habitude d'utiliser comme ça :

- Paypal : un mot de passe fort unique que je mémorise

- Boite mail principale : idem

- tous les sites bateaux et forums : le même mot de passe très simple. Car quelque part, je m'en fichais qu'on me vole le compte d'un forum...

Mais à présent, je cherche une alternative afin d'avoir un mot de passe fort et différent sur chaque site ou je dois me connecter et je m'intéresse à deux applications. Endpass et Keepass.

Endpass est propriétaire et ça, je suis pas fan. Bon après, c'est pas grave puisque je bloque tous les flux de cette application via mon firewall sur MAC.

Utilisable en application avec synchro via Cloud Station et fonctionnel sur Opera et Firefox.

Keepass lui est open source (pas mal pour la sécurité), mais et là, ça me dérange, je ne vois rien qui puisse (sur mac) le faire fonctionner sur Firefox et Opera :(

Et là, c'est pas top pour moi car j'aime avoir de l'automatisation. Surtout que sur Firefox, je dois avoir plus de 200MdP... Alors ok, je suis prêt à tout enregistrer en changeant les MdP au fur et à mesure mais pas au point d'aller copier coller chacune des lignes d'un formulaire dans Keepass. Je préfèrerai de l'automatisation à la manière de Endpass et autres.

Merci en tout cas Fenrir pour la précision sur Firefox.

Fenrir · le 17 août 2017

il y a 2 minutes, InfoYANN a dit :

- tous les sites bateaux et forums : le même mot de passe très simple. Car quelque part, je m'en fichais qu'on me vole le compte d'un forum...

C'est une erreur, rien que dans les MP il y a tout un tas d'infos sur toi, dans ton compte il y a aussi ton mail (et peut être autre chose) ...

il y a 5 minutes, InfoYANN a dit :

avoir un mot de passe fort et différent sur chaque site

C'est déjà mieux

il y a 7 minutes, InfoYANN a dit :

Keepass lui est open source (pas mal pour la sécurité), mais et là, ça me dérange, je ne vois rien qui puisse (sur mac) le faire fonctionner sur Firefox et Opera :(

Firefox :

Pour opera il existe aussi des extensions, mais je n'utilise pas ce navigateur donc pas testé.

unPixel · le 17 août 2017

Merci mais je les avais vu et ils ne sont pas compatibles avec ma version (la dernière) de Firefox :(

Je vais quand même voir pour tester une ancienne version qui le serait.

Fenrir · le 17 août 2017

Si tu parles de Firefox 55.0.2 (64bits), aucun problème, je l'ai sous les yeux (obsolète ne veux pas dire incompatible).

Il se trouve juste que Mozilla vient de poser la première brique des WebExtensions, les dev ont jusqu'en novembre pour migrer leurs extensions (ça ne concerne pas que keepass, mais presque toutes les extensions).

unPixel · le 17 août 2017

Non non, regarde ;)

Et ça fait pareil pour les deux

https://img4.hostingpics.net/pics/809606Capturede769cran20170818a768011605.png

Fenrir · le 17 août 2017

unPixel · le 17 août 2017

Certainement parce que tu l'as déjà dans ton Firefox ce qui n'est pas mon cas. Donc je peux pas l'installer.

Envoyé de mon iPhone en utilisant Tapatalk

unPixel · le 17 août 2017

Certainement parce que tu l'as déjà dans ton Firefox ce qui n'est pas mon cas. Donc je peux pas l'installer.

Envoyé de mon iPhone en utilisant Tapatalk

Fenrir · le 17 août 2017

Non, je viens de créer un nouveau profil pour vérifier, il s'installe sans problème (en tout pas en passant par le gestionnaire d'extensions, je ne passe pas par le site). Imagine si c'était le cas, ça voudrait dire que plus personne ne pourrait installer la plupart des extensions.

Je pense que c'est une de tes autres extensions qui bloque le test de compatibilité.

unPixel · le 17 août 2017

Je ne trouve pas cette option dans Firefox pour changer de profil. Tu fais quoi exactement stp à part supprimer le dossier de ton profil ?

Merci ;)

Fenrir · le 17 août 2017

https://support.mozilla.org/en-US/kb/profile-manager-create-and-remove-firefox-profiles

unPixel · le 18 août 2017

Merci, je vais regardé demain si je peux arranger ça. Sont chiant Firefox... Ils auraient pu imposer ça pour une mise à jour d'addon mais pas les actuels...

Einsteinium · le 18 août 2017

Mouai enfin l’auto remplissage on ne l’utilise que sur des sites respectables... perso je ne l’utilise que sur les sites où je commande et au final toutes les informations sont nécessaires... Sous Safari iOS faut sélectionner cette option.

Concernant les mots de passe, perso je laisse la génération de Safari faire, qui sont aux formats d’un mélange : majuscules/minuscules/chiffres en xxx-xxx-xxx-xxx.

Fenrir · le 18 août 2017

Il y a 6 heures, Einsteinium a dit :

Mouai enfin l’auto remplissage on ne l’utilise que sur des sites respectables...

Oui, mais le problème avec Chrome (au moment de la rédaction du post, il y a une éternité), c'est qu'il remplissait automatiquement tous le champs (pas seulement ceux liés à des password), même les champs cachés.

Il suffisait donc de créer un formulaire avec des questions anodines (un vote par exemple) pour récupérer en cachette tout un tas d'info perso.

unPixel · le 18 août 2017

Et c'est toujours le cas ou ils ont bouché tout ça ? En dehors de la vie privée, Chrome a l'air d'être un bon navigateur.

Je lui préfère Chromium sur MAC mais malheuresement, pas de plugin Chrome dessus. Ou alors on peut mais j'ai pas encore prit le temps de chercher.

Juste essayer depuis le site d'extensions de chrome.

Fenrir · le 18 août 2017

Je ne sais pas, je n'utilise pas chrome (pour tout un tas de raison que je ne détaillerai pas ici, ce n'est pas sujet), uniquement Firefox (sous linux, mac, windows, android et ios).

unPixel · le 18 août 2017

J'aime (j'adore même) Firefox mais bon en ce moment, ça part en sucette... Leur navigateur est de plus en plus lourd. On a l'impression d'avoir un os dans un autre os...

Sans compter que la gestion de la RAM avec pas mal d'onglets ouvert, c'est pas top. Je continu à l'utiliser mais pas pour l'accès à mon NAS ou je suis plutôt Opera.

Chrome est installé sur mon PC mais j'évite de l'ouvrir.

Einsteinium · le 18 août 2017

il y a une heure, Fenrir a dit :

Oui, mais le problème avec Chrome (au moment de la rédaction du post, il y a une éternité), c'est qu'il remplissait automatiquement tous le champs (pas seulement ceux liés à des password), même les champs cachés.

Il suffisait donc de créer un formulaire avec des questions anodines (un vote par exemple) pour récupérer en cachette tout un tas d'info perso.

Ouai bah c’est l’exemple même que tu montres, voilà pourquoi je restreint son utilisation, après c’est sur que si on fait son feignant juste pour un pseudo ou mail... bah la j’ai envie de dire... bien fait =)

Fenrir · le 18 août 2017

On pars complétement hors sujet mais puisque c'est moi qui ait créé le post, j'assume.

Je pourrais te faire un long message avec des vrais tests de perf (la plupart des test qu'on trouve sont biaisés car ils ne savent pas que Chrome s'appuie énormément sur l'OS, donc consomme plus de ressource que celles de ses propres processus), mais ça me prendrait trop de temps.

Pour faire court, Chrome et Firefox consomment à peu près autant de ressources (cpu, ram* et disque*) en conditions réelles (plusieurs onglets, historique long comme le bras, plein d'extensions, ...), affichent les sites globalement à la même vitesse et ont un rendu très similaire, donc ce n'est pas un critère déterminant pour moi.

Niveau contraintes d'utilisation et comportement de l'entreprise parente (Google VS Mozilla) c'est différent, mais ici on rentre dans le subjectif et les avis personnels. Mozilla a grandement contribué au Web tel qu'on le connait, bien plus que Google (Alphabet) dont 86% des revenus sont encore issus de la publicité. Mozilla lutte tous les jours pour un meilleur respect de la vie privée. Ici chacun voit midi à sa porte.

*la conso de ram et de disque on s'en fiche en pratique, on a tous de la marge

ps : pour tes soucis avec Firefox, commence par faire le ménage dans tes extensions et vide tes caches.

Connexion

Securité : remplissage caché des formulaires

Messages recommandés

Fenrir

Other browsers

antdid

Invité

Mic13710

unPixel

Fenrir

unPixel

Fenrir

unPixel

Fenrir

unPixel

Fenrir

unPixel

unPixel

Fenrir

unPixel

Fenrir

unPixel

Einsteinium

Fenrir

unPixel

Fenrir

unPixel

Einsteinium

Fenrir

Rejoindre la conversation

Qui est en ligne 3 membres, 0 anonyme, 514 invités (Afficher la liste complète)

Contributeurs populaires

Forum

Discussions

Articles

Information importante