PEBKAC #7090

En dépannage chez une connaissance, je l'aide à réinitialiser son mot de passe sur un célèbre réseau social.
Quelle n'a pas été ma surprise lorsque j'ai vu que ledit site proposait directement la création du nouveau mot de passe, après avoir saisi son adresse e-mail...
Comment est-ce possible ? Le site avait détecté que l'on était connecté sur la messagerie (celle qui permet de recevoir les courriels site en question).

Ça a beau être pratique, on a vu mieux point de vue sécurité. PEBKAC.

PEBKAC #7090 proposé par Clapiote le 28/02/2013 | 10 commentaires | 👍🏽 👎🏽 +134

J'ai pas tout à fait compris mais il semblerait que oui, PEBKAC.

Commentaire #81287 écrit par Cartman34 le 28/02/2013 à 08h57 | 👍🏽 👎🏽

Faut admettre, c'est pas bien claire... pas du tout en faite.

Commentaire #81296 écrit par zimeau le 28/02/2013 à 09h47 | 👍🏽 👎🏽

Ce qui me gène le plus dans cette histoire, c'est l'intrusion du site en question dans tes cookie/tracker pour savoir sur quels services t'es co en temps réel...

Commentaire #81303 écrit par Renard le 28/02/2013 à 10h12 | 👍🏽 👎🏽

SSO avec un compte de messagerie chaude ? Si ça te choque il suffit de ne pas l'utiliser...

Commentaire #81308 écrit par Acorah le 28/02/2013 à 10h24 | 👍🏽 👎🏽

"Le site avait détecté que l'on était connecté sur la messagerie"
C'est pas plutôt que le lien (qui envoi vers la page de changement de password) dans l'e-mail possède des paramètres temporaires propres au changement de mot de passe sur ton compte ?

Commentaire #81310 écrit par juu le 28/02/2013 à 10h26 | 👍🏽 👎🏽

Mmm techniquement les navigateurs ne donnes pas acces aux cookies d'un autre domaine il me semble.

Commentaire #81330 écrit par aaa le 28/02/2013 à 11h28 | 👍🏽 👎🏽

J'ai juste demandé à changer de mot de passe. Seulement.
D'ailleurs, le mail est arrivé pendant le changement de mot de passe.

Sinon voilà ce qui s'est passé :
On a demandé un nouveau mot de passe et généralement, il faut attendre d'avoir reçu le mail et avoir cliqué sur le lien pour le changer.

Pas de ça ici, le site en question à dit (en gros et après avoir demandé à le réinitialiser) : nous détectons que vous êtes connecté à votre messagerie principale [NDR : celle qui reçoit le courrier de réinitialisation] . Votre mot de passe est modifiable dés maintenant.

Et effectivement, il s'agissait d'une messagerie chaude. Mais comment cela a été détecté ... cookie ?

Bref, j'ai mis ce PEBKAC parce qu'apparemment, on privilégie le coté "pratique" plutôt que la sécurité.

Commentaire #81334 écrit par Clapiote le 28/02/2013 à 11h50 | 👍🏽 👎🏽

Ah ouai quand même...
Mais j'imagine quand même que la sécurité a été inclue dans le développement de cette fonctionnalité. Quand tu vois le gros logo FB sur la page de connexion sur live.com (page redirigée depuis FB), tu te dis qu'ils ont développé le truc ensemble.
C'est aussi le principe de l'openID.

Commentaire #81338 écrit par juu le 28/02/2013 à 12h12 | 👍🏽 👎🏽

Pas cookie parce que le navigateur ne l'envoie qu'au site émetteur.
Mais ouais ils ont du faire une tambouille ensemble.

Commentaire #81348 écrit par X3N le 28/02/2013 à 13h03 | 👍🏽 👎🏽

ça peur être l'OpenId mais je pense que c'est bien le cookie de session Hotmail :
Si la page où tu es embarque une ressource hotmail, genre le même type que les boutons Like du site dont tu veux réinitialise le mot de passe, cette ressource là peut envoyer une requête spécifique au serveur Hotmail avec le cookie de session, et s'il y a un service côté serveur Facebook pour interroger le serveur Hotmail s'il a reçu la requête et que c'est OK tu as ton comportement SSO

Commentaire #81402 écrit par Sly le 28/02/2013 à 16h46 | 👍🏽 👎🏽