Note : le pass de Mailman n'est pas une référence, car il est personnalisable (on peut désactiver la personnalisation mais peu le font). pass qui peut être réutilisé par l'utilisateur ailleurs, donc la faille est dans le "pas important" qui est un jugement qui ne prend pas en compte les usages et dont la réalité n'est pas connue : ce qu'on fait fuiter est peut-être important, tu ne sais pas)
Bon, peut-être qu'on se comprend mal. Mais de toute façon tu communique avec mailman par mail. Il faudrait être idiot pour lui envoyé un mot de passe de compte en banque, et cela indépendamment du fait qu'il soit stocké sous forme de hash coté mailman. Il va se retrouver en clair sur un tas de serveur de mail sur le chemin, dans le dossier "envoyé" de compte imap, sur ton disque dur, etc ...
Dans le cas d'une application web, c'est différent, on envoie le mot passe via un canal sûr (comme https) et il se retrouve sur le serveur uniquement en mémoire le temps de calculer le hash. Dans ce use case le mot de passe n'est normalement jamais stocké en clair dans une mémoire de masse, et tu peux garantir un certain niveau de sécurité en te basant sur le principe (souvent faux malheureusement) que ce mot de passe n'est stocké que dans le cerveau de son utilisateur.
Après, si tu veux que je te réponde au sujet de la croisade que tu mènes contre les geek barbus qui ferais mieux de s'occuper de leur barbes plutôt que de chercher des poux dans celle des autres, j'avoue que cette question ne m'intéresse pas et que je n'ai pas particulièrement d'avis pertinent à défendre sur le sujet. Cela fait quelque temps déjà que je ne joue plus personnellement au chevalier errant des internets.
Cette discussion m’intéresse uniquement car elle me parait être révélatrice d'un problème de compréhension du concept même de sécurité en tant que processus d'analyse/réponse à des risques, sujet qui me tiens un peu à cœur.
Faut pas gonfler Gérard Lambert quand il répare sa mobylette.
[^] # Re: Chaussures du cordonnier
Posté par Big Pete . En réponse au journal Freenaute, ton mot de passe d'abonné est stocké en clair chez Free. Évalué à 5.
Bon, peut-être qu'on se comprend mal. Mais de toute façon tu communique avec mailman par mail. Il faudrait être idiot pour lui envoyé un mot de passe de compte en banque, et cela indépendamment du fait qu'il soit stocké sous forme de hash coté mailman. Il va se retrouver en clair sur un tas de serveur de mail sur le chemin, dans le dossier "envoyé" de compte imap, sur ton disque dur, etc ...
Dans le cas d'une application web, c'est différent, on envoie le mot passe via un canal sûr (comme https) et il se retrouve sur le serveur uniquement en mémoire le temps de calculer le hash. Dans ce use case le mot de passe n'est normalement jamais stocké en clair dans une mémoire de masse, et tu peux garantir un certain niveau de sécurité en te basant sur le principe (souvent faux malheureusement) que ce mot de passe n'est stocké que dans le cerveau de son utilisateur.
Après, si tu veux que je te réponde au sujet de la croisade que tu mènes contre les geek barbus qui ferais mieux de s'occuper de leur barbes plutôt que de chercher des poux dans celle des autres, j'avoue que cette question ne m'intéresse pas et que je n'ai pas particulièrement d'avis pertinent à défendre sur le sujet. Cela fait quelque temps déjà que je ne joue plus personnellement au chevalier errant des internets.
Cette discussion m’intéresse uniquement car elle me parait être révélatrice d'un problème de compréhension du concept même de sécurité en tant que processus d'analyse/réponse à des risques, sujet qui me tiens un peu à cœur.
Faut pas gonfler Gérard Lambert quand il répare sa mobylette.