Déjà, les mots de passe sont limités à 12 caractères (même les pseudos sont plus longs).

Ensuite, les mots de passe ne sont toujours pas hashés en 2013, sachant que de nombreuses personnes l'ont rappelé régulièrement depuis de nombreuses années, qu'à peu près tous les sites sérieux que je connaisse le font, et que le forum le plus actif de France est hébergé ici.

Résultat : en cas de compromission du serveur, par exemple due à une faille dans le site, ou même à une faille dans un module Apache indépendant de JVC, tous les mots de passe pourraient se retrouver en clair dans la nature.

Et l'hypothèse d'une faille permettant de lire ces mots de passe n'est pas à exclure. Il paraît qu'ils sont simplement chiffrés mais c'est bidon, ça pourrait vous protéger un peu en cas d'injection SQL de base, mais en cas de faille plus grave qui permettrait d'accéder au code source du site ça ne servirait absolument à rien.

Ce genre de faille n'est pas à exclure, en effet une faille semblable à une LFI a récemment été trouvée sur JVC (même si heureusement elle ne remontait pas très haut, elle permettait quand même de lire des .htaccess), et certaines personnes qui travaillent actuellement chez JVC ne sont pas très douées en matière de sécurité, de nouvelles failles XSS sont d'ailleurs apparues en 2013 si mes souvenirs sont bons.

Vous en pensez quoi ? Ces mots de passe seront-ils enfin hashés un jour ?

yolo

J'admire ton sens de l'argumentation Caprivi.

Je pense pas. Après je ne suis pas voyant.

Etant donné que j'ai la mauvaise manie d'avoir a peu près le même mot de passe à peu près partout, ça m'enmerderait en effet que quelqu'un le chope.

Caprivi Voir le profil de Caprivi
Posté le 22 juin 2013 à 18:16:43 Avertir un administrateur
Peut-être parce qu'osef de tes sujets de nolife ?

Certains adolescents ont d'autres passions dans la vie que de booster sur leur blabla ou de regarder Secret Story, personnellement je m'intéresse à la sécurité informatique.

| https://www.jeuxvideo.com/forums/1-1000021-1811996-1-0-1-0-jvc-et-la-securite-parlons-en.htm#message_1812003
| Ecrit par « Dizaster », 22 juin 2013 à 18:15:58
| « Je ne m'y connais pas trop dans tout ce qui touche aux infrastructures informatiques, mais oui clairement, je demande des mots plus longs. Sur la plupart des autres sites, mes MDP font 25+ caractères. »

Tu te fais pas chier à les taper à chaque fois quand même ?

À moins que tu demandes à ton navigateur de les retenir.

« Peut-être parce qu'osef de tes sujets de nolife ? »

Alors pourquoi répondre, le génie ?

Caprivi c'est pas parce que tu t'en fous que c'est le cas de tout le monde abruti

Pour la longueur des mdp ouais c'est assez court
Après j'y connais rien sur la sécurité mais je pense que c'est quand même assez bien géré, sinon le site aurait déjà eu des soucis importants au vu de son rayonnement non ?

PageNoire
Posté le 22 juin 2013 à 18:17:57
Caprivi Voir le profil de Caprivi
Posté le 22 juin 2013 à 18:16:43 Avertir un administrateur
Peut-être parce qu'osef de tes sujets de nolife ?

Certains adolescents ont d'autres passions dans la vie que de booster sur leur blabla ou de regarder Secret Story, personnellement je m'intéresse à la sécurité informatique.

Tu es bien plus limité qu'eux, vu que tu te compares à eux (répétition assez moche dsl).

« C'est largement suffisant, avec un vrai bon mot de passe. »

Si ton mdp est une suite de caractères aléatoire impossible à retenir c'est largement suffisant ouais, après si tu veux un mot de passe que tu es dans la possibilité de retenir il est parfois plus prudent de mettre quelque chose d'un peu plus long.

Caprivi Voir le profil de Caprivi
Posté le 22 juin 2013 à 18:19:50 Avertir un administrateur
Tu es bien plus limité qu'eux, vu que tu te compares à eux

Pourquoi donc ?

anofire Voir le profil de anofire
Posté le 22 juin 2013 à 18:22:19 Avertir un administrateur
Cest pas à nous quil faut le dire

Ce sujet peut intéresser un peu certaines personnes autres que les employés de JVC.

Mon mdp est un mix chiffres et de lettres, que je change assez souvent...
Sur d'autres sites, j'utilise des mdp d'au-moins 15 caractères.

J'en pense que c'est pas prêt de changer
En effet, on peut constater que pour résoudre le crouch, ils ont déjà mit un bout de temps assez impressionnant, de même que certaines failles qui tournent toujours mais qui ne sont toujours pas résolues

| https://www.jeuxvideo.com/forums/1-1000021-1811996-1-0-1-0-jvc-et-la-securite-parlons-en.htm#message_1812017
| Ecrit par « MidnightClub », 22 juin 2013 à 18:18:56
| « Devil-shaman, il faut uiliser KeepassX ou similaire quand t’as bcp de mots de passe »

Ah, perso je fais juste en sorte de les retenir, même s'ils sont compliqués.

« En effet, on peut constater que pour résoudre le crouch, ils ont déjà mit un bout de temps assez impressionnant, de même que certaines failles qui tournent toujours mais qui ne sont toujours pas résolues »

Ouais mais là le problème des mdp non-hashés se pose depuis 15 ans et plusieurs personnes l'ont rappelé, alors que le crouch dans sa forme actuelle était là depuis 1 an, et entre-temps ils ont fait une petite tentative de correction mal foutue et échouée juste quelques mois après sa découverte (limitation du nombre de connexion TCP ouvertes par seconde).

Depuis que la bdd en 2008 a ete forcée, Jvc n'est plus sensible aux failles SQL

A défaut de pouvoir avoir un long et bon mot de passe sur Jivessé, je sécurise plus mes adresses-mail.

« Jvc n'est plus sensible aux failles SQL »

ils ont un patch magique qui leur permet de les protéger toutes les failles de sécurité en rapport avec leur base de données ?