Rien ne garantit qu'il n'y a pas de code « caché ». Mais c'est aussi le cas de ton OS ou de ton navigateur (et de toutes ses extensions !).
Comme dit plus haut : je suis tout à fait d'accord, mais j'ai tendance à penser que plus de gens se penchent sur la sécurité de mon OS ou de mon navigateur. De plus, les gens qui développent des sous-systèmes critiques comme le chiffrage SSL, les couches d'authentification, les keyrings, sont (à confirmer mais j'ai une bonne confiance en cela) des experts en sécurité (notez : sans les guillements cette fois ci :-) ).
Je ne dis pas que vous n'êtes pas bons, mais entre un bon développeur, et un développeur expert en sécurité dont on sait qu'il ne fera pas de bourde, il y a un fossé... (qui s'appelle l'expertise). J'ai moins de mal à donner mes comptes bancaires au 2e qu'au 1er :-)
(même si Sony s'est fait pirater hein, comme quoi...)
Pour ma part je stocke les mots de passe sur une partition chiffrée ; on peut aussi choisir de ne pas les enregistrer. On projette d'utiliser les keyrings sécurisés fournis par le système plutôt que d'inventer notre solution.
Je ne suis pas très partisan de la partition chiffrée : une fois loggué, le déchiffrage est totalement transparent (en tous cas pour le chiffrage que j'avais essayé à une époque, basé sur ecryptfs) et se fait sans contrôle de l'utilisateur. N'importe quel programme a accès à toute la partition chiffrée.
Pour le Keyring, au moins on sait quand le coffre est ouvert ou non, et on peut le paramétrer finement (idem, de mémoire, ça fait longtemps que je ne l'ai pas utilisé, car à part Firefox cité plus haut, je tape les autres mots de passe sur demande).
[^] # Re: Sécurité des backends
Posté par goulou . En réponse à la dépêche Le Weboob nouveau est arrivé. Évalué à 2.
Comme dit plus haut : je suis tout à fait d'accord, mais j'ai tendance à penser que plus de gens se penchent sur la sécurité de mon OS ou de mon navigateur. De plus, les gens qui développent des sous-systèmes critiques comme le chiffrage SSL, les couches d'authentification, les keyrings, sont (à confirmer mais j'ai une bonne confiance en cela) des experts en sécurité (notez : sans les guillements cette fois ci :-) ).
Je ne dis pas que vous n'êtes pas bons, mais entre un bon développeur, et un développeur expert en sécurité dont on sait qu'il ne fera pas de bourde, il y a un fossé... (qui s'appelle l'expertise). J'ai moins de mal à donner mes comptes bancaires au 2e qu'au 1er :-)
(même si Sony s'est fait pirater hein, comme quoi...)
Je ne suis pas très partisan de la partition chiffrée : une fois loggué, le déchiffrage est totalement transparent (en tous cas pour le chiffrage que j'avais essayé à une époque, basé sur ecryptfs) et se fait sans contrôle de l'utilisateur. N'importe quel programme a accès à toute la partition chiffrée.
Pour le Keyring, au moins on sait quand le coffre est ouvert ou non, et on peut le paramétrer finement (idem, de mémoire, ça fait longtemps que je ne l'ai pas utilisé, car à part Firefox cité plus haut, je tape les autres mots de passe sur demande).