PEBKAC #8245

Aujourd'hui, mon petit frêre a voulu se connecter depuis mon téléphone sur le site mobile d'un réseau social très connu. Il tente de se connecter, mais réalise s'être trompé d'adresse e-mail. Il est immédiatement redirigé vers une page non sécurisée lui demandant de taper à nouveau ses identifiants.

Et là, je m'aperçois que le mot de passe est affiché en clair. Sur le coup, je l'interdis de se connecter mais reste un peu surpris… Bref, j'ai essayé à d'autres jours et avec d'autres téléphones, mais toujours le même résultat.

Donc effectivement, ce réseau social pourtant connu a une très grosse faille de sécurité. PEBKAC.

PEBKAC #8245 proposé par MrNumer0 le 30/07/2013 | 24 commentaires | 👍🏽 👎🏽 +105

Pas terrible... Serait-ce GitHub ? C'est un réseau social, mais je ne veux pas le critiquer ici, je l'aime beaucoup.

Commentaire #104343 écrit par Louis Bettens le 30/07/2013 à 08h52 | 👍🏽 👎🏽

Aujourd'hui, mon petit frêre a voulu se connecter depuis mon téléphone sur le site mobile d'un réseau social très connu.

Sans préjuger du petit frère, je pense que s'il passait sur github, et que c'était ce site qui était en cause, il aurait aussi la surprise de voir son mot de passe en clair. Et en plus je ne crois pas qu'ils aient une application mobile.

Commentaire #104351 écrit par ygnobl le 30/07/2013 à 09h10 | 👍🏽 👎🏽

Pitié, Grammar Nazi, nous avons besoin de toi !
Sinon, le texte ne parle nullement d'/appli/, mais bien de /site/ mobile. Même si j'aurais moi aussi tendance à penser qu'il s'agit de Facebook, Twitter ou autre...

Commentaire #104354 écrit par apprenti_hackeur le 30/07/2013 à 09h19 | 👍🏽 👎🏽

salut,
on en a déjà causer ici, le fait qu'un mot de passe s'affiche en clair lors de sa saisie n'est pas forcément une erreur, ça peut en être une, mais il y a un contexte qui permet de penser que cet affichage est souvent plus utile qu'indiscret.
@+

Commentaire #104369 écrit par co2 le 30/07/2013 à 09h52 | 👍🏽 👎🏽

Oui le site Facebook Mobile propose bien de taper son mot de passe en clair si tu t'es gouré la 1ère fois. it's not a bug, it's a feature

Commentaire #104370 écrit par fraggy le 30/07/2013 à 09h52 | 👍🏽 👎🏽

Et car il est affiché en clair, il doit bien évidemment être envoyé en clair ... Ho wait ! NOP.

Commentaire #104372 écrit par TBoy le 30/07/2013 à 10h04 | 👍🏽 👎🏽

L'affichage en clair d'un mdp sans prévenir est juste scandaleux.
Tu t'imagine ta carte bleu se mettre à crier ton code ?

Que tu laisse la possibilité à l'utilisateur de l'afficher me semble tout à fait utile, l'afficher par défaut est une connerie monumentale.

Commentaire #104373 écrit par blag le 30/07/2013 à 10h08 | 👍🏽 👎🏽

FB, ça m'étonne pas d'eux, comme si la sécurité des info de leur utilisateur avais la moindre importance pour eux...

Commentaire #104374 écrit par blag le 30/07/2013 à 10h09 | 👍🏽 👎🏽

Boarf, de toute façon pour une majorité c'est azerty. Pour le reste c'est poiuyt ^^

Commentaire #104379 écrit par Moot le 30/07/2013 à 10h45 | 👍🏽 👎🏽

pas obligatoirement : les points ou les étoile, c'est du clair 'masqué' (oui, je sais : vive les oxymores)
par contre, c'est la page non sécurisée qui me pose problème......

Commentaire #104380 écrit par nonolelion le 30/07/2013 à 10h48 | 👍🏽 👎🏽

C'est bien la première fois que je vois le mot frère écrit avec un accent circonflexe !

/ Fouette MrNumer0

Commentaire #104384 écrit par Grammar Nazi le 30/07/2013 à 11h00 | 👍🏽 👎🏽

Ben oui, imagine que des concurrents à eux aient accès aux infos, ils perdent 98 % de leur capitalisation boursière basée sur du vent

Commentaire #104408 écrit par Aaargh!!! le 30/07/2013 à 12h25 | 👍🏽 👎🏽

Ah, c'est toi qui programme les chevaux de troie ? Je vois que tu t'y connais beaucoup. Je vais faire un reportage TF1 sur toi. De toutes façons, si tu sais te servir d'un ordi, tu sais obligatoirement craquer tous les mots de passe, tu es un brigand, allez, zou.

Commentaire #104409 écrit par Aaargh!!! le 30/07/2013 à 12h26 | 👍🏽 👎🏽

Je me doute que tu le sais, mais je le dis pour d'autres qui passent par ici et qui débutent, au cas où : c'est juste une classe "passwd" dans le code HTML.

Commentaire #104410 écrit par Aaargh!!! le 30/07/2013 à 12h29 | 👍🏽 👎🏽

Parce qu'il faut le prononcer en bêlant : "frêêêêêêêêêêêêêêêre"

Commentaire #104428 écrit par Bourriks le 30/07/2013 à 13h09 | 👍🏽 👎🏽

Sur un mobile quand meme c'est généralement assez chiant de taper un mot de passe (un vrai) et c'est quand même dur pour qq1 de le voir donc je suis complêtement pour qu'il soit affiché en clair direct.

Commentaire #104441 écrit par aaa le 30/07/2013 à 13h31 | 👍🏽 👎🏽

« qq1 » ? Quel est ce sigle étrange, au milieu de cette phrase de champion d'apnée ?
Oh mais…

appelle le Poney Mâchonneur

Commentaire #104449 écrit par Grammar Nazi le 30/07/2013 à 13h50 | 👍🏽 👎🏽

mâchonne aaa

Commentaire #104450 écrit par Le Poney Mâchonneur le 30/07/2013 à 13h51 | 👍🏽 👎🏽

Ha oui tiens ! poiuyt ! Bonne idée ! J'essayerai d'y penser quand je changerai de mot de passe (si je trouve comment faire) !

Commentaire #104455 écrit par Mme Michu le 30/07/2013 à 14h13 | 👍🏽 👎🏽

Les accents circonflexes étaient en solde ou quoi ?

Commentaire #104457 écrit par Picc le 30/07/2013 à 14h20 | 👍🏽 👎🏽

/ mâchonne Picc qui pense que "mâchonne" ne prend pas de circonflexe

Commentaire #104490 écrit par Le Poney Mâchonneur le 30/07/2013 à 17h33 | 👍🏽 👎🏽

Vade retro Poney Mâch' ! Toi, et ton haleine de câble Wi-Fi !

Je parlais des circonflexes dans frêre et complêtement.

Commentaire #104492 écrit par Picc le 30/07/2013 à 17h37 | 👍🏽 👎🏽

J'ai rapporté le truc à ce réseau bleu.
Il y a un message d'avertissement mais il n'est pas justifié.
Ça ne marche que sur mobile mais si il y a des intéressés, http://goo.gl/YG8p1A

Commentaire #104555 écrit par Taiki le 30/07/2013 à 21h52 | 👍🏽 👎🏽

Ce serait pas plutôt un type="password" dans un HTML input ?

Commentaire #104569 écrit par Titi le 31/07/2013 à 02h48 | 👍🏽 👎🏽