Faille site viadeo non securisé

Statut
N'est pas ouverte pour d'autres réponses.

atz91

Nouveau membre
je viens de faire l'expérience chez moi avec l'ordinateur portable de ma conjointe. Je me logue sur son ordinateur sur viadeo normalement et je met ma page "tableau de bord" dans un favori (windows vista et internet explorer utilisé). J'éteins l'ordinateur de ma conjointe sans avoir fait de déconnexion complète de viadeo.
Ensuite je me logue sur mon ordinateur personnel (windows xp et mozilla) et me logue sur viadeo normalement. Je vais dans la rubrique pour changer mon mot de passe. l'opération est enregistrée avec succes. J'arrête mon ordinateur personnel.
Je reviens sur l'ordinateur de ma conjointe pour l'allumer. j'ouvre internet sur google par exemple. je clique sur mon favori precedemment enregistré et SURPRISE, j'ai accès à ma boite de réception et peux ouvrir mes messages.

viadeo dit gérer l'anonymat avec une déconnexion incomplète. MAis le problème, c'est que si personne ne fait pas de déconnexion complète, peut lire les correspondances mail

connaissez vous l'origine de ce bug?
 

g225

Expert
Il faut toujours effacer les cookies quand on fini une session. Prendre Ccleaner.

Si jamais vous réussissez encore à vous connectez le site n'est pas sécuritaire de la façon qu'il est côdé.
 

atz91

Nouveau membre
c'est qd même dingue qu'un petit cookies puisse permettre de passer sur le site sans qu'il y ait besoin de mot de passe à jour. l'équipe support de viadeo ne s'en inquiète pas plus que ça
 

atz91

Nouveau membre
pas moyen de savoir pour la durée du cookie. Mais en effet, plus de cookie= plus de pb. J'ai demandé à viadeo qui dit de supprimer les cookie mais ne répond pas sur sa durée de vie. bref, je reste convaincu maintenant qu'un mot de passe n'est pas une protection
 

atz91

Nouveau membre
la nouvelle version de viadeo vient de sortir depuis quelques jour. Ce que je disais précedemment ne marche plus. Le site à du faire le necessaire. Maintenant, la demande de login apparait directement même par un passage dans les favoris
 

atz91

Nouveau membre
je me suis emballé, le problème existe toujours. j'avais fait le ménage avec spybot et ccleaner pour les cookies
 
M

Membre supprimé 1

Invité
Bonjour,


J'ai changer de messagerie et oublié mot de passe viadeo, est-ce qu'il existe un systéme pour rentrer dans viadeo en passant outre le mot de passe?
Merci de votre aide
 
M

Membre supprimé 1

Invité
Session Hijacking ou HTTP fixation cherche sur google, plus que 80% des site web souffre de ces deux vulnérabilité, je présume que le securityToken ou la methode d'analyse des requetes exercé par viadeo, ne tien pas en compte de lié charque session à un ou deux truc unique de chaque visiteur sa veu dir :
- quand tu te log il faut 1 que le choi de la session ID change, 2 que le securityToken soit completement aléatoir et que C est le serveur qui le file non l utilisateur avec son browser!. Donc une foi que kelk 1 et logger Session ID ou securityToken (je connai pa viadeo j'ai juste navigué deux ou 4 fois , alors normalement s ils sont sensiblisé par la sécurité des utilisateur il doivent utilisé Cette méthode "SessionID and securityTokens" s il utilise alors ils l'ont male employé ) - l'idée C ke les sessionID et SecurityToken doivent etre délivré et lié à l'IP ou/et useragent de l'utilisateur.

Autre chose ils sont rare les expert en sécurité alors C normale de trouvé des vulnérabilité partout !
 
M

Membre supprimé 1

Invité
atz91 : le probléme est chez viadeo !!
en plus je compter m'inscrire dessu on ma dit k il ya des chasseur de tete
 
Statut
N'est pas ouverte pour d'autres réponses.
Derniers messages publiés
Statistiques globales
Discussions
730 098
Messages
6 717 100
Membres
1 586 287
Dernier membre
lucilleguffey
Partager cette page
Haut