Aller au contenu

Securité : remplissage caché des formulaires


Fenrir

Messages recommandés

Une raison de plus (s'il en fallait) pour ne pas utiliser chrome

autofill-demo.gif

 

Other browsers

It works differently in some other browsers. For example:

  • In Safari, it will tell you all the data it is filling into the form, even if it isn't visible to you.

  • In Firefox, you have to right click an input field and then select an identity to use. So a Firefox user autofills each field.

 

source : https://github.com/anttiviljami/browser-autofill-phishing

Lien vers le commentaire
Partager sur d’autres sites

  • 7 mois après...

J'enlève un peu de poussière à ce post :rolleyes:

 

Que pensez-vous de la protection du mot de passe de Firefox pour atteindre certaines options comme le gestionnaire de mot de passe svp ?

Je sais que le gestionnaire de mot de passe peut être copier mais est-ce le cas avec ce fameux mot de passe ?

Merci

Lien vers le commentaire
Partager sur d’autres sites

En 2013 (je n'ai pas vérifié depuis), Firefox avait le système de protection des mots de passe le plus robuste, suivi par opera/IE/safari, chrome était bon dernier. La situation a peut être changée depuis ... (le système d'opera c'est fait casser depuis par exemple, mais ils ont surement corrigé).

Encore maintenant, Firefox chiffre convenablement les mots de passe avec le mot de passe maitre (3DES+CBC de mémoire, pas top mais suffisant pour un particulier). Donc même si le fichier key3.db est "volé", le risque est faible, à la condition que le mot de passe maitre soit fort.

Pour Chrome, la sécurité repose sur celle du mot de passe de la session du poste => c'est à dire sur rien pour la plupart des gens :evil:

Perso le seul mot de passe stocké dans mon Firefox est celui de mon compte Firefox Sync, pour le reste tout est dans ma tête ou dans keepass (pass+clef)

Il existe tout de même un pb avec tous les navigateurs et les mots de passe : les extensions et les plugins - techniquement ils peuvent voir le contenu des pages (pour virer les pubs par exemple), donc accéder aux formulaires de saisie et donc aux identifiants => il faut choisir ses extensions/plugins avec le plus grand soin.

----

  • exemples de mot de passe :
    • Très faible : CIFAsKKWAYql
    • Faible : %`#>~@^.+_?[;#-}
    • Convenable : LeSup3rPassw0rd (attention, c'est exemple est mauvais car prédictible, leetspeak de base <=> lesuperpassword => faible)
    • Fort : M'hbZYjA&h$Pi%
    • Très fort : MMvXGUrUHBDuGe4lyras
    • Très fort : voiciuNExEmplEassEzFort (et simple à retrouver)
    • Très fort  : CIFAsKKWAYql + 2FA (OTP, token, ...)

On peut très bien utiliser des mots de passe moyen si on les change régulièrement, perso j'ai la flemme donc je mets des mots de passe aléatoire fort ou très fort partout (y compris pour ce forum) ou utiliser des mots de passe bidon s'ils sont couplés à une double authentification.

Lien vers le commentaire
Partager sur d’autres sites

Merci pour les précisions même si je savais déjà pour la complexité des MdP. Pour ma part, j'avais pour habitude d'utiliser comme ça :

- Paypal : un mot de passe fort unique que je mémorise

- Boite mail principale : idem

- tous les sites bateaux et forums : le même mot de passe très simple. Car quelque part, je m'en fichais qu'on me vole le compte d'un forum...

 

Mais à présent, je cherche une alternative afin d'avoir un mot de passe fort et différent sur chaque site ou je dois me connecter et je m'intéresse à deux applications. Endpass et Keepass.

Endpass est propriétaire et ça, je suis pas fan. Bon après, c'est pas grave puisque je bloque tous les flux de cette application via mon firewall sur MAC.

Utilisable en application avec synchro via Cloud Station et fonctionnel sur Opera et Firefox.

Keepass lui est open source (pas mal pour la sécurité), mais et là, ça me dérange, je ne vois rien qui puisse (sur mac) le faire fonctionner sur Firefox et Opera :(

Et là, c'est pas top pour moi car j'aime avoir de l'automatisation. Surtout que sur Firefox, je dois avoir plus de 200MdP... Alors ok, je suis prêt à tout enregistrer en changeant les MdP au fur et à mesure mais pas au point d'aller copier coller chacune des lignes d'un formulaire dans Keepass. Je préfèrerai de l'automatisation à la manière de Endpass et autres.

 

Merci en tout cas Fenrir pour la précision sur Firefox.

Lien vers le commentaire
Partager sur d’autres sites

il y a 2 minutes, InfoYANN a dit :

- tous les sites bateaux et forums : le même mot de passe très simple. Car quelque part, je m'en fichais qu'on me vole le compte d'un forum...

C'est une erreur, rien que dans les MP il y a tout un tas d'infos sur toi, dans ton compte il y a aussi ton mail (et peut être autre chose) ...

il y a 5 minutes, InfoYANN a dit :

avoir un mot de passe fort et différent sur chaque site

C'est déjà mieux

il y a 7 minutes, InfoYANN a dit :

Keepass lui est open source (pas mal pour la sécurité), mais et là, ça me dérange, je ne vois rien qui puisse (sur mac) le faire fonctionner sur Firefox et Opera :(

Firefox :

Pour opera il existe aussi des extensions, mais je n'utilise pas ce navigateur donc pas testé.

Lien vers le commentaire
Partager sur d’autres sites

Si tu parles de Firefox 55.0.2 (64bits), aucun problème, je l'ai sous les yeux (obsolète ne veux pas dire incompatible).

Il se trouve juste que Mozilla vient de poser la première brique des WebExtensions, les dev ont jusqu'en novembre pour migrer leurs extensions (ça ne concerne pas que keepass, mais presque toutes les extensions).

Lien vers le commentaire
Partager sur d’autres sites

Non, je viens de créer un nouveau profil pour vérifier, il s'installe sans problème (en tout pas en passant par le gestionnaire d'extensions, je ne passe pas par le site). Imagine si c'était le cas, ça voudrait dire que plus personne ne pourrait installer la plupart des extensions.

Je pense que c'est une de tes autres extensions qui bloque le test de compatibilité.

Lien vers le commentaire
Partager sur d’autres sites

Mouai enfin l’auto remplissage on ne l’utilise que sur des sites respectables... perso je ne l’utilise que sur les sites où je commande et au final toutes les informations sont nécessaires... Sous Safari iOS faut sélectionner cette option.

Concernant les mots de passe, perso je laisse la génération de Safari faire, qui sont aux formats d’un mélange : majuscules/minuscules/chiffres en xxx-xxx-xxx-xxx.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 6 heures, Einsteinium a dit :

Mouai enfin l’auto remplissage on ne l’utilise que sur des sites respectables...

Oui, mais le problème avec Chrome (au moment de la rédaction du post, il y a une éternité), c'est qu'il remplissait automatiquement tous le champs (pas seulement ceux liés à des password), même les champs cachés.

Il suffisait donc de créer un formulaire avec des questions anodines (un vote par exemple) pour récupérer en cachette tout un tas d'info perso.

Lien vers le commentaire
Partager sur d’autres sites

Et c'est toujours le cas ou ils ont bouché tout ça ? En dehors de la vie privée, Chrome a l'air d'être un bon navigateur.

Je lui préfère Chromium sur MAC mais malheuresement, pas de plugin Chrome dessus. Ou alors on peut mais j'ai pas encore prit le temps de chercher.

Juste essayer depuis le site d'extensions de chrome.

Lien vers le commentaire
Partager sur d’autres sites

J'aime (j'adore même) Firefox mais bon en ce moment, ça part en sucette... Leur navigateur est de plus en plus lourd. On a l'impression d'avoir un os dans un autre os...

Sans compter que la gestion de la RAM avec pas mal d'onglets ouvert, c'est pas top. Je continu à l'utiliser mais pas pour l'accès à mon NAS ou je suis plutôt Opera.

Chrome est installé sur mon PC mais j'évite de l'ouvrir.

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Fenrir a dit :

Oui, mais le problème avec Chrome (au moment de la rédaction du post, il y a une éternité), c'est qu'il remplissait automatiquement tous le champs (pas seulement ceux liés à des password), même les champs cachés.

Il suffisait donc de créer un formulaire avec des questions anodines (un vote par exemple) pour récupérer en cachette tout un tas d'info perso.

Ouai bah c’est l’exemple même que tu montres, voilà pourquoi je restreint son utilisation, après c’est sur que si on fait son feignant juste pour un pseudo ou mail... bah la j’ai envie de dire... bien fait =)

Lien vers le commentaire
Partager sur d’autres sites

On pars complétement hors sujet mais puisque c'est moi qui ait créé le post, j'assume.

Je pourrais te faire un long message avec des vrais tests de perf (la plupart des test qu'on trouve sont biaisés car ils ne savent pas que Chrome s'appuie énormément sur l'OS, donc consomme plus de ressource que celles de ses propres processus), mais ça me prendrait trop de temps.

Pour faire court, Chrome et Firefox consomment à peu près autant de ressources (cpu, ram* et disque*) en conditions réelles (plusieurs onglets, historique long comme le bras, plein d'extensions, ...), affichent les sites globalement à la même vitesse et ont un rendu très similaire, donc ce n'est pas un critère déterminant pour moi.

Niveau contraintes d'utilisation et comportement de l'entreprise parente (Google VS Mozilla) c'est différent, mais ici on rentre dans le subjectif et les avis personnels. Mozilla a grandement contribué au Web tel qu'on le connait, bien plus que Google (Alphabet) dont 86% des revenus sont encore issus de la publicité. Mozilla lutte tous les jours pour un meilleur respect de la vie privée. Ici chacun voit midi à sa porte.

*la conso de ram et de disque on s'en fiche en pratique, on a tous de la marge

ps : pour tes soucis avec Firefox, commence par faire le ménage dans tes extensions et vide tes caches.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.