Ça logue les mots de passe, et ça se permet de critiquer…

Par contre, quand vous utilisateurs à vous se logguent correctement sur votre portail, c'est normal que leurs mots de passe soient dans vos logs, eux.

Vous vous en foutiez parce qu'ils étaient stockés en clair de base dans la DB, probablement ?

CTLP

Je suppose que sa ne log que les échecs de connexion a des fin d'analyse pour éviter les attaques brute de force entre autre :)

M'enfin, entrer son login/mot de passe sur un site qui n'a visuellement rien à voir avec le sien, faut quand même y aller sévère. Je n'ose imaginer ce que donnerait une véritable tentative de phishing sur ces gens.

En l'occurrence, je suis arrivée en cours de projet, c'est un truc que j'ai constaté complètement par hasard vu que je ne travaillais pas sur la partie connexion (codée depuis bien longtemps à cette époque). Aurais-je dû objecter, aucune idée, à l'époque je débutais et ce que dit Dr Graph plus bas à ce sujet se tient plutôt pas mal (parce que oui effectivement, on n'enregistrait que les tentatives ratées).

Nope, et nope. Autres présomptions foireuses ?

Ca reste une mauvaise pratique de securité.

si quelqu'un s'introduit sur leurs serveur, si il remonte au nom de l'utilisateur il a des mots de passes valides qu'il n'a plus qu'a essayer sur d'autre services et avec un peu de chance ca marche, et paf.
En fait c'est pas mieux que de garder les mots de passe en clair.

Enfin si c'est mieux pour TES utilisateurs. Pour les autres par contre c'est pareil... Dejà qu'ils sont pas doués...

Il ne faut jamais sous estimer la stupidité d'un utilisateur !

Un autre exemple : un article sur RWW à propos de facebook et de l'utilisation des profils pour se connecter à des sites tiers. L'article (en anglais) : http://readwrite.com/2010/02/10/facebook_wants_to_be_your_one_true_log[...]

Et ce qui devait arriver, arriva. Le trafic a explosé, et les commentaires ont commencé à pleuvoir : « comment je fais pour me connecter ? » En fait, la simple recherche de « facebook login » sur google avait cet article en premier résultat... Un résumé de cette histoire est disponible (en anglais) : http://readwrite.com/2010/02/11/how_google_failed_internet_meme

Mouais, enfin toute personne qui voit dans les logs Echec de connexion : "machin" a tenté de se loguer avec le mot de passe "TRUC&é" sait que « machin » a pour mot de passe « truc12 »…

"Le site de ma boite fait du phishing, et il y a des gens qui tombent dans le panneau, PEBKAC"

Tout à fait d'accord avec la première phrase, mais malgré ce que dit Dr Graph plus bas, enregistrer dans les logs les mots de passe est non seulement une mauvaise pratique, mais également un non-respect du droit à la confidentialité des données personnelles de vos utilisateurs et des autres.

Si on prend toutes les tentatives de connexion ratées à un caractère près, ça donne de nombreuses possibilités de connaître les vrais mots de passe.

Loguez les tentatives ratées, oui, les noms d'utilisateurs associés, oui, mais jamais les mots de passe utilisés.

Bien sûr, les boulets d'en face n'en sont pas moins des PEBKAC ^^.

Un bon moyen de faire du phishing serai de faire une page de connexion du "genre" Facebook mais pas une simple copie. Comme ça les victimes enervervés par la nouvelle interface perdent leur sens critique et se loguent...

Du point de vue responsabilité, écrire « ma boite fait du phishing » eût été pareil.

Quelles présomptions foireuses ?

Vous logguez les échecs avec le pass en clair. Comme mentionné plus bas, à la moindre typo ou erreur de capslock, il y aura des vrais mots de passe utilisables dans vos logs. Ose me dire que ce genre d'erreurs ne t'es jamais arrivé.

Logger des mots de passe, c'est irresponsable et ça annule tout l'intéret de stocker des hashes. Même si ça ne concerne que les échecs.

C'est pas faux Morrock, de plus c'est pas un truc auquel j'ai été confrontée après ça, et ça ne m'est jamais venu à l'esprit de le faire dans mes sites persos :)

Ah non mais bien sûr que j'ai déjà fait l'erreur, il y a même un site sur lequel je la fais trois ou quatre fois par jour. Comme je disais, ce n'est pas moi qui ai mis ce truc en place et ça ne m'est jamais venu de le faire par la suite. Disons que sur le coup, en tant que grande débutante, quand je suis tombée sur cette "fonctionnalité" c'est surtout du point de vue phishing que j'ai tiqué.

Ah euh, non non, on avait juste des noms de domaine similaires. Le design n'avait RIEN à voir, d'où ma perplexité de voir les gens de l'autre société tenter de se loguer chez nous quand même, sereinement. Généralement, dans les tentatives de phishing c'est plus souvent l'inverse : design identique, nom de domaine différent (enfin ça saute pas toujours aux yeux, c'est sûr). Comme l'utilisateur moyen ne regarde pas toujours l'URL...

Sinon, les utilisateurs de l'autre site ne sont pas forcément très à l'aise avec l'informatique en général.

Si on leur a dit qu'ils pouvaient utiliser le site XXX avec soit leur identifiant interne de la boîte, soit des identifiants qu'on leur fournit, il n'est pas très étonnant qu'ils ne se rendent pas compte que c'est pas le bon site.

Sinon, il y a surement beaucoup de gens pas très à l'aise qui doivent juste se dire que vous avez changer le thème du site.

Par contre, c'est vraiment inquiétant que vous enregistrer les essais de connexions O_O

" Le design n'avait RIEN à voir, d'où ma perplexité de voir les gens de l'autre société tenter de se loguer chez nous quand même, sereinement."
Ça ne me surprend pas.
Dans la société où je travaille, les différents sites de l'intranet n'ont pas tous le même design.
Et ils ne sont pas tous sur le même nom de domaine.