Grosse faille OVH...

[Reivilo]

Maintenant c'est vrai qu'un noindex nofollow aurait été déjà un strict minimum. En même temps, c'est même étrange que Google indexe des urls aussi "sales".

Et il y a aussi le robots.txt pour ce genre de cas. Même si son contenu est public, il est presque impossible de trouver un thread par hasard.

D'ailleurs ils l'exploitent un peu :p

[khantic]

Si bien sûr c'est une faille, puisque ces infos ne sont pas destinées à être publiées, et que ce contournement peut éventuellement permettre à des personnes malintentionnées de trouver des mots de passe.

C'est même répréhensible par la loi, OVH n'étant pas capable de protéger des infos personnelles.

Il suffirait d'inclure ces threads de support dans une session d'identification.

Je classe ce genre de faille comme très critique perso.

Les hotlines ne sont pas autorisés à communiquer des mots de passes par le biais du thread, ni par téléphone. Donc de ce côté c'est mort. D'ailleurs, ils ne connaissent aucun des mots de passe...

Maintenant c'est vrai qu'un noindex nofollow aurait été déjà un strict minimum. En même temps, c'est même étrange que Google indexe des urls aussi "sales".

Sauf que le client,lui, il redonne souvent son mot de passe sans qu'on lui demande... Je sais, c'est pas malin et ca sert à rien, mais c'est comme ça...

[tophus]

Vous semblez minimiser la chose, mais je trouve ca super grave, il y a forcément des infos sensibles dans les échanges entre les techniciens et les clients. J'ai quelques sites chez eux, et j'ai perdu totalement confiance en eux voyant ça, finalement ca vaut sans doute le coup de prendre un prestataire plus petit et un peu plus cher...

[khantic]

C'est peut être une critique un peu gratuite, mais c'est à la hauteur de l'ergonomie de leur interface...

J'ai jamais compris comment ils avaient réussi à faire une interface de gestion aussi compliqué et non intuitive. Y'a des écoles pour apprendre ça ?

[Moof]

C'est peut être une critique un peu gratuite, mais c'est à la hauteur de l'ergonomie de leur interface...

J'ai jamais compris comment il avait réussi à faire une interface de gestion aussi compliqué et non intuitive. Y'a des écoles pour apprendre ça ?

Moi je la trouve très bien leur interface !

Pour revenir au sujet principal, savez vous si le problème est réglé ? Je n'ai pas vu de post en parlant dans le forum ovh, et rien qui mentionne cette faille dans la page travaux.

Ils sont au courant au moins qu'il y a un problème ??

[tophus]

Le problème n'est toujours pas réglé, on accède aux mails sans problème, même si il corrigeait le problème, google garderait les pages en cache pour un bon moment..

[Leonick]

même si il corrigeait le problème, google garderait les pages en cache pour un bon moment..

Non, toutes les pages que j'ai demandé à google de supprimer l'étaient sous moins de 48h et souvent 24h

[Bourriquet]

Ils sont au courant, j'en ai parlé personnellement avec le frère du DT qui se charge de beaucoup de chose dans la boite, et envoyé un mail à Octave.

Maintenant, je trouve hallucinant d'affirmer perdre confiance en une boite qui a fait ses preuves sur un point aussi peu important.

Si c'est présent dans GG c'est aussi parce quelqu'un a du faire quelque chose pour. De plus, je trouve pas très malin de signaler ça sur un billet, ou un forum, sachant que ces données sont confidentielles. Un email aux intéressés (OVH) aurait été plus judicieux, d'autant plus que Octave prends toujours la peine de lire les ML comem hosting etc... Et que qui plus est, tous le monde là-bas les reçoit.

Sinon, la désindexation, je le confirme peut être fait en moins de 48h.

Pour l'interface, on leur demande surtout de faire de l'hébergement qui marche, pas dans l'artistique. En plus en général, ce genre de service n'est pas destiné à Tata Germaine, mais à des professionnels ou du moins des gens qui touchent un minimum.... Chacun son métier !

[khantic]

Pour l'interface, on leur demande surtout de faire de l'hébergement qui marche, pas dans l'artistique. En plus en général, ce genre de service n'est pas destiné à Tata Germaine, mais à des professionnels ou du moins des gens qui touchent un minimum.... Chacun son métier !

Ce n'est pas une question de métier, mais d'ergonomie.
Ce n'est pas un métier de trouver le bon lien ou il faut cliquer pour passer d'une interface à une autre totalement différente sans aucun repère ni homogénéité. Cela fait aussi partie de l'accessibilité.

Je n'ai jamais dit qu'OVH était mauvais, je ne le pense pas d'ailleurs, seulement que leur interface était à revoir dans son ensemble, même si ils en sont à la V3... Et en plus, ce n'est que mon avis (même si je m'y connais un peu quand même dans ce domaine).

Enfin, concernant la faille, si OVH était au courant, c'est d'autant plus grave. Et c'est aussi pour cela qu'il faut le publier sur le net pour les obliger à changer cela ou au moins avertir les utilisateurs. Perso, je suis bien content de le savoir, je sais que je n'utiliserai plus leur support comme avant.

Pour info, j'ai trouvé il y a 1 an une faille similaire sur le support d'un autre hébergeur que je ne citerai pas. Il était possible d'accéder aux tickets du support sans aucune identification.
Non seulement il l'a corrigé en 1 heure après que je lui ai communiqué la faille (il a même coupé le serveur pour l'urgence), mais en plus, il m'a remercier commercialement. Lui a pris les mesures de la situation et je suis resté chez lui jusqu'à maintenant.

Tout cela pour dire que c'est une faille grave et que le nier est une énorme erreur, aussi grosse que de ne pas le reconnaitre ni la corriger. Perso, je trouve cela inacceptable (pas la faille, mais le fait de ne pas prendre de mesure et de nier l'importance).

[AW]

Ce que voulait dire Bourriquet c'est qu'ils ont été mis au courant suite a ce post

[khantic]

Ah ok, autant pour moi, dans ce cas, c'est vrai qu'un mail avant uniquement aurait été préférable... Comme je l'ai fait il y a un an chez un autre...

[tophus]

Pour info, plusieurs emails ont été envoyés à ovh bien avant ce post, Ce soir les mails sont toujours en "accès libre", j'estime avoir le droit de gueuler!!!
Par ailleur, je suis tout à fait d'accord pour dire qu'il n'est pas très malin de signaler ça sur un billet.

[sun location]

C'est vraiment pas serieux de lapart d'ovh.

[guicara]

C'est vraiment pas serieux de lapart d'ovh.

Une erreur arrive si vite...
Si OVH répare le plus gros possible, il n'y a pas de gros problèmes

[Mister_G]

Il faut cesser de s'alarmer aussi bètement. Le système de ticket OVH est peut-être critiquable, améliorable, ou ce que vous voulez, mais je n'y vois aucune faille !

Un client d'Ovh a mis l'url d'une session de support Ovh dans un forum accessible à tous y compris le bot GG . C'est tout ! Dès lors, cela permet à tous de lire son fil de discussion avec le support. A moins d'être totalement abruti, je ne pense pas que d'autres clients vont en faire autant et je ne vois pas où se présente là une faille.

Si je publie ici mon id et mdp du présent forum WRI, il y aura toujours des curieux pour lire mes mp, des malins pour répondre à ma place et quelques esprits faibles pour dire qu'il y a une faille sur le site de WRI.

Sérieusement, la faille c'est plutôt le gars qui a publié l'url, non ?