[tofm2]

fredwat, le mercredi 5 mars 2008 à 18:51, dit :

Sur le Hub comme sur Wri nous échangeons des infos par MP !

C'est que au fil du temps, WRI est plus ou moins devenu un outil de référence pour les WM.

Tout pareil, j'avais pas mal de MP en souffrance.

[Portekoi]

On a jamais dit qu'il ne fallait pas utiliser un compte Gmail, on a dit que cela n'était pas prudent de laisser des mails sensibles sur un WEBMAIL.

C'est mieux là?

[Franci]

Portekoi, le mercredi 5 mars 2008 à 19:24, dit :

On a jamais dit qu'il ne fallait pas utiliser un compte Gmail, on a dit que cela n'était pas prudent de laisser des mails sensibles sur un WEBMAIL.
C'est mieux là?

C'est ce que j'ai précisé dans mon premier message mais dans ce cas je parlais de l'enrengistrement d'un domaine.

[Dan]

Vap, le mercredi 5 mars 2008 à 18:49, dit :

Sinon, vous vous focalisez sur l'usage de Gmail qui n'est pas sûr. Mais ce n'est qu'une partie du pb d'après ce que j'ai lu sur les liens ci dessous.

thick, le mercredi 5 mars 2008 à 01:29, dit :

Ca serait plutôt un hack qui utilise ceci :

http://forums.webhos...ead.php?t=23593
http://www.davidaire...ecurity-hijack/

L'autre conseil donné à propos de ce problème est de ne pas prendre son nom de domaine chez un hébergeur, mais directement chez un registrar:

Citation

1. Never use a free or hosted email account as your whois address. Instead, use a pop email address from a domain you own.

As tu lu les deux pages dont les liens ont été donnés par thick ?
Les deux parlent bien de "hack de gmail menant au vol de domaine" ...
Donc pas étonnant qu'on se focalise sur Gmail

Quant-à ta deuxième citation, ils disent aussi expressément (je traduis)

Citation

N'utilisez jamais un email gratuit ou hébergé pour l'adresse de votre whois. Utilisez à la place un compte pop sur un domaine dont vous êtes le propriétaire.

Lorsqu'ils parlent de "hosted email account" , il s'agit vraisemblablement des emails que vous pouvez obtenir chez votre FAI, donc en trucmuche.com, et que vous n'êtes pas propriétaire du domaine trucmuche.com.

C'est très précisément que qu'on vous a expliqué ici, non ?

[Daxey]

J'aurai tendance à dire créez vos serveurs mails :blushing:

Ce message a été modifié par Daxey - 05 mars 2008 - 19:56.

[Franci]

Dan, le mercredi 5 mars 2008 à 19:52, dit :

Les deux parlent bien de "hack de gmail menant au vol de domaine" ...

C'est bien ça le plus inquiétant.
Aucun système n'est infaillible tout le monde est d'accord sur ce point mais il s'agit de Google quand même qui dispose de moyens colossaux ... ils pourraient mieux sécuriser Gmail car le type qui a fait ça est loin d'être un génie .....

Néanmoins, Adsense et Adword semblent être beaucoup plus sécurisés alors qu'ils demandent bien un compte Gmail si je ne me trompe pas ?

[Anonymus]

Pour le problème du site de David Airey, il faut tout de même un certain nombre d'opérations avant d'y arriver, de la part du pirate.
Je ne suis pas si sûr que google soit réellement en cause. Le seul problème que je note, de la part de google, c'est le fait de pouvoir mettre en 'copie' tous les mails, sans.. pour autant envoyer une demande de confirmation au propriétaire. Mais ca, y'en a pas un qui le fait.
Le reste, ben.. Faut comme meme regarder un mail malveillant (spamm), télécharger un .exe, et l'exécuter. Ca fait bcp de la part de l'internaute imprudent, et ca enlève autant à la responsabilité de google.
Par contre, à mon avis, on a pas fini d'avoir des problèmes comme ca, avec le web 2.0

[wullon]

Sauf erreur, dans le cas du site de David Airey, ce n'est pas exactement comme ça : il suffit que la victime visite une URL pour que le filtre malveillant soit installé (pas d'exe ni rien).

Ce message a été modifié par wullon - 05 mars 2008 - 20:23.

[Dan]

wullon, le mercredi 5 mars 2008 à 20:23, dit :

Sauf erreur, dans le cas du site de David Airey, ce n'est pas exactement comme ça : il suffit que la victime visite une URL pour que le filtre malveillant soit installé (pas d'exe ni rien).

Oui, s'il a Gmail d'ouvert
Le problème est que la redirection gmail pour Airey a très bien pu être mise en place un mois avant qu'il ne parte en vacances... le cracker a attendu patiemment.

[Nicolas]

C'est pas détecté par des outils comme SpyBot ça ?

Citation

Néanmoins, Adsense et Adword semblent être beaucoup plus sécurisés alors qu'ils demandent bien un compte Gmail si je ne me trompe pas ?

Ce n'est pas nécessaire (mais que oui pour les nouveaux inscrits). En tout je n'ai pas de compte Gmail ca ne m'a pas empêché d'avoir un compte Adsense.

[Kioob]

Un petit rappel en passant : quand on parle d'Outlook ou Thunderbird, il ne s'agit ni d'Outlook Express ni Windows Mail qui sont de vraies passoires
De plus, si vous n'activez ni le TLS ni le SSL, je pense que le résultat sera moins sécurisé qu'une webmail ; avec en prime le mot de passe qui circulera en "clair" très régulièrement (pas encore au point du .htaccess mais le principe est le même).


PS : pour les problèmes de sauvegarde, formatage, accès distant etc, l'IMAP c'est bien ™.

Ce message a été modifié par Kioob - 05 mars 2008 - 20:53.

[Jeanluc]

Je pense qu'on s'égare avec ce témoignage de David Airey. David a écrit: "It appears that the GMail security issue is fixed, but that won’t remove any previously installed Filters from your GMail account." Donc, selon David, le problème n'est plus présent sauf si le compte Gmail a été hacké avant fin 2007. Je suis, malgré tout, d'accord d'éviter Gmail pour des emails pro ou sensibles, mais cela ne suffit pas.

Ainsi David écrit aussi qu'il était en voyage en Inde quand le problème s'est produit et qu'en voyage, il s'est connecté à différents services dans des cafés Internet. Je ne pense pas que se connecter depuis un café Internet soit à conseiller si on est attentif à la sécurité. La difficulté avec la sécurité, c'est qu'il faut être attentif à tous les détails et qu'on en oublie toujours un...

Jean-Luc

[Franci]

Kioob, le mercredi 5 mars 2008 à 20:53, dit :

De plus, si vous n'activez ni le TLS ni le SSL, je pense que le résultat sera moins sécurisé qu'une webmail ; avec en prime le mot de passe qui circulera en "clair" très régulièrement (pas encore au point du .htaccess mais le principe est le même).

Tu fais allusion au chiffrement et de la signature dans Paramètres des compte => Sécurité dans TB ?

Je n'ai pas activé ces 2 options mais cela ne risque rien si vous avez un bon AV mis à jour.

Ce message a été modifié par Franci - 05 mars 2008 - 21:11.

[Kioob]

Franci : l'antivirus ne sert absolument à rien ici à mon avis... il s'agit de "crypter" les transferts (ou du moins l'identification) de manière à ce qu'un pirate récupérant la trame ne puisse pas reproduire la même chose.

Ton anti virus, si tu communiques ton mot de passe à tout le monde il ne te servira pas à grand chose...

[Franci]

Kioob, le mercredi 5 mars 2008 à 21:15, dit :

Franci : l'antivirus ne sert absolument à rien ici à mon avis... il s'agit de "crypter" les transferts (ou du moins l'identification) de manière à ce qu'un pirate récupérant la trame ne puisse pas reproduire la même chose.

Ton anti virus, si tu communiques ton mot de passe à tout le monde il ne te servira pas à grand chose...

Pas grand monde crypte le transfert de données sur les logiciels d'emails et encore moins sur MSN où pourtant on dévoile des données sensibles.

Pourquoi voudrais tu que je communique mon mot de passe à tout le monde, c'est absurde.

[Franci]

Si Gmail comporte une faille qui permet à l'intru de rentrer sur la webmail, alors que vous ayiez accès à vos messages sur thunderbird ou sur webmail alors cela revient à la même chose ...

Pour obtenir un email pro il faut payer, voir le mx plan.

[Vap]

Franci, le mercredi 5 mars 2008 à 19:19, dit :

Non si le type peut pénétrer sur le site de ton registrar il peut transférer tranquillement ton domaine vers un autre serveur.

Je te dis qu'il ne suffit pas de craquer mon email pour que Gandi accepte de transférer un de mes noms de domaine.

Alors que ça a suffit dans le cas de webrankinfo.

[Vap]

Dan, le mercredi 5 mars 2008 à 19:52, dit :

L'autre conseil donné à propos de ce problème est de ne pas prendre son nom de domaine chez un hébergeur, mais directement chez un registrar:


As tu lu les deux pages dont les liens ont été donnés par thick ?
Les deux parlent bien de "hack de gmail menant au vol de domaine" ...
Donc pas étonnant qu'on se focalise sur Gmail

Quant-à ta deuxième citation, ils disent aussi expressément (je traduis)

Lorsqu'ils parlent de "hosted email account" , il s'agit vraisemblablement des emails que vous pouvez obtenir chez votre FAI, donc en trucmuche.com, et que vous n'êtes pas propriétaire du domaine trucmuche.com.

C'est très précisément que qu'on vous a expliqué ici, non ?

Justement je les ai lu, et j'ai cité ce que personne ne semble avoir lu... Je le remet ici car la répétition est la base de la pédagogie:

Citation

1. Never use a free or hosted email account as your whois address. Instead, use a pop email address from a domain you own. Lock the heck out of that domain.

2. Never register a domain through a webhosting company. Webhosts are good (sometimes) at hosting web sites, but they are typically just domain resellers with lax domain security controls. A good domain registrar would never let someone simply e-mail them to unlock a domain and send the transfer code.

Tout le monde ne parle que du premier conseil. Je dis que le second est très pertinent aussi. En effet, le hack du compte email utilisé dans le whois ne suffit pas pour effectuer le transfert dans ce cas. Et je m'étonne que personne n'en parle. Et ce conseil est donné régulièrement pour d'autres raisons. J'en avais cité une (l'histoire racontée sur nodaddy.com). L'as tu lu?

[Kioob]

Franci, le mercredi 5 mars 2008 à 21:21, dit :

Pas grand monde crypte le transfert de données sur les logiciels d'emails et encore moins sur MSN où pourtant on dévoile des données sensibles.

Pourquoi voudrais tu que je communique mon mot de passe à tout le monde, c'est absurde.

On la refait alors :
- pas grand monde coche ces fameuses options je suis bien d'accord, et c'est justement là le problème. Entre une webmail avec accès SSL et une boite sur son dédié accédée sans cryptage (et donc tous les autres clients de l'hébergeur ont potentiellement accès à vos logins/pass...) ; je ne suis vraiment pas certain que la webmail soit la plus mal lotie hein.
- et c'est justement pour ça que par défaut Dovecot (serveur POP/IMAP assez répandu) refuse toute connexion dont les mots de passe sont en clair ; pour que les gens se prennent en main et cochent cette malheureuse case avant qu'il ne soit trop tard.
- dans la même lignée, la connexion FTP ainsi que les admins via ".htaccess" fonctionnent sur le même principe : les logins et mot de passe circulent en clair sur le réseau.

Et pour le coté "absurde" de la chose, bah c'est pourtant ce que ton client de messagerie fera toutes les 5 minutes si tu n'actives pas le moindre cryptage.

Pour moi il y a 3 modes de fonctionnement pour la plupart de ces logiciels :
- cryptage SSL complet : c'est le mode "parano", tout est crypté
- identification TLS : c'est le "minimum", l'identification est cryptée mais pas le contenu
- tout en clair : c'est le mode "inconscient", rien n'est crypté et on croise les doigts pour ne jamais avoir de soucis

[Thierry Bugs]

Dan, le mercredi 5 mars 2008 à 13:07, dit :

Disons qu'au delà d'Olivier, ce sujet nous concerne tous... et nous apprend aussi ce qu'il faut éviter de faire.

De plus, on a eu droit à quelques WRInautes "en mal de forum". Quand on est accro, on ressent vite un manque

Hum,
en fait j'ai juste vu de la lumière,
alors je suis entré...

Et puis à vous lire tous, toute cette sale journée
évidemment que j'avais envie de participer.

Sale coup, qu'on souhaite à personne