Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

cache navigateur

0 views
Skip to first unread message

Olivier Masson

unread,
Jul 16, 2008, 8:33:36 AM7/16/08
to
Bonjour,

En testant diverses méthodes d'authentification, j'ai soudainement (ça
montre que j'avais pas réfléchi bien longtemps avant) pensé à un
problème : dans un cybercafé ou autre point d'accès internet public
(physique, pas uniquement la connexion), qq un qui se connecte, même en
https, une session courte, etc. va laisser ses identifiants sur le
navigateur.

Donc n'importe qui peut venir ensuite et exploiter ces données très
facilement, qu'elles aient été envoyées en get ou en post.

Sans parler bien sûr des keylogger et autres techniques : je pars du
principe que ce n'est pas le tenancier qui est malhonnête dans ce cas de
figure.

Alors comment se protéger au mieux de ça (pour une appli simple, pas se
balader avec un token rsa)?

En fait, est-il tout simplement possible de s'en prémunir (hormis donc
token - trop cher -, carte à puce - puisque pas de lecteur -), quitte à
avoir une identification renforcée dans cette situation ?

Merci.

Le Gaulois

unread,
Jul 16, 2008, 9:00:57 AM7/16/08
to
Olivier Masson a écrit :

On peut paramétrer le navigateur pour ne pas mémoriser ce qui est
saisi.
L'utilisateur lorsqu'il a terminé peut utiliser la fonction
"Effacer mes traces".

Olivier Masson

unread,
Jul 16, 2008, 11:15:06 AM7/16/08
to
Le Gaulois a écrit :

> On peut paramétrer le navigateur pour ne pas mémoriser ce qui est
> saisi.
> L'utilisateur lorsqu'il a terminé peut utiliser la fonction
> "Effacer mes traces".

:) Oui bon, il faut vraiment supposer que le cyber-café est honnête alors...
Je cherche des solutions à la connexion, pas à la déconnexion (une fois
que l'info est là, elle peut être récupérée : je doute de l'efficacité
de l'effacement "effacer mes traces").

Adrien

unread,
Jul 16, 2008, 11:30:15 AM7/16/08
to
Olivier Masson a écrit :

Et si tu navigues à partir d'une clé USB, ça ne règle pas le problème?

Fabien LE LEZ

unread,
Jul 16, 2008, 11:20:48 PM7/16/08
to
On 16 Jul 2008 15:15:06 GMT, Olivier Masson <sis...@laposte.net>:

>:) Oui bon, il faut vraiment supposer que le cyber-café est honnête alors...

De toute façon, si tu veux utiliser son clavier, tu n'as pas le choix.

Olivier Masson

unread,
Jul 17, 2008, 3:28:39 AM7/17/08
to
Adrien a écrit :

>
> Et si tu navigues à partir d'une clé USB, ça ne règle pas le problème?

En partie, mais encore faut-il se balader avec une clé.
Je pense qu'il n'y a pas d'autre solution que le mot de passe à usage
unique. Reste à le mettre en place...

Pascal

unread,
Jul 17, 2008, 6:00:17 AM7/17/08
to
-------- Message original --------

pourquoi ne pas utiliser des pc en mode kiosque genre ltsp ?

Bruno S

unread,
Jul 17, 2008, 7:03:36 AM7/17/08
to
Olivier Masson a écrit :
Sans parler des logiciels espions pré-installés, nettoyer toutes les
traces de navigation avant et après l'utilisation du navigateur.
Certains cyber-café restaure un ghost après l'utilisation de chaque PC

Olivier Masson

unread,
Jul 17, 2008, 9:45:18 AM7/17/08
to
Pascal a écrit :

> pourquoi ne pas utiliser des pc en mode kiosque genre ltsp ?

Je ne suis pas un cyber-café :) Je cherche des solutions pour pouvoir
s'y rendre sans risque (hormis le mauvais café.)

Eric Razny

unread,
Jul 17, 2008, 5:32:02 PM7/17/08
to
Le Thu, 17 Jul 2008 07:28:39 +0000, Olivier Masson a écrit :

> Adrien a écrit :
>>
>> Et si tu navigues à partir d'une clé USB, ça ne règle pas le problème?

Même pas, il existe des keyloggers "physiques" :)

> En partie, mais encore faut-il se balader avec une clé.
> Je pense qu'il n'y a pas d'autre solution que le mot de passe à usage
> unique. Reste à le mettre en place...

OPIE ne marche pas trop mal et est assez simple à mettre en oeuvre (au
moins sur des machines linux) et il existe des clients (pour calculer le
password) à peut près sous tout et n'importe quoi, et en particulier les
pda et autres smartphones.

Le OTP est effectivement la seule solution qui m'a paru convenable en
partant du fait que je suis en environnement hostile pour ssh. Je risque
toujours le hijacking de ma session ouverte mais pas les rejeux.

Néanmoins attention : sur son seurveur sous ssh (par exemple) on a
naturellement tendance à se sentir en sécurité ; on tappe facilement
des couples login/password qui eux peuvent être récupéré par le
keylogger. Si ces accès concernent d'autres machines/protocoles
accessibles directement depuis le net, c'est cuit aussi :)

Eric

Olivier Masson

unread,
Jul 18, 2008, 5:17:26 AM7/18/08
to
Eric Razny a écrit :

> Le Thu, 17 Jul 2008 07:28:39 +0000, Olivier Masson a écrit :
>
>> Adrien a écrit :
>>> Et si tu navigues à partir d'une clé USB, ça ne règle pas le problème?
>
> Même pas, il existe des keyloggers "physiques" :)
>

Tu ne ramènes avec ton clavier :) (filaire bien sûr).


> OPIE ne marche pas trop mal et est assez simple à mettre en oeuvre (au
> moins sur des machines linux) et il existe des clients (pour calculer le
> password) à peut près sous tout et n'importe quoi, et en particulier les
> pda et autres smartphones.

Merci, ça pourra vraiment m'intéresser !

>
> Le OTP est effectivement la seule solution qui m'a paru convenable en
> partant du fait que je suis en environnement hostile pour ssh. Je risque
> toujours le hijacking de ma session ouverte mais pas les rejeux.
>
> Néanmoins attention : sur son seurveur sous ssh (par exemple) on a
> naturellement tendance à se sentir en sécurité ; on tappe facilement
> des couples login/password qui eux peuvent être récupéré par le
> keylogger. Si ces accès concernent d'autres machines/protocoles
> accessibles directement depuis le net, c'est cuit aussi :)
>

J'ai deux cas de figure :
- un client qui consulte sa messagerie (messages confidentiels, et ceci
dans des pays pas toujours très... sûrs) en plusieurs endroits.
- moi qui me connecte aux serveurs en ssh

Dans le premier cas, on doit conserver une certaine simplicité et
"convivialité". https (chiffrement faible interdit) et otp devrait suffire.

Dans le second, je n'ai jamais eu à aller dans un cybercafé, puisque
j'ai putty (et keypass) sur mon pdaphone (bon, je m'amuserai pas à faire
5 heures de config sur l'écran en 300x240 :)).
Mais au cas où, l'authentification pour ssh se fait par certificat (rsa
1k) + mot de passe (> 12 signes). Je pense que c'est suffisant (je ne
gère pas les serveurs de la Banque de France). Je ne sais pas si
tunneler ça aurait un grand intérêt (hormis, peut-être, de contourner
les problèmes de port chez McDonalds :)).
Si je dois me connecter par interface web (regarder des graphs,
consulter des mails...), je suis en https + mdp apache en md5 (auth
digest). Mais là, pour le coup, surement pas dans un cyber-café !

Olivier Masson

unread,
Jul 18, 2008, 5:24:02 AM7/18/08
to
Olivier Masson a écrit :

>> OPIE ne marche pas trop mal et est assez simple à mettre en oeuvre (au
>> moins sur des machines linux) et il existe des clients (pour calculer le
>> password) à peut près sous tout et n'importe quoi, et en particulier les
>> pda et autres smartphones.
>
> Merci, ça pourra vraiment m'intéresser !
>

C'est surtout un truc (groupware ? framework ?) pour pda, non ?

Eric Masson

unread,
Jul 18, 2008, 5:50:25 AM7/18/08
to
Olivier Masson <sis...@laposte.net> writes:

'Lut,

> C'est surtout un truc (groupware ? framework ?) pour pda, non ?

Pas vraiment non :
http://www.inner.net/opie

--
RM : (Lance ResEdit ou Resorcerer ...)
PC : C'est fini tout ça, ils écrivent leurs trucs en binaire chinois
recompilé en martien.
-+- PC in Guide du Macounet Pervers : ResEdit a marche pu -+-

Olivier Masson

unread,
Jul 18, 2008, 4:00:45 PM7/18/08
to
Eric Masson a écrit :

> Pas vraiment non :
> http://www.inner.net/opie
>

http://opie.handhelds.org/cgi-bin/moin.cgi/
Et ce opie à un module permettant le otp, si on en croit les lib
présentes dans le package debian :)
Merci pour le lien.
Et du coup j'ai découvert l'autre opie qui est intéressant.

0 new messages