CONNEXION
  • RetourJeux
    • Tests
    • Soluces
    • Previews
    • Sorties
    • Hit Parade
    • Les + populaires
    • Les + attendus
    • Tous les Jeux
  • RetourActu
    • Culture Geek
    • Astuces
    • Réalité Virtuelle
    • Rétrogaming
    • Toutes les actus
  • RetourHigh-Tech
    • Actus JVTECH
    • Bons plans
    • Tutoriels
    • Tests produits High-Tech
    • Guides d'achat High-Tech
    • JVTECH
  • RetourVidéos
    • A la une
    • Gaming Live
    • Vidéos Tests
    • Vidéos Previews
    • Gameplay
    • Trailers
    • Chroniques
    • Replay Web TV
    • Toutes les vidéos
  • RetourForums
    • Hardware PC
    • PS5
    • Switch
    • Xbox Series
    • Overwatch 2
    • FUT 23
    • League of Legends
    • Genshin Impact
    • Tous les Forums
  • PC
  • PS5
  • Xbox Series
  • PS4
  • One
  • Switch
  • Wii U
  • iOS
  • Android
  • MMO
  • RPG
  • FPS
En ce moment Genshin Impact Valhalla Breath of the wild Animal Crossing GTA 5 Red dead 2
Etoile Abonnement RSS

Sujet : JVC et la sécurité, parlons-en

DébutPage précedente
1234
Page suivanteFin
PageNoire PageNoire
MP
Niveau 8
22 juin 2013 à 22:35:28

« nope, quand le(s) domaine(s) est(sont) spécifié dans crossdomain.xml ça veux dire que le ou les opérateur(s) de ce(s) domaine(s) peuvent obtenir n'importe quel fichier du domaine ou est crossdomain.xml
présentement il y as deux domaines sur le crossdomain.xml de JVC *.jeuxvideo.com et *.facebook.com ça veux dire que si un type est root sur l'un ou l'autre il peut récupérer n'importe quel fichier/documents sur jeuxvideo.com »

:d) Ouais mais pas de contenu rendu spécifique à l'utilisateur grâce aux cookies donc peu d'intérêt, sachant que le crossdomain se trouvera sur blog.jvc et pas sur le serveur où tu hébergeras le SWF.

«et LFI = mettre un fichier sur le serveur donc ce n'est pas directement pour uploader/supprimer/telecharger/editer mais ça peut être fait en uploadant un shell »

:d) LFI = Locale File Inclusion
Inclusion = lire un fichier, pas mettre

PageNoire PageNoire
MP
Niveau 8
22 juin 2013 à 22:36:11
  • le crossdomain se trouvera sur JVC
Jappleack Jappleack
MP
Niveau 6
22 juin 2013 à 22:38:45

"mais pas de contenu rendu spécifique à l'utilisateur" ça suffis pour lire une base de donnée je suppose :o))

et excuse moi de ma méprise pour le LFI :desole:

PageNoire PageNoire
MP
Niveau 8
22 juin 2013 à 22:39:14

« ça suffis pour lire une base de donnée je suppose :o)) »

:d) Pas du tout, ce genre de faille reste côté client. :non:

Pseudo supprimé
Niveau 10
23 juin 2013 à 01:03:38

Il y a encore du xss persistant sur jvc? :( Ça m'étonne ça. :noel:

Alysrazor Alysrazor
MP
Niveau 58
23 juin 2013 à 01:13:30

Les 12 caractères, c'est une limite qui parait superflue, mais enfaite c'est lié à l'encodage, si c'était hashé on pourrait mettre autant de caractères qu'on le voudrait :noel:

Pour ce qui est de l'encodage d'ailleurs je suis d'accord, à part faire gagner 30 secondes lors de la récup du mot de passe, c'est pas très utile. Un hashage ferait de mal à personne.

| Ecrit par « LaPellePCiste », via mobile 23 juin 2013 à 01:03:38
| « Il y a encore du xss persistant sur jvc? :( Ça m'étonne ça. :noel: »

N'importe quelle faille peut être persistante sur un site aussi gros que JVC :ok:

Surtout ça peut venir avec les ajouts. Rappel toi les forums JV, lié à la BDD JVC.
Sam avait eu la brillante idée d'utiliser le module de connexion défaillant de ceux-ci pour se connecter sur n'importe quel pseudo sur JVC, donc :(

C'est un exemple comme un autre :p)

PikMan PikMan
MP
Niveau 36
23 juin 2013 à 01:29:07

Je poste simplement pour dire que y a un mec qui a linké xkcd, et que résultat, c'est un mec carrément cool. Sinon honnêtement, je m'en branle sévèrement. J'ai un mdp style UjKo2Zzv4, donc imo c'est pas 5 caractères de plus qui vont faire la différence. Ca fait toujours chier de s'faire hack, mais bon, c'est pas la mort non plus quoi. Le hackeur qui arriverait à prendre tous les mdp du site n'est pas encore arrivé, et si il se pointe, j'aurais bien plus envie de le féliciter que de m'inquiéter pour le reste. x)

Ski Ski
MP
Niveau 10
23 juin 2013 à 01:34:01

| https://www.jeuxvideo.com/forums/1-1000021-1811996-1-0-1-0-jvc-et-la-securite-parlons-en.htm#message_1812015
| Citation de PapaHet, 22 juin 2013 à 18:18:29
| « "Déjà, les mots de passe sont limités à 12 caractères"
|
|
| C'est largement suffisant, avec un vrai bon mot de passe. :o)) »

C'est clair.

Que le mot de passe soit: 29HGhzgaiAYT47JgakGAjg ou 19GhaHgj2G4 c'est la même.

PageNoire PageNoire
MP
Niveau 8
23 juin 2013 à 01:45:40

« N'importe quelle faille peut être persistante sur un site aussi gros que JVC :ok: »

:d) Tu n'as pas compris ce qu'est une XSS persistante toi.

« Sam avait eu la brillante idée d'utiliser le module de connexion défaillant de ceux-ci pour se connecter sur n'importe quel pseudo sur JVC, donc :( »

:d) Non, ce n'était pas Sam :(

Alysrazor Alysrazor
MP
Niveau 58
23 juin 2013 à 02:28:29

Pardon pour la faille j'ai mal fait le lien, mais oui je pense qu'une faille XSS persistante n'est pas impossible. Bien que pour l'heure, c'est pas ça qui menace le plus les mdps non-hashés :(

Pour Sam honnêtement, c'est le seul qui revendique tout donc dur à savoir :noel:

PageNoire PageNoire
MP
Niveau 8
23 juin 2013 à 02:29:07

Sam c'est moi et je ne revendique pas la faille du module de connexion des ForumJV.

Bloshock2 Bloshock2
MP
Niveau 10
23 juin 2013 à 02:55:25

oui 15 carractére c'est faible pour un mots de passe , quand je pense que le passe de mon steam a + de 30 caractére :noel:

Pseudo supprimé
Niveau 57
23 juin 2013 à 03:54:55

Faut les hashés et vite :( Meme facebook qui emploie des ingénieur d'un autre niveau que jvc a des failles https://www.google.com/news?ncl=dTyS4Ix-sbEOEaMy6FmcIcyw0DpIM&q=facebook&lr=French&hl=fr ...

Pseudo supprimé
Niveau 10
23 juin 2013 à 05:14:51

Perso ça me rappel une petite anecdote tout ça :hap:

Il y a quelques temps maintenant, un youtubeur plutôt connu ( voir même très :hap: ) s'était venté qu'il avait prit toutes les mesures possible et inimaginable pour se protéger du hack.

Au final, le lendemain j'était sur son compte :hap:

Pseudo supprimé
Niveau 10
23 juin 2013 à 05:23:59

Ps : pour ceux qui ne comprendraient pas le rapport avec le sujet, c'est juste qu'on peut prendre toute les précautions au monde, si quelqu'un d'expérimenté ( très selon les cas :hap: ) veut vous hacker, il réussira.

La preuve en est avec le pentagone qui a été récemment piraté :hap:

PageNoire PageNoire
MP
Niveau 8
23 juin 2013 à 05:24:49

« si quelqu'un d'expérimenté ( très selon les cas :hap: ) veut vous hacker, il réussira. »

:d) Non. Il faut qu'il y ait une faille et mathématiquement il n'y aura pas toujours une faille.

Pseudo supprimé
Niveau 10
23 juin 2013 à 05:34:10

PageNoire
Posté le 23 juin 2013 à 05:24:49
« si quelqu'un d'expérimenté ( très selon les cas ) veut vous hacker, il réussira. »

Non. Il faut qu'il y ait une faille et mathématiquement il n'y aura pas toujours une faille.

:d) Il y aura toujours une fail. Si le pentagone, l'armée américaine et la Nasa arrive à se faire pirater, c'est pas un simple site Français de jeux vidéos qui y échappera.

PageNoire PageNoire
MP
Niveau 8
23 juin 2013 à 05:35:24

:d) Techniquement c'est faux.

Pseudo supprimé
Niveau 10
23 juin 2013 à 05:38:13

Techniquement c'est faux, mais en réalité c'est vrai.

PageNoire PageNoire
MP
Niveau 8
23 juin 2013 à 05:38:45

En réalité c'est faux parce qu'en réalité il se peut que toutes les failles laissées aient été corrigées.

DébutPage précedente
Page suivanteFin
Répondre
Prévisu
?
Victime de harcèlement en ligne : comment réagir ?
La vidéo du moment