Ce projet correspond aux anomalies ou aux demandes d'évolutions logicielles pour le Freebox Server.
Pour des problèmes ADSL, vous devez vous adresser directement au 3244.
N'indiquez ici que les bugs ou les demandes d'évolution concernant le Freebox Server.
Pour les remarques concernant le Freebox Player, vous pouvez le faire sur la page dédiée.
- Effectuez la mise à jour de votre Freebox Server en 1.1.9.1 en date du 17 janvier 2013
- Vérifiez que votre problème ou votre demande d'évolution n'a pas déjà été posté auparavant.
Merci d'avance.
FS#10265 — MDP en clair dans l'interface !
Concerne le projet— Freebox Server
Ouverte par Benjamin Beurdouche (bbenjaminb) - mardi 26 juin, 2012 16:52:09
Ouverte par Benjamin Beurdouche (bbenjaminb) - mardi 26 juin, 2012 16:52:09
| Anomalie | |
| Console de gestion | |
| Nouvelle | |
| Personne | |
| Tous |
| Critique | |
| Normale | |
| 1.1.6 | |
| Non décidé | |
| 30/06/2012 | |
 |
Bonjour a tous,
C'est vraiment très moche ce que je viens de découvrir, dans la console de gestion, l'ensemble des mots de passes sont affichés dans le code source de la page html en clair !
J'espere qu'ils ne sont pas non plus stocké en clair dans la FB =S (Vive le SHA-2 256 SVP)
Heureusement le mot de passe d'accueil permet d'éviter la cata comme chez orange ou le meme problème se pose mais on peut atteindre les pages similaire de config avec admin/admin =S
Solution temporaire proposé : Ne pas laisser le mot de passe du tout dans la page, se servire des formulaires juste pour soumettre le mot de passe ...
J'encourage les moderateurs à détruire l'entrée du bugtracker pour éviter d'inspirer les inspirations malveillantes mais SVP insistez FORTEMENT sur ce point de sécurité ! (Autant faire mieux que chez les autres clowns de FAI ...)
Merci d'avance et bon courage =)... B.
C'est vraiment très moche ce que je viens de découvrir, dans la console de gestion, l'ensemble des mots de passes sont affichés dans le code source de la page html en clair !
J'espere qu'ils ne sont pas non plus stocké en clair dans la FB =S (Vive le SHA-2 256 SVP)
Heureusement le mot de passe d'accueil permet d'éviter la cata comme chez orange ou le meme problème se pose mais on peut atteindre les pages similaire de config avec admin/admin =S
Solution temporaire proposé : Ne pas laisser le mot de passe du tout dans la page, se servire des formulaires juste pour soumettre le mot de passe ...
J'encourage les moderateurs à détruire l'entrée du bugtracker pour éviter d'inspirer les inspirations malveillantes mais SVP insistez FORTEMENT sur ce point de sécurité ! (Autant faire mieux que chez les autres clowns de FAI ...)
Merci d'avance et bon courage =)... B.
Cette tâche dépend de
Cette tâche bloque la fermeture de
Bonsoir Benjamin,
Je ne constate absolument rien de ce que tu as décris !
Cordialement,
Ice.
mafreebox.freebox.fr...
Par exemple aller dans l'onglet NAS / Partage MacOS ...
Cliquer dans le champ du mot de passe, clic droit, aller a la source, et vous verrez :
<input type="password" name="afp_login_password" id="afp_login_password" value="BlaBlaBlaENCLAIR">
C'est tout de même un peu gênant pour les gens qui oublient de se déconnecter ou se font hijacker leur cookie de session...
J'en oublies mes bonnes manières =) Bonjour Ice ! XD
Cordialement, B.
Idem dans le menu NAS -> FTP et NAS -> Partages Windows
je suis pas fou alors ? =)
Bonsoir,
Effectivement tu n'es pas fou, mais un peu en stress quand même :)
Cela reste du local et je ne pense pas qu'il y' est de réel faille de sécurité car la page d'accueil de la Freebox est toutefois la pour "empêcher" un "copain ou copine" de chopper ce type d'infos ;)
Cordialement,
Ice.
Bonjour =)
D'ailleurs, il y'a pire ...
Reseau Local / Freebox AirMedia
Le mot de passe est carrément visible =S
Cordialement, B.
d'ailleurs l'affichage possible de mot de passe sur les infos de la box, c'est limite aussi...niveau sécu des pass sont un peu mauvais free....(avec leur mot de passe panel free à 8 caractères par ex lol)
Oui, ou Wireshark, c'est pareil !
Et c'est depuis le début, et Free le sait parfaitement.
Je suppose que c'est même fait exprès, tellement c'est gros, pour que ceux qui ont 2 notions de sécurité, et 3 grammes de jugeote évitent par exemple de faire de l'accès distant en dehors du réseau Free.
Parce que sinon, de toute façon c'est du réseau local, et c'est pas bien grave.