Grosse faille OVH...

[Blau3grana]

Il semblerait qu'OVH ait connu un gros souci au niveau de la sécurité, je ne sais pas si c'est résolu.

Faut-il avoir peur?

http://www.fusina.net/news/news-Faille_ ... t-202.html

[tom_pascal]

Ben, ça dépend si tu as déjà créé des tickets chez OVH en mentionnant dedans des informations "sensibles" (comme un mot de passe ou autre)...

Je ne pense pas que ce soit le cas de beaucoup de monde, mais qui sait...

Autrement, ça aurait été plus sympa de la part du découvreur de diffuser l'information une fois le problème connu et résolu par OVH et le cache de google expiré... mais bon.

[bgdc]

J'ai cliqué sur la recherche google, on tombe bien sur une page qui a l'air d'etre d'ovh et on trouve meme les coordonnées d'une personne. Ca craint.......

[khantic]

J'ai trouvé un identifiant en fouillant un peu...

[tom_pascal]

Bah, les coordonnées d'une personne propriétaire d'un site, on les a facilement avec un whois...
Le plus gênant, c'est les mots de passe... si c'est juste un identifiant (nic-handle) on le trouve aussi dans le whois et on ne peut pas non plus en faire grand chose sans mot de passe... donc je crois qu'il ne faut pas dramatiser non plus.

[xgamer]

appeler ca une faille !!!! il y va fort le type !
si ces thread de support on été exploré par google , c'est qu'un lien a été mis vers le thread.
alors si on met un lien en public c'est que les info contenue dans le thread ne sont pas sensibles.

[khantic]

Si bien sûr c'est une faille, puisque ces infos ne sont pas destinées à être publiées, et que ce contournement peut éventuellement permettre à des personnes malintentionnées de trouver des mots de passe.

C'est même répréhensible par la loi, OVH n'étant pas capable de protéger des infos personnelles.

Il suffirait d'inclure ces threads de support dans une session d'identification.

Je classe ce genre de faille comme très critique perso.

[AW]

j'avais déja remarqué que c'etait accessible sans login et mot de passe, mais j'ai pas réagit plus que ça a l'époque ( ) J'ai toujours fait gaffe de pas mettre de données sensibles dans ce genre de truc dans tous les cas le support d'ovh a déja accès a votre compte pas la peine de leur donner votre mot de passe quand vous avez un soucis avec quelque chose.

Mais c'est vrai que c'est critique comme situation ...

Edit : il y a pas l'air d'avoir beaucoup de messages quand meme, ça aurait pu etre pire.

[Szarah]

Je n'aime pas plus les threads qui montrent les failles chez les hébergeurs que ceux qui dénoncent nommément les pratiques de spamdexing ou que les gestionnaires de blogs irresponsables.
On a déjà bien assez de soucis avec les pros du hack, pas besoin de susciter des vocations.

[ninive]

appeler ca une faille !!!! il y va fort le type !
si ces thread de support on été exploré par google , c'est qu'un lien a été mis vers le thread.

Ou que quelqu'un l'a visité avec un navigateur équipé d'une googlebar aussi non ?

[Monty973]

Ou que quelqu'un l'a visité avec un navigateur équipé d'une googlebar aussi non ?

Non, c'est un mythe
http://www.mattcutts.com/blog/debunking ... g-indexed/

[Szarah]

Ou que quelqu'un l'a visité avec un navigateur équipé d'une googlebar aussi non ?

Non, c'est un mythe
http://www.mattcutts.com/blog/debunking ... g-indexed/

La GGbar envoie une requête http pour renvoyer le PR de la page visitée et il peut arriver (ce n'est pas systématique) que si le site est inconnu de GG, le GGbot débarque rapidement.
J'en ai fait l'expérience plusieurs fois avec des pages en test, évidemment sans aucun lien pointé vers elles, qui se trouvaient en sous-rep et ne s'appelaient pas index.machin.

[wullon]

C'est assez vieux ça non (il me semble) ?
Enfin j'avais remarqué ça aussi, mais je m'étais dit que c'était pas bien grave étant donné que normalement il n'y a aucune info critique divulguée (mais ça m'est arrivé de répondre à des threads initié par un ami par exemple :s).

[etrusco]

[Mode hors sujet excusez moi de m'etre un peu éloigné du sujet principal]
Je puis vous jurer que l'histoire suivante est vraie. Et c'est moi qui l'ai vécu : en 2003, alors que je m'amusais presque autant qu'un végetarien à une soirée boucherie, je prends mon navigateur et je me dis " ho allez mon ptit et si tu tapais une de ces requetes google du tonnerre ? ".

Et v'la que je demande a mister google de me sortir [ " index of " loterie gagnant admin ]...

Devenez quoi je suis tombé sur l'interface d'administration non sécurisée du site officiel de l'équivalent de notre française des jeux en cote d'ivoire. Avec possibilité de changer les gains, connaitre les virements en cours, changer le nom des gagnants, changer les textes, images de la page d'accueil etc.... bref foutre le bazar...

Connaissant la liberté d'expression qui regne la bas, j'ai un peu mis des messages politiques " irrévérencieux " etc...

Puis j'ai ecrit un mail a ZATAZ dans la foulée pour leur signaler la faille. Résultat : QQ temps plus tard, Zataz publie dans leur magazine " LEUR " découverte de cette faille et disent avoir fait le nécessaire pour que les gens de la loterie de la bas colmate cette faille. En réalité, la faille est restée présente environ encore trois semaine apres la publication de ZATAZ de cette faille....

[/ Fin mode hors sujet excusez moi de m'etre un peu éloigné du sujet principal]

[Bourriquet]

Si bien sûr c'est une faille, puisque ces infos ne sont pas destinées à être publiées, et que ce contournement peut éventuellement permettre à des personnes malintentionnées de trouver des mots de passe.

C'est même répréhensible par la loi, OVH n'étant pas capable de protéger des infos personnelles.

Il suffirait d'inclure ces threads de support dans une session d'identification.

Je classe ce genre de faille comme très critique perso.

Les hotlines ne sont pas autorisés à communiquer des mots de passes par le biais du thread, ni par téléphone. Donc de ce côté c'est mort. D'ailleurs, ils ne connaissent aucun des mots de passe...

Maintenant c'est vrai qu'un noindex nofollow aurait été déjà un strict minimum. En même temps, c'est même étrange que Google indexe des urls aussi "sales".