18 replies to this topic

[Txon]

Salut !

 

Avez-vous déjà eu accès au PC de quelqu'un qui utilise Chrome, un ''ordinateur partagé' par exemple' ? Voulez-vous utiliser plus tard ce navigateur comme si c'était lui qui s'en servait ?

 

Dans son blog, Eliott Kember décrit comment trouver facilement les mots de passe stockés par Chrome : Chrome’s insane password security strategy.

 

Quand un usager tape un mot de passe pour voir son courrier électronique ou accéder à des réseaux sociaux, le navigateur permet de garder l'historique de navigation et ces éléments répétitifs pour une utilisation ultérieure simplifiée, plus rapide.

Cette liste de ''démarrage de session'' ne semble pas protégée. Toute personne ayant accès à l'ordinateur qui les stocke peut les trouver et accéder sans restriction aux comptes utilisés.

Selon Eliott Kember ...

« There’s no master password, no security, not even a prompt that “these passwords are visible”. »

 

Il suffit en effet d'entrer l'URL des mots de passe dans la barre d'adresse pour accéder directement au gestionnaire de mots de passe. puis retrouver une liste des sites Internet enregistrés avec leur identifiant et leur mot de passe. Celui-ci n'est que mal masqué puisqu'il suffit d'un ''clic'' pour le voir en clair.

 

Justin Schuh ''Chrome browser security tech lead'' chez Google a fait à ce sujet une remarque que certains trouveront marrante et d'autres pathétique ou même franchement ridicule selon laquelle il ne faut pas donner à l'utilisateur un faux sentiment de sécurité et encourager les comportements risqués.

« We've also been repeatedly asked why we don't just support a master password or something similar, even if we don't believe it works. We've debated it over and over again, but the conclusion we always come to is that we don't want to provide users with a false sense of security, and encourage risky behavior. We want to be very clear that when you grant someone access to your OS user account, that they can get at everything. Because in effect, that's really what they get. »

Avec ce genre d'excuse il faut craindre que Google ne soit pas disposé à modifier ce système pour le sécuriser.

 

Si vous avez sous la main Chromium ou un autre dérivé de Chrome, à vous de vérifier si cette faille s'y trouve également.

 

@+

Note : Un navigateurs comme Firefox dispose d'un dispositif de sécurité. Il est possible de préciser une clé d'administrateur qui sera demandée avant d'accéder à ce type d'information.

Voir aussi → Google Chrome policy exposes user passwords on purpose: Here's how to prevent it (Jared Newman - PC World)

[lolo32]

oui mais on a des moyens de se protéger par exemple:

https://chrome.googl...hpdiifbgh?hl=fr

 

et quelques bons conseils:

http://www.malekal.c...-google-chrome/

 

 

on peut aussi allez dans "paramètre" puis tout en bas cliquer sur   "paramètre avancer" puis dans "mots de passe et formulaires"  et cocher la case " Enable a master password"  ça crée un mot de passe général l

 

bye

[noisette]

Il faut utiliser Chromium, à la rigueur,

 

mais utiliser Chrome, ça reste pour moi une énigme, ou plutôt l'image de la personne qui creuse son trou en attendant qu'on lui dise de sauter dedans.

 

 

Ceci dit, le "bug" mentionné par Txon existe clairement sous Chromium aussi,

et les mises en conseils de Malekal sont également à mettre en place pour Chromium.

 

[Txon]

oui mais on a des moyens de se protéger par exemple:

https://chrome.googl...hpdiifbgh?hl=fr

C'est pour protéger le ''profil".

 

et quelques bons conseils:

http://www.malekal.c...-google-chrome/

Ces conseils sont valables pour Chrome, mais pas seulement. D'autres peuvent en profiter.

 

on peut aussi allez dans "paramètre" puis tout en bas cliquer sur   "paramètre avancer" puis dans "mots de passe et formulaires"  et cocher la case " Enable a master password"  ça crée un mot de passe général l

En es-tu bien certain ? Cette option fait l'objet d'une polémique depuis des mois parce qu'elle n'existe pas dans Chrome.

 

J'ai la version 28.0.1500.71 de Chrome. Elle est récente. Dans les [Paramètres avancés] -> [Mots de passe et formulaires], je ne voie pas la possibilité d'activer ou d'utiliser un ''master password'' (mot de passe principal).

Par contre, je trouve ...

 

... et même ...

... pour que les fouineurs puissent trouver non seulement l'adresse mais aussi le numéro de carte de paiement bancaire.

 

La possibilité d'utiliser un mot de passe principal existe bien dans les options de sécurité de Firefox ...

 

@+

[noisette]

Et je répète que c'est pareil avec Chromium.

[lolo32]

perso je l'ai sur comodo dragon !!  mais normalement c'est identique ?  puisque sur la même base! (chromium)

 

bye

[Txon]

Et je répète que c'est pareil avec Chromium.

Oupsssss ! Je n'avais pas vu !

Merci pour ce retour d'information.

 

Il ne reste plus qu'à se rendre dans les cybercafés et autres lieux publics d'accès à Internet pour voir si des utilisateurs de Chrome ou de Chromium n'ont pas laissé trainer des informations.

[hors sujet]Avez vous remarqué qu'on y trouve aussi des tas de choses intéressantes avec SIW ? [/hors sujet]

 

 

perso je l'ai sur comodo dragon !!  mais normalement c'est identique ?  puisque sur la même base! (chromium)

 

bye

Pas obligatoirement. Comodo Dragon se base sur Chromium lui-même un peu différent de Chrome. Chaque "fork"  a ses propres particularités.

Pour avoir du Chrome, il vaut donc mieux utiliser Comodo Dragon. Pour moi, sous Windows, Comodo Dragon n'est que le 3ème navigateur après Firefox et Opera (notez que je navigue le plus souvent sous Linux avec Firefox en gardant Opera en réserve et rien d'autre).

 

 

Il y aurait une solution pour Chrome, mais je doute que Mme Michu le sache.

Mots de passe en clair dans les navigateurs : comment s'en préserver (Vincent Herman - PC Inpact)

Par défaut, aucun navigateur n’impose un mot de passe maître, mais certains en proposent tout de même l’option. Quand rien n’est disponible, il faut se tourner vers une solution tierce. En fonction du navigateur, il pourra s’agir d’une extension, voire d’un logiciel dédié.

Dans le cas de Chrome, il n’existe pas, comme nous l’avons vu, de mot de passe maître. Il est possible cependant d’installer une extension qui mettra en place une telle fonctionnalité. Nous vous proposons ChromePW :

 

@+

[vigen]

Il faut utiliser Chromium, à la rigueur,

 

mais utiliser Chrome, ça reste pour moi une énigme, ou plutôt l'image de la personne qui creuse son trou en attendant qu'on lui dise de sauter dedans.

 

 

Ceci dit, le "bug" mentionné par Txon existe clairement sous Chromium aussi,

et les mises en conseils de Malekal sont également à mettre en place pour Chromium.

 

 

Quand les utilisateurs, comprendront, qu'un simple "clic", n'est pas si anodin...

 

https://www.youtube.com/watch?v=2onsOFWme-Q

[noisette]

Absolument. :(

En même temps, vous me connaissez, je monte vite sur mes grands chevaux, mais à côté de ça, j'utilise gmail ...

[vigen]

Oui, mais au moins, tu as conscience du danger potentiel...Et donc, tu peux éventuellement, paré a un éventuel abus, en limitant l'utilisation de l'adresse G-Mail.^^

 

Je ne sais pas si je suis "super clair" dans mes explications

[Th-Crown]

Petite question toute bête. Keypass est-il compatible avec Chrome ? Je ne l'ai pas essayé dessus, mais l'utilise tout le temps avec mon petit chouchou Firefox. Il est un bon moyen de protéger ses mots de passe.

[Txon]

Petite question toute bête. Keypass est-il compatible avec Chrome ? Je ne l'ai pas essayé dessus, mais l'utilise tout le temps avec mon petit chouchou Firefox. Il est un bon moyen de protéger ses mots de passe.

Il y a plusieurs réponses dans le Web.

Exemple 1 ...

How to integrate KeyPass and Chrome/Chromium using ChromIPass? (AskUbuntu) ... mais il faut être un linuxien masochiste pour utiliser Chrome.

Exemple 2 ...

Using Keepass with Chrome and Firefox (DroidZone)

Keepass & Keefox : Protègez vos mots de passe (Craym)

d'autres ... et peut-être (je n'ai pas tout lu)

Mettre ses mots de passe en lieu sûr (Clément Joathon - PCAstuces)

 

@+

[tristan]

Salut à tous,
Salut Big Boss,

@Txon
"Si vous avez sous la main Chromium ou un autre dérivé de Chrome, à vous de vérifier si cette faille s'y trouve également."

Ce n'est pas une faille. C'est une fonctionnalité de Chrome. Gênante, sans aucun doute.

[Txon]

@Txon
"Si vous avez sous la main Chromium ou un autre dérivé de Chrome, à vous de vérifier si cette faille s'y trouve également."
Ce n'est pas une faille. C'est une fonctionnalité de Chrome. Gênante, sans aucun doute.

Si tu veux finasser, ce n'est pas une fonctionnalité mais un manque de fonctionnalité.

Ce manque de fonctionnalité fait fonction de faille où peut s'introduire tout individu mal intentionné.

 

@+

 

[tristan]

Salut à tous,
Salut Big Boss,

Noisette me disait tantôt: "mais c'est sûr, s'entendre sur les mots, c'est utile".

Une vulnérabilité est la conséquence d'un code défectueux (erreur de programmation). Elle peut être exploitée pour effectuer des opérations non conformes (élévation des privilèges, interblocage, dépassement d'entier, injection, et cetera). Le patch est un programme qui corrige le code imparfait selon le principe: offsets - old byte - new byte.

Dans le cas de Chrome, il s'agit d'un choix de politique de la protection de la vie privée et des données individuelles.

[brandodu31]

bonjour

 

srware iron a les memes parametres pour les mots de passe , que chrome ,

 

carte bancaire compris !!

[Txon]

srware iron a les memes parametres pour les mots de passe , que chrome ,

 

carte bancaire compris !!

Merci pour ce retour d'information.

SRWareIron est donc à éviter au même titre que Chromium sur lequel il est basé et que Chrome par tous ceux qui ne sont pas absolument sûrs de leur entourage.

 

@+

[kool56]

 

mais utiliser Chrome, ça reste pour moi une énigme, ou plutôt l'image de la personne qui creuse son trou en attendant qu'on lui dise de sauter dedans.

 

 

 

+1 pour ce " trou creusé par soi-même pour y sauter dedans ensuite dès la première injonction" . Dès que Chrome est sorti, je m'en suis méfié. Trop beau pour être vrai...rapide mais bonjour la crasse laissée derrière lui.

 

Par ailleurs, je reste très dubitatif quant à ce navigateur suggéré en installation complémentaire par des gratuiciels.

 

Ceci étant, il faut bien en avoir pour tous les goûts...

[brandodu31]

est ce qu il y a des retours sur maxthon , il utilise désormais le webkit ?