En quoi c'est une énorme faille que de savoir que le compte kevin_trololol_du_93 existe sur ce serveur ?

Bah, dans le cadre d'un couple login / mot de passe nécessaire pour se connecter, connaitre le login revient à connaître 50% des informations nécessaires pour se connecter sur le compte de quelqu'un d'autre.

Ce n'est pas énorme, mais ce n'est pas rien non plus.

Hum, je n'ai pas bien compris cette histoire de caractères rouges. Captain ?

Certains sites, lorsqu'ils te refusent l'accès, te pré-remplissent le champ login avec le login que tu viens de saisir.

D'après ce que je comprends, dans le cas présent, le login est écrit en rouge lorsque le login n'existe pas dans la base.

Je suis l'avis de Link.
J'ajouterai que si c'est le webmail de l'école, il s'agit d'un service interne de messagerie. Les comptes ont alors très probablement le même formalisme (genre prenom.nom ou p.nom etc...). Par conséquent, si on connaît l'individu, on connaît alors son login. Le champ en rouge a alors une utilité : se rendre compte d'une erreur de frappe immédiatement.

Donc ceci ne permet pas de connaître les logins existants, seulement ceux qui n'existent pas, exact ?
Il faut avoir de la chance pour en obtenir un.

Tu as peut être 50% des informations, mais ce n'est pas pour autant que tu as fait 50% du travail.
Tu peux trouver l'identifiant avec une bruteforce par dictionnaire de nom/prénoms. En essayant par exemple 1 million de combinaisons, tu en auras un paquet de valides.

Une fois que tu connais un identifiant, tu vas à nouveau faire une bruteforce, cette fois avec des possibilités infiniment plus étendues.

En considérant qu'il n'y ait aucune limitation des requêtes, et que tu trouves finalement le mot de passe du compte madeleine.michu, tu peux faire quoi ? C'est un webmail de lycée, donc dans le meilleur des cas, tu pourras récupérer son dernier devoir de math, ou ses cours d'histoire-géo. Et si t'es vraiment un vilain hacker, tu pourras changer son mot de passe. Faut vraiment avoir du temps à perdre…

Meuh non voyons, toutes les photos et vidéos sexy que la jeune et dévergondée Madelaine envoyait à son petit copain :o
Accéder à une boîte email privée n'est JAMAIS une bonne idée.

Elle le fera avec son adresse msn ou facebook, pas avec celle de son lycée.

Heu c'est un serveur mail je vous rappelle qu'il te répond quand le mail n'est pas attribué.
Si le login est le préfixe du mail ...

Puis en même temps ce n'est que le serveur mail d'un lycée...
Qui voudrait le pirater à part les lycéens ?

Si on trouve des gens capables de surfer sur des sites porno ET d'en stocker sur le pc de boulot ... plus rien n'est impossible.

Depuis quant un login est secret?
Ou alors TOUT les sites/programmes qui demandent un login+mot de passe sont des PEBKAC, vu que seul la saisie du champ mdp est masqué.
Et les sites genre forums sont des még-PEBKAC, vu que le login est carrément affiché dès qu'un utilisateur met un commentaire.

<ironie>Heureusement, vous ne devinerez jamais mon login de pebkac.fr.</ironie>

"Depuis quant un login est secret?"

Sur pas mal de MMO par exemple, c'est le cas. Le compte de jeu sert également à se connecter sur un forum lié au jeu, et à l'inscription, il est demandé d'entrer un pseudo qui sera public et un login qui ne sera connu que du détenteur du compte, et la plupart du temps, il est obligatoire que le pseudo et le login soient différents.

Voilà. Et mine de rien, ça aide pas mal à lutter contre les hacks de compte, cette petite manip.

J'ai plutôt l'impression qu'il n'affiche en rouge que les caractères erronés. Du coup c'est possible.

Heu... Shirluban ?

S'enfuit, mais se fait mâchonner par le Poney !

si j'ai bien relu le PEBKAC, seulement les caractères du login posant problèmes sont en rouge : les autres sont en noir.... je crois que c'est là le soucis.

La page de connexion aurait été codée par l'équipe de Motus ?

Le problème c'est que sur les MMO il est plus facile de phisher que de hacker les comptes...

C'est pas vraiment un lycée, c'est plutôt une école d'ingé qui utilise le même webmail que d'autres écoles rattachées à une même université. Donc un peu plus gros qu'un lycée.

D'ailleurs je crois que ce webmail t'es aussi familier si j'en crois ton pebkac #5791

ah désolé, :%s/lycée/école/g et :%s/lycéen/étudiants/g
J'étais resté dans les précédent pebkac ;)

Si c'est la même université que moi, ce webmail m'a craché un 403 pendant bien 10 mois ;)
Puis, cette université dipose d'un annuaire donnant les login donc ...

Sauf que le couple identifiant/mot de passe est rattaché à la plupart des services administratifs de l'école, dont les accès à l'intranet et aux informations personnelles, rendus de certains devoirs... Dans tous les cas je préférerais éviter de laisser ces informations à quelqu'un d'autre.

Bon j'avoue avoir été un peu trop dramatique en rédigeant ce pebkac.

Link et val ont raison dans le fond, l'identifiant n'est pas difficile à trouver si on connaît la nomenclature des identifiants et le nom de la personne dont on veut accéder au compte. Encore faut-il connaître la nomenclature, elle n'est pas si facile à trouver pour un externe, c'est pas le classique nom.prénom, même si c'est pas beaucoup plus compliqué. Et puis il reste encore à trouver le mot de passe, mais ce n'est pas l'objet du pebkac.

Ce que je critiquais surtout, mais que je n'ai pas vraiment précisé, c'est que ce fonctionnement était soit une erreur, soit franchement mal pensé parce que le message d'erreur était un habituel "votre couple identifiant/mot de passe n'ont pas permis de vous identifier". Pourquoi cacher le fait que l'erreur concerne le login tout en colorant le champ login en rouge ?

@Noname en fait non, c'est bien la version de Androc.

@mini ça suffit au moins de savoir que le login que l'on essaie de cracker n'est pas un faux.
Et puis, on pourrait très bien imaginer un script qui teste la couleur des caractères afin de tester tous les identifiants par bruteforce. Comment ça, je fais mon parano ?

nope, c'est le login entier qui est rouge.

Je viens d'expliquer tout ça un peu plus haut.

J'ajoute aussi que depuis les changements importants dans l'université dont on dépend, on se connecte depuis un nouveau portail à peu près similaire à l'ancien, et ce problème (ou cette fonctionnalité selon les interprétations) n'y est plus présent. Ce qui appuie ma version.

Les best-practices de sécurité sont de donner un minimum d'information sur l'existence ou non d'un utilisateur. Certes tous les sites n'ont pas besoin de respecter les best-practices à la lettre car les besoins de sécurité ne sont pas partout pareils, mais ceux qui pensent faire les malins en disant que ca ne sert à rien feraient sans doute bien de se renseigner...