Firefox Send : protection par mot de passe… qui sera logué dans la console en cas de téléchargement
2 min
Internet
Internet
Début août, nous parlions d’un service de stockage de fichiers mis en ligne par Mozilla, Send. Celui-ci a depuis évolué et vient de gagner une fonctionnalité importante : la protection par mot de passe.
Ainsi, une fois le fichier envoyé et chiffré, lorsque vous obtenez un lien de partage, vous pouvez désormais cocher la case « Exiger un mot de passe pour télécharger ce fichier ». Le mot pourra être composé de 64 caractères au maximum. Dommage, aucun bouton ne permet d’en générer un aléatoirement.
Dans tous les cas, si un utilisateur se rend sur un tel lien, il devra saisir le mot de passe avant d’accéder au téléchargement. On s’étonnera par contre que, lors de la procédure, le mot de passe soit placé dans la console du navigateur comme on peut le voir dans le code, et comme nous l’avons vérifié.
Mozilla précise au passage avoir mis en place un chiffrement des métadonnées, comme le nom du fichier ou son type. Elles étaient précédemment stockées en clair.
Mise à jour : Suite à notre actualité et à l’intervention d’un lecteur, le problème a été corrigé.
Commentaires (8)
Abonnez-vous pour prendre part au débat
Déjà abonné ou lecteur ? Se connecter
Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles d'un média expert
Profitez d'au moins 1 To de stockage pour vos sauvegardes
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 16/11/2017 à 10h43
Existe-t-il des cas ou de la console.log soit pertinent en prod?
Il me semble avoir vu des linters considérer qu’un console.log soit une erreur, ou au moins un warning
Cela étant, je ne vois pas trop quelle utilisation malveillante pourrait en être fait, c’est surtout la honte.
Le 16/11/2017 à 11h00
Le 16/11/2017 à 11h01
Sûrement un oubli.
Ça sent le console.log mis pour du debug :)
Le 16/11/2017 à 11h05
Bah tu peux faire un programme en bêta sans diffuser un mot de passe dans les logs de l’utilisateur non ? AMHA c’est un truc de debug qui traine, m’enfin ça fait quand même tâche ;)
Le 16/11/2017 à 11h10
Il est donc urgent d’attendre.
" />
Le 16/11/2017 à 11h29
Aller, je suis bon seigneur, j’ai proposé le patch pour supprimer cette ligne de codehttps://github.com/mozilla/send/pull/645 :-)
Le 16/11/2017 à 11h45
Le 16/11/2017 à 21h01
Ayé, le fix est en prod, ça a été assez vite quand même
" />
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?