<(we)Blog\Flyounet.net>

Calendrier

« Mai 2004 »
lun mar mer jeu ven sam dim
12
3456789
10111213141516
17181920212223
24252627282930
31

Par Flyounet, le 09/05/2004 à 23:45:30

Vendredi, je ne foutais rien de ma journée (normal, j'avais un mariage dans l'après midi), j'ai donc consulté mes stats (générées par ma petite classe PHP MyCPT) et je suis tombé sur une URL provenant du WebMail (insécurisé) de Free.fr.

J'ai donc décidé de voir ce qui se trouvait à cette URL. Grand bien m'en fasse, si l'on peut dire. Je suis tombé sur le compte email d'une amie (venue sur mon site après clique sur un lien issu d'un mail).
Le référent contient en paramètre un numéro de session, chose plutôt normale. Cependant, étant allé sur le compte moins de 10 minutes après le passage de mon amie, je suppose que la session n'a pas été purgée.
En tout cas, la moindre des sécurité aurait été de me demander de m'authentifier.
Depuis vendredi, je n'ai aucune réponse de la part des gens de Free.fr.
Si quelqu'un a une réponse concernant Free ou Imp, genre Zboubi qui l'utilise tout le temps, je suis preneur.

Edit : Des informations complémentaires peuvent être trouvées sur le billet Insécurité sur le WebMail de Free.fr sur le site DLFP.

Edit : Un lecteur a créé un fil de discussion sur le newsgroup proxad.free.support (accessible aussi via le web).

vu: 7490x - Geek Attitude - Commentaire(s): 21

Commentaire : #1

Par zboubi, le 10/05/2004 à 00:21:36

Gravatar de zboubi Ouais j'ai déja vu la meme chose dans mes logs... En fait on peut configurer Horde (et donc IMP, qui est un sous-produit) de plusieurs facons pour le passage d'identification. Free a effectivement choisi de passer l'info dans l'URL parce qu'ils avaient trop de clients qui bloquaient les cookies et qui saturaient ensuite leur service technique au tel :)

Commentaire : #2

Par Flyounet, le 10/05/2004 à 00:33:59

Gravatar de Flyounet Mais ils ne peuvent pas genre stocker l'IP dans la session et si la session est différente, demander de se ré-identifier ?!

Commentaire : #3

Par Zobby, le 10/05/2004 à 00:38:15

Gravatar de Zobby Mouais, enfin c'est pas une faille de sécurité ça. N'importe quel produit basé sur une technologie web utilise les cookies de session serveur pour identifier de manière unique la personne qui s'est authentifiée (et également les personnes non identifiées = anonymous). Apres, utiliser ce cookie DANS l'URL n'est pas forcement la meilleure chose à faire parce que si un lien fait partie du web-mail (dans le cas d'IMP), le Referer contiendra le cookie serveur, et tant qu'il n'aura pas expiré, n'importe qui pourra y accéder.

Après, ce qu'on peut rajouter a IMP c'est de checker en plus l'adresse IP du mec. Genre, associer l'IP avec le Cookie Serveur, et vérifier ça pour chaque accès. Ce qui est lourd, mais un peu plus sécure.

M'enfin le truc, c'est de ne jamais cliquer sur les URL depuis un web-mail. Et même, dans le cas de Free, c'est tellement plus simple de récupérer les mails en POP3 plutôt que de les regarder depuis le webmail...

Enfin tout ça pour défendre un peu Free qui n'y est absolument pour rien dans cette histoire.

Commentaire : #4

Par Flyounet, le 10/05/2004 à 00:56:46

Gravatar de Flyounet Free n'y est pour rien ?!
Bah, un peu quand même.
Pour le Pop3 plus simple que le WebMail, je regrette, mais tu n'as pas forcément le loisir de pouvoir utiliser du Pop3 partout. Puisque Pop3 est mieux que WebMail, pourquoi ne partes-tu pas de Imap qui est mieux que Pop3 ?

Commentaire : #5

Par tth, le 10/05/2004 à 07:56:02

Gravatar de tth euh, pour filtrer un peu plus, plutot que l'@ip (changeante avec les proxy) pourquoi ne pas déja vérifier que c'est le même user-agent ? comment ça, j'ai dis une bétise ?

Commentaire : #6

Par Marc, le 10/05/2004 à 08:58:40

Gravatar de Marc Attention :

si vous recevez un mail au format HTML avec une image incorporée, il est fort probable que votre clé de session s'en va toute seule dans la nature comme une grande.

je considere qu'il s'agit d'une faille majeure puisque cela ne demande aucune intervention de l'utilisateur.

Commentaire : #7

Par Flyounet, le 11/05/2004 à 17:01:12

Gravatar de Flyounet Je remercie la personne qui a fait une demande dans les news de proxad. Le fil de discussion est à l'adresse suivante : http://www.webatou.net
Pour Yaoul ( http://www.webatou.net ), non nous n'étions pas sur le même ordinateur.
Pour Mat ( http://www.webatou.net ), cela signifie-t-il que plus persone ne peut utiliser le webmail de Free ? En effet, s'il faut être déconnecté pour ne rien craindre, on ne peut donc plus utiliser le WebMail.

Commentaire : #8

Par _marc_, le 30/06/2004 à 09:51:29

Gravatar de _marc_ le probleme Webmail de Free.fr n'est pas encore corrigé ! je refais une demande avec un mail en copie ...

Commentaire : #9

Par Flyounet, le 01/07/2004 à 11:26:17

Gravatar de Flyounet Une nouvelle intervention concernant ce problème peut se trouver ici : http://linuxfr.org

Commentaire : #10

Par MIMI, le 27/11/2004 à 12:15:46

Gravatar de MIMI J'ai un email chez Free reliée à un site pour une petite location saisonnière. Jusqu'à la mi-novembre 2003. J'avais un flot de demandes puis quasiment plus rien. Depuis les demandes se font rares. Se peut-il que mon courrier soit détourné ou est-ce la conjoncture. Merci de vos aides. Je patauge et je ne voudrais pas tomber dans la parano. Merci de vos réponses et de vos solutions. MIMI

Commentaire : #11

Par Flyounet, le 28/11/2004 à 23:28:39

Gravatar de Flyounet AMHA, le fait que vous receviez moins de mails n'est pas dû au problème de Free. Votre référencement peut très bien y être pour quelque chose.
Un des gros problème du webmail de Free est que quelqu'un peut consulter/envoyer des emails avec votre compte. Bien à partir de ce moment, l'utilisateur malveillant peut aussi en supprimer.

Commentaire : #12

Par mais en plus il veut nous fair, le 29/11/2004 à 09:48:47

Gravatar de mais en plus il veut nous fair Mouais mouais, tu t'auto-poses des questions ??? Tout ça pour faire croire que des gens lisent ton Blog,.... c'est petit.... Allez jusque demander à sa prorpre mère, de se faire passer pour une lectrice.. Bon ok mais elle aurait pu trouver un autre pseudo ;)

Commentaire : #13

Par Flyounet, le 29/11/2004 à 10:14:42

Gravatar de Flyounet Bah au départ, j'ai penser que c'était ma môman, mais en fait non... Elle n'est pas chez Free...

Commentaire : #14

Par angelmagalie, le 12/09/2005 à 14:45:08

Gravatar de angelmagalie Salut,
j'ai un problème avec ma webmail, après avoir entré mon pseudo et mon mot de passe, je clique sur connexion et là surprise je suis redirigée vers un site internet ... je n'arrive plus du tout à accéder à ma boîte mail. Que dois-je faire ?
Merci pour votre aide

Commentaire : #15

Par Flyounet, le 12/09/2005 à 16:23:11

Gravatar de Flyounet Changer de fournisseur ? Ou contacter la hotline ?

Commentaire : #16

Par Guillaume, le 17/11/2005 à 12:24:24

Gravatar de Guillaume Bon, je suis d'accord qu'il s'agit d'un problème *grave* de sécurité. Après, il y a des moyens de lutter contre: utiliser un vrai navigateur internet.
En effet, la faille vient ici du navigateur qui envoie le "referrer": il ne devrait pas.
Cf about:config referer => 0 dans firefox
Links ne renvoie pas de referer par défaut... links, plus sécurisé que firefox et consors?

Vous pouvez également
- Désactiver l'affichage du html dans les prefs
- Ne pas cliquer sur les liens
- Cliquer déconnecter en sortant

Commentaire : #17

Par Flyounet, le 17/11/2005 à 13:51:22

Gravatar de Flyounet Cerla n'enlève rien au fait que Free ne gère pas correctement son IMP.

Le trou de sécurité n'a pas à être corrigé par le client, mais par le serveur. Un point c'est tout.

Déposez votre commentaires

Les propos tenus dans ces commentaires appartiennent à leur propriétaire.


Le code HTML dans le commentaire sera affiché comme du texte, les adresses internet seront converties automatiquement.

Votre commentaire ne sera validé que si vous répondez à la question suivante :

Firefox (Take Back the Web) :

Le bon choix

Rediscover the Web

Rechercher (sur Google)

Ma vie en images

Aller à la galerie de Flyounet

Colophon

© 2003-2008, Flyounet.

Nombre de billets : 416

Nombre de commentaires : 1363

Ce site respecte les standards :

Stats (ce site/cette page) Visites : 1595528/10705 | Pages vues : 4229288/11888 | Visiteur(s) : 2/1
Temps de génération de la page XHTML : 2.787750005722s | SQL : 0.1987030506134s avec 14 requêtes
Hébergement: Dreamhost. Navigateur: Mozilla/FireFox. Voisins: GeoURL/MultiMap.
Vous touchez le fond !Aller en haut de la page.