Problème sécurité: Ne donnez pas vos URL de l'AppleStore!

[TNK]

Bonjour

j'ai à plusieurs reprises vu des visiteurs Macgé donner des url sur l'Apple Store alors qu'ils se sont indentifiés.

Or l'authentification semble exister uniquement dans le format de l'url

Pour vous en convaincre, faites le test suivant:

- authentifiez vous sur l'apple store et accéder à une page "privée" (suivi de commande par exemple)
- copier l'url dans un fichier que vous déposez dans le dossier public d'un autre utilisateur (ou mailez là à un autre utilisateur)
- connectez vous sous le compte de cet utilisateur, cliquez sur l'url... vous êtes authentifié...

(plus simple, changer simplement de navigateur, et faite le copier coller, c'est déjà pas normal, le test avec changement d'utilisateur prouve la dangerosité de cette identification)


C'est à mon avis un problème de sécurité auquel Apple devrait rémédier très rapidement.

Je trouve cela assez hallucinant de faire une authentification juste par le contenu de l'url C'est de la programmation quick and dirty :mad:

 

[CharlesX]

N'est elle pas combiné à l'IP ?

J'ai souvent cliqué sur des liens donnés sur les forums sans pour autant me faire accepter par le site d'Apple.
C'est d'ailleurs un peu chiant car il faut rechercher directement la page désirée.

 

[Dark Templar]

Ouais, bon, les sessions sur l'applestore expirent assez vite ce qui fait que le lien ne fonctionne pas longtemps (c'est surtout pour ç qu'on demande de ne pas mettre de lien vers l'AppleStore).
Dis toi que l'URL sur l'AppleStore c'est comme un login et un mot de passe : si tu la file à tout le monde c'est pas très malin, sauf que l'URL sur l'AppleStore arrête de fonctionner après quelques dizaines de minutes.

 

[TNK]

N'est elle pas combiné à l'IP ?

Qu'est ce que cela change au niveau sécurité? Sur un réseau local, il peut y avoir des dizaines de machines qui partagent la même adresse IP vers Internet....

 

[TNK]

Ouais, bon, les sessions sur l'applestore expirent assez vite ce qui fait que le lien ne fonctionne pas longtemps (c'est surtout pour ç qu'on demande de ne pas mettre de lien vers l'AppleStore).
Dis toi que l'URL sur l'AppleStore c'est comme un login et un mot de passe : si tu la file à tout le monde c'est pas très malin, sauf que l'URL sur l'AppleStore arrête de fonctionner après quelques dizaines de minutes.

Effectivement, je suis un utilisateur Mac, donc pas très "malin" et je sais qu'il ne faut pas donner son login/password à n'importe qui/quoi, mais comme je ne suis vraiment pas très malin, je copie des url dans la barre de mon navigateur pour indiquer des pages intéressantes à mes amis.

Pas très malin de copier une URL??? c'est "comme un login mot de passe"???? SBOING!! Lis-tu le canard enchainé? ils ont une ruibrique sur les avions supersoniques..

Je suis le premier à encenser/respecter la qualité et l'innovation d'Apple.

Mais développer un site web sécurisé, avec une politique de confidentialité sur les données privées enregistrées, doit être fait en respectant un certain nombre de principes très élémentaires d'authentification. http://www.apple.com/fr/legal/privacy/ :
"Soucieuse de préserver votre vie privée, Apple met tout en ½uvre pour protéger la confidentialité de vos informations personnelles"

A la moindre plainte sur ce sujet, Apple peut avoir des soucis. Parce qu'en temps que professionnels du logiciels, ils n 'ont pas "mis tout en oeuvre" pour protéger les données provées de leurs clients.

Un simple cookie à vie brève est déjà plus sécurisé si l'on ne veut faire que du "client side authentification", du "server-side" serait quand même un peu plus sérieux de la part d'une entreprise qui développe OSX....
[TROLL ON]Ah, pardon, c'est BSD qui s'occupe de la sécurité[TROLL OFF]

 

[agone]

D'un autre côté ce n'est pas Apple qui diffuse des URLs sur le forum, c'est au client de ne pas faire n'importe quoi.

 

[TNK]

D'un autre côté ce n'est pas Apple qui diffuse des URLs sur le forum, c'est au client de ne pas faire n'importe quoi.

D'une certaine manière, oui, tu as raison.
Donner son login/password serait effectivement de l'entière responsabilité de l'utilisateur et strictement rien ne pourrait être reproché au responsable d'un site web.

Par contre transmettre une authentification par un copier/coller d'une url, cela s'appelle une faille de sécurité.

Ce que je mets donc en avant c'est que:

1/ Copier/coller une adresse depuis son navigateur n'est pas un acte qui soit "unsecure" en soi. Essaie de faire ce genre de chose avec de très nombreux (tous?) sites sécurisés (banque, achat en ligne, les forums de macgé!!, etc), Cela ne fonctionne pas. Par ailleurs, contrairement à l'avertissement sur les login/password, aucun avertissement n'est donné à l'utilisateur sur cette "fonctionnalité"

2/ Apple est un professionnel du logiciel, et le niveau de confidentialité de son site web est en dessous, et de très loin, de l'état de l'art de la sécurisation des données protégées et privées d'un site.

3/ En tant que professionnel, Apple ne met pas "tout en oeuvre pour protéger la confidentialité" des informations personnelles de ses clients, contrairement à l'engagement pris par Apple ici http://www.apple.com/fr/legal/privacy/

4/ Apple est titulaire d'une licence "TRUSTe Privacy Program https://www.truste.org/ivalidate.php?url=www.apple.com&lang=fr et je suis stupéfait que l'audit qui a du avoir lieu pour obtenir cette licence n'ait pas détecté cette faiblesse. Puisque cet audit a nécessairement posé la question: "quel système d'authentification utilisez-vous?" et la réponse d'Apple aurait du mettre en lumière la faiblesse de ce système.


Que cela soit clair, je n'ai pas posté mon message initial pour "tailler un costard à Apple", mais dans l'ordre:

- prévenir les utilisateurs de MAcGé
- mettre en lumière la faiblesse du site d'Apple
- améliorer le site d'Apple par le feedback d'un utilisateur sur une faille de sécurité très peu subptile et ENAURME en terme de qualité

J'ai par ailleurs prévenu Apple de cette faille, et comme cela en est l'usage dans ce cas, longtemps AVANT de poster l'info sur Macgé.
N'ayant eu aucun retour, j'ai posté l'info.
Dans une semaine, j'écrirai à TRUSTe.

Je ne joue pas les "zorro", j'ai moi même développé des softs, qui se sont avérés avoir des trous de sécurité, j'ai bien été content que l'on me prévienne, et qu'on me laisse le temps de corriger pour sortir une version corrigée.
La confidentialité des données privées données sur un site d'achat est un sujet extrêmement sérieux et sensible aux USA, en Europe cela commence...
Si Apple se prend des plaintes à ce sujet (et vous savez à quelle vitesse les plaintes sont déposées aux USA), il risque:
- fermeture temporaire du site
- des amendes en faveur de toutes les personnes qui porteraient plainte
- des amendes pour publicité mensongère
- une image de merde pour les logiciels qu'il développe, notamment OSX.

 

[agone]

Je comprends bien; en reformulant, on peut dire que ce manque de sécurité peut nuire à un internaute novice qui diffuserait naïvement l'URL d'un produit sur l'apple store en s'étant loggé.


Si tu veux prévenir Apple, je te conseille de passer aussi par Apple Computer international, ils sont à mon sens plus compétents qu'Apple France.

 

[TNK]

Je comprends bien; en reformulant, on peut dire que ce manque de sécurité peut nuire à un internaute novice qui diffuserait naïvement l'URL d'un produit sur l'apple store en s'étant loggé....

Tout à fait pour "naivement" mais pas uniquement des "novices"!!

scénario très simple suivant:
- authentification pour suivre une commande
- navigation sur le site
- un truc sympa dont on envoie l'url par mail à sa soeur ou un ami

et hop! 1-0

 

[Delusive]

Z'êtes sûrs de ça ??? Si oui c'est un gros gros gros newbie celui qui a codé l'authentification... :o

 

[TNK]

Et bien fait le test décrit dans le post initial!!

 

[Delusive]

Ca va ca va je vs crois . C'est un scandale :mad:

 

[Dark Templar]

Notre site est entièrement sécurisé, comme avec tout site internet, nous invitons les clients à ne pas partager les données confidentielles qui leur sont propres, cela inclut ne pas envoyer d'URL avec des détails personnels sur des forums.

Si vous avez des doutes quant à la protection de vos informations, nous vous invitons à nous contacter pour tout renseignement concernant nos produits au 00800-046-046, option 1.

Si quelqu'un est motivé pour téléphoner...

 

[quetzalk]

Bah oui j'avais remarqué ça (au boulot en plus...)... sans trop m'en offusquer car au moment de raquer ou confirmer réellement une commande il faut revalider tout un tas d'infos dont celles nécessaires au paiement.
N'empêche que ça fait bizarre et que n'importe quel webmail ou forum fait mieux sur ce plan... :rolleyes: