Début août, nous parlions d'un service de stockage de fichiers mis en ligne par Mozilla, Send. Celui-ci a depuis évolué et vient de gagner une fonctionnalité importante : la protection par mot de passe.
Ainsi, une fois le fichier envoyé et chiffré, lorsque vous obtenez un lien de partage, vous pouvez désormais cocher la case « Exiger un mot de passe pour télécharger ce fichier ». Le mot pourra être composé de 64 caractères au maximum. Dommage, aucun bouton ne permet d'en générer un aléatoirement.
Dans tous les cas, si un utilisateur se rend sur un tel lien, il devra saisir le mot de passe avant d'accéder au téléchargement. On s'étonnera par contre que, lors de la procédure, le mot de passe soit placé dans la console du navigateur comme on peut le voir dans le code, et comme nous l'avons vérifié.
Mozilla précise au passage avoir mis en place un chiffrement des métadonnées, comme le nom du fichier ou son type. Elles étaient précédemment stockées en clair.
Mise à jour : Suite à notre actualité et à l'intervention d'un lecteur, le problème a été corrigé.
Commentaires (9)
#1
Existe-t-il des cas ou de la console.log soit pertinent en prod?
Il me semble avoir vu des linters considérer qu’un console.log soit une erreur, ou au moins un warning
Cela étant, je ne vois pas trop quelle utilisation malveillante pourrait en être fait, c’est surtout la honte.
#2
#3
Sûrement un oubli.
Ça sent le console.log mis pour du debug :)
#4
Bah tu peux faire un programme en bêta sans diffuser un mot de passe dans les logs de l’utilisateur non ? AMHA c’est un truc de debug qui traine, m’enfin ça fait quand même tâche ;)
#5
Il est donc urgent d’attendre.
" />
#6
Aller, je suis bon seigneur, j’ai proposé le patch pour supprimer cette ligne de codehttps://github.com/mozilla/send/pull/645 :-)
#7
#8
Ayé, le fix est en prod, ça a été assez vite quand même
" />