Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Firefox Send : protection par mot de passe… qui sera logué dans la console en cas de téléchargement

Firefox Send : protection par mot de passe… qui sera logué dans la console en cas de téléchargement

Mise à jour : Suite à notre actualité et à l'intervention d'un lecteur, le problème a été corrigé.

Le 16 novembre 2017 à 09h39

Début août, nous parlions d'un service de stockage de fichiers mis en ligne par Mozilla, Send. Celui-ci a depuis évolué et vient de gagner une fonctionnalité importante : la protection par mot de passe.

Ainsi, une fois le fichier envoyé et chiffré, lorsque vous obtenez un lien de partage, vous pouvez désormais cocher la case « Exiger un mot de passe pour télécharger ce fichier ». Le mot pourra être composé de 64 caractères au maximum. Dommage, aucun bouton ne permet d'en générer un aléatoirement.

Dans tous les cas, si un utilisateur se rend sur un tel lien, il devra saisir le mot de passe avant d'accéder au téléchargement. On s'étonnera par contre que, lors de la procédure, le mot de passe soit placé dans la console du navigateur comme on peut le voir dans le code, et comme nous l'avons vérifié.

Mozilla précise au passage avoir mis en place un chiffrement des métadonnées, comme le nom du fichier ou son type. Elles étaient précédemment stockées en clair.

 

Le 16 novembre 2017 à 09h39

Commentaires (8)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Existe-t-il des cas ou de la console.log soit pertinent en prod?

Il me semble avoir vu des linters considérer qu’un console.log soit une erreur, ou au moins un warning



Cela étant, je ne vois pas trop quelle utilisation malveillante pourrait en être fait, c’est surtout la honte.

votre avatar







Zerdligham a écrit :



Existe-t-il des cas ou de la console.log soit pertinent en prod?

Il me semble avoir vu des linters considérer qu’un console.log soit une erreur, ou au moins un warning



Cela étant, je ne vois pas trop quelle utilisation malveillante pourrait en être fait, c’est surtout la honte.





C’est surtout une solution en beta test…


votre avatar

Sûrement un oubli.

Ça sent le console.log mis pour du debug :)

votre avatar

Bah tu peux faire un programme en bêta sans diffuser un mot de passe dans les logs de l’utilisateur non ? AMHA c’est un truc de debug qui traine, m’enfin ça fait quand même tâche ;)

votre avatar

Il est donc urgent d’attendre.<img data-src=" />

votre avatar

Aller, je suis bon seigneur, j’ai proposé le patch pour supprimer cette ligne de codehttps://github.com/mozilla/send/pull/645 :-)

votre avatar

<img data-src=" />

votre avatar

Ayé, le fix est en prod, ça a été assez vite quand même <img data-src=" />

Firefox Send : protection par mot de passe… qui sera logué dans la console en cas de téléchargement

Fermer