Nouvelle version temporaire de l'espace membre

PH-CTO

Administrator
Membre du personnel
#1
Bonjour à tous,

Certains d'entre-vous l'ont peut-être remarqué, l'espace membre a changé de style. Nous venons en effet de mettre à jour l'espace membre PlanetHoster. Cette version sera uniquement en ligne temporairement le temps que nos designers terminent la nouvelle version de planethoster.

Également, j'en profite pour vous dire que la nouvelle url de l'espace membre est désormais https://my.planethoster.net/ lieu de https://www.planethoster.com/membres .

Plusieurs nouveautés sont encore à venir au courant des prochains jours !

Bonne journée à tous,
 
Dernière édition par un modérateur:
#2
Chouette sa commence a bouger :)

Se qui est bien c'est que les MDP sont plus sécurisé.

avant il était codé en dur sans cryptage dans la BDD, maintenant on dirait que c'est différent :)

Cependant il n'y a plus l'air avoir accès au CPanel via la services.

Le plus est le prix des licences CPanel,WHMCS,Fantastico,Plesk 8,... (Il manque juste les VPS , IP dédié et SSL)

Une nouvelle offre dans les plan revendeur ?Plan Semi-Dédié??? sa veut dire quoi semi ? :-D

Attention les accents foire (regardez a l'UTF-8!)

Vivement la suite :)
 
Dernière édition:

PH-CTO

Administrator
Membre du personnel
#3
Bonjour Astr0,

Merci pour votre réponse.

Oui les mots de passe sont protégés en MD5 pour une plus grande sécurité.

AsTr0 a dit:
Cependant il n'y a plus l'air avoir accès au CPanel via la services.
Il faudrait avoir un plan mutualisé ou revendeur pour avoir accès à cette option. Les plans VPS affichent cependant les accès principales pour vous connecter.

AsTr0 a dit:
Une nouvelle offre dans les plan revendeur ?Plan Semi-Dédié??? sa veut dire quoi semi ? :-D
Non ce n'est pas une nouvelle offre, elle date depuis longtemps. C'est l'offre revendeur la plus performant.

Les accents ont été corrigés ;)

Bonne journée à vous,
 

- Chris -

New Member
#4
En effet les accents ont d'ailleur vite été corrigés.

Sinon j'aime beaucoup ce design, contrairement au nouveau design que nous a montré Astr0.
Vous faites du bon boulot, continuez ;)

Hâte de voir la suite
 
#7
Bonjour Astr0,

Merci pour votre réponse.

Oui les mots de passe sont protégés en MD5 pour une plus grande sécurité.
Est-ce que ça veut dire qu'avant ça ne l'était pas ? >_<

MD5 ça ne vous inquiète pas ? Les rainbow tables sont aujourd'hui très complètes, ou alors il serait nécessaire de forcer la complexité des mots de passe des utilisateurs...
Enfin ce que je dis ne vaut rien s'il y a du salt :)

J'étais un peu préoccupé par le fait que vous laissiez la possibilité de se connecter à l'espace client dans un flux en clair... Les gens qui ne se préoccupent pas trop de la sécurité ne savent pas combien il est simple de récupérer des identifiants sur un réseau, que ce soit wired ou wireless...
Peut être une idée d'amélioration pour le nouveau site => forcer le https... Ou alors sensibiliser vos clients :)

Bonne journée !
 
#8
La partie /membres était de toute façon en httpS!

Il y avais des parties sans SSL qui pointais en POST vers du httpS (donc pas de soucis!)

Par-contre du coté affiliation & forums sur les logins , il n'y a pas d'httpS !

Enfin je parie que notre Saber va nous corriger sa très rapidement.
 
#9
AsTr0, tu plaisantes là j'espère ? POST n'a rien de sécurisé dans le sens où de toute manière tu verra tout dans le HTTP request.

Par exemple, avec Wireshark tu peux lire toutes les trames d'un réseau. C'est encore pire en Wi-Fi (open/WEP) où tout le monde peut récupérer tes trames HTTP...
Autre exemple une attaque Man in the Middle le fera sans soucis également.

Si tu ne crois pas en ce que j'avance, essaie les plugin Tamper Data avec Firefox ou Live HTTP Headers. La seule différence entre GET et POST, c'est que les paramètres POST sont passés dans le segment data de l'HTTP request et pas dans l'url...

Enfin bref, sinon oui je sais que le site planethoster est dispo en HTTPS. Je force d'ailleurs la navigation en HTTPS pour éviter ce genre d'attaques.

AsTr0, si ce genre de problématiques t'intéresse, essaie le plugin Firesheep pour Firefox. Tu te met sur du Wi-Fi puis tu testes :) S'il y a du monde, tu récupère tous les identifiants de session (Facebook, Gmail...) :)

Ce que je propose en tout cas c'est :
1. n'afficher les champs d'identification que si l'utilisateur navigue en HTTPS;
2. afficher un lien Connexion qui redirige vers la page HTTPS si l'utilisateur navigue en HTTP.

Enfin vous voyez ce que je veux dire ?
 

EnYgmA

New Member
#10
Plop ,

super sympa ce nouveau panel :cool:

Par contre petit bémol que je rencontre depuis le début c'est que lorsque nous accédons à Cpanel via Chrome on a un message de sécurité comme quoi le contenu est pas sécurisé ( https barré ) :rolleyes:

Je suis tout seul dans ce cas ou pas ? :p

En tout cas super boulot de la part de l'équipe ;)

Edit Ah oui aussi quand on change de mot de passe le changement se fait bien mais on a pas de message comme quoi il a bien été pris en compte , nous avons un cadre vert vide ( par déduction on pense que c'est bon mais rien le dit ) ;)
 
Dernière édition:

pat46fr

New Member
#11
Bonjour, ben moi, je ne sais pas si c'est le changement ou quoi mais depuis hier, l'accès au CPanel est hyper lent, et de plus j'envoie sur mon site des fichiers toutes les 10 mns, à certains moments aucun ne passe pendant plusieurs heures. Comme je connait pas grand chose je me demande s'il y a un rapport. Bizarre que ça tombe pile à ce moment là :(

Pat
 

PH-CTO

Administrator
Membre du personnel
#12
Bonjour, ben moi, je ne sais pas si c'est le changement ou quoi mais depuis hier, l'accès au CPanel est hyper lent, et de plus j'envoie sur mon site des fichiers toutes les 10 mns, à certains moments aucun ne passe pendant plusieurs heures. Comme je connait pas grand chose je me demande s'il y a un rapport. Bizarre que ça tombe pile à ce moment là :(

Pat
Bonjour Pat,

Je vous invite svp à me parvenir vos informations par courriel: [email protected] , je vais regarder cela pour vous.

Bonne journée à vous,
 

pat46fr

New Member
#13
;) Merci de la réponse et chapeau pour la rapidité (comme d'hab). Je viens d'envoyer un mail avec un peu plus d'infos.
Merci, Pat
 
#14
AsTr0, tu plaisantes là j'espère ? POST n'a rien de sécurisé dans le sens où de toute manière tu verra tout dans le HTTP request.

Par exemple, avec Wireshark tu peux lire toutes les trames d'un réseau. C'est encore pire en Wi-Fi (open/WEP) où tout le monde peut récupérer tes trames HTTP...
Autre exemple une attaque Man in the Middle le fera sans soucis également.

Si tu ne crois pas en ce que j'avance, essaie les plugin Tamper Data avec Firefox ou Live HTTP Headers. La seule différence entre GET et POST, c'est que les paramètres POST sont passés dans le segment data de l'HTTP request et pas dans l'url...

Enfin bref, sinon oui je sais que le site planethoster est dispo en HTTPS. Je force d'ailleurs la navigation en HTTPS pour éviter ce genre d'attaques.

AsTr0, si ce genre de problématiques t'intéresse, essaie le plugin Firesheep pour Firefox. Tu te met sur du Wi-Fi puis tu testes :) S'il y a du monde, tu récupère tous les identifiants de session (Facebook, Gmail...) :)

Ce que je propose en tout cas c'est :
1. n'afficher les champs d'identification que si l'utilisateur navigue en HTTPS;
2. afficher un lien Connexion qui redirige vers la page HTTPS si l'utilisateur navigue en HTTP.

Enfin vous voyez ce que je veux dire ?
C'est pas la méthode d'envoi par POST qui n'est pas sécurisé ...

Mais si tu surf sur un page en HTTP , que tu poste un formulaire depuis celle-ci vers une en HTTPS les informations ne seront pas sniffable ;)

C'est cela que j'ai voulu dire précédemment !
 
#15
En effet. Je viens de vérifier à l'instant. Pour cette partie je me suis trompé, je n'avais pas compris la situation.

Mais ça confirme mon histoire de Man in the Middle et l'intérêt des certificats.
Dans le cas où tout va bien, le formulaire est envoyé vers une page en HTTPS. Pas de problèmes, le certificat est approuvé. Je suis un utilisateur lambda, je ne regarde pas la code source de la page qui est également très remplit, limite indigest. Même moi, je n'ai pas regardé le code source de la page (bad practice pour moi :D).

Dans le cas où tout va mal : je suis sur ton réseau, wired ou pas et je vois les trames circuler. J'ai fait un petit proxy en python adapté à mon besoin : je peux récupérer les pages web de PH, en modifiant ce form d'une manière ou une autre afin de rediriger le résultat vers mon propre serveur/ordinateur.
Maintenant que j'ai ce proxy, je vais attaquer le réseau. ARP cache poisonning par exemple, simple à mettre en place et efficace (cf Scapy). Je me fait passer pour la passerelle ou le routeur...
Du coup, la connexion d'un ordinateur du réseau passera forcément par mon ordinateur. Lorsque l'utilisateur souhaitera se connecter à PH, il tombera sur ma copie de page contrefaite. Mais qu'ais-je fait ?
J'ai modifié le formulaire pour que les données soient envoyées sur mon propre serveur, en HTTP même pas en HTTPS, comme ça il n'y aura pas d'alertes sur un possible certificat auto-signé.
Pour finir, j'ai deux solutions pour que l'utilisateur ne s'aperçoive de rien : je vais soit utiliser mon propre certificat, mais l'utilisateur aura une erreur, soit je vais le renvoyer sur une page d'erreur de connexion :
https://my.planethoster.net/
et le laisser naviguer tranquillement après cela...
Du coup j'ai obtenu tout ce dont j'avais besoin...

Cette manoeuvre aurait pu être évitée si l'utilisateur avait été forcé de passer par une page web liée à un certificat SSL, celui de PH. Evidemment, avec une attaque MiM, on peut très bien essayer d'utiliser son propre certificat, mais maintenant les navigateurs sont très bien faits afin de prévenir l'utilisateur de ce genre de manoeuvre.

Autre désavantage de faire du POST transparent avec HTTPS, l'utilisateur est moins sensibilisé aux problèmes de sécurité liés au sniffing du réseau...

D'où ma proposition d'une page dédiée in fine...

J'ai essayé de présenter un exemple bateau. Il y a des subtilités que je n'ai peut être pas présentées. C'est ce que je ferai si j'étais un attaquant...

Et ne me dites pas qu'il y a peu de chances qu'un attaquant recherche des trames spécifiques à PH: l'attaquant ne cherchera pas que ça...

Enfin, ce ne sont que mes idées :) Ça s'adapte à plein de situations sympas :) (obtenir le cookies et l'identifiant de session => Facebook).

Il n'empêche AsTr0 excuse-moi pour ma méprise tout à l'heure :)

La morale de l'histoire: surfez avec un serveur VPN (celui de votre entreprise, de votre université...), ne faites confiances qu'aux pages web en HTTPS pour saisir vos identifiants, et à défaut, lisez le source...
 
Dernière édition par un modérateur:

pat46fr

New Member
#16
Houlala, ça devient trop compliqué pour moi, lol. Mais je ne peux m'empêcher de poser une question suite à votre échange sur la sécurité:
hormis un site qui travaillerait avec des numéros de CB par exemple (ou autres données hautement sensibles), sites qui je pense sont hautement sécurisés, quel est le but de piquer un identifiant Facebook (je prend ton exemple) avec le mot de passe? Pour les conner.... qui se disent la dessus je ne vois pas l'intérêt. Idem pour un site perso, pouvoir y accéder? pourquoi faire? virer les fichiers? juste pour que le mec passe une heure à restaurer son backup? Et être le roi des enfoirés pour avoir fait un truc gratuitement qui ne rapporte rien à son auteur? Désolé mais ces gens là doivent vraiment être mal dans leur tête, lol.
Tout ça pour dire que je trouve un peu limite d'expliquer les trucs pour pirater un mot de passe ici, mais ce n'est que mon humble avis.

Bonne soirée, Pat
 
#17
Plop ,

super sympa ce nouveau panel :cool:

Par contre petit bémol que je rencontre depuis le début c'est que lorsque nous accédons à Cpanel via Chrome on a un message de sécurité comme quoi le contenu est pas sécurisé ( https barré ) :rolleyes:

Je suis tout seul dans ce cas ou pas ? :p

En tout cas super boulot de la part de l'équipe ;)

Edit Ah oui aussi quand on change de mot de passe le changement se fait bien mais on a pas de message comme quoi il a bien été pris en compte , nous avons un cadre vert vide ( par déduction on pense que c'est bon mais rien le dit ) ;)
Il s'agit d'image/js/css/... qui sont chargé dans la page via un lien http et non http !
 
#18
Houlala, ça devient trop compliqué pour moi, lol. Mais je ne peux m'empêcher de poser une question suite à votre échange sur la sécurité:
hormis un site qui travaillerait avec des numéros de CB par exemple (ou autres données hautement sensibles), sites qui je pense sont hautement sécurisés, quel est le but de piquer un identifiant Facebook (je prend ton exemple) avec le mot de passe? Pour les conner.... qui se disent la dessus je ne vois pas l'intérêt. Idem pour un site perso, pouvoir y accéder? pourquoi faire? virer les fichiers? juste pour que le mec passe une heure à restaurer son backup? Et être le roi des enfoirés pour avoir fait un truc gratuitement qui ne rapporte rien à son auteur? Désolé mais ces gens là doivent vraiment être mal dans leur tête, lol.
Tout ça pour dire que je trouve un peu limite d'expliquer les trucs pour pirater un mot de passe ici, mais ce n'est que mon humble avis.

Bonne soirée, Pat
Non, mais les informations personnelles se revendent à prix d'or. Imaginez Facebook, c'est un énorme potentiel ! L'usurpateur aura a disposition plein d'informations, rien que pour faire du social engeneering...

De plus le préjudice peut être très important, il n'y a pas que des particuliers qui utilisent PH. On ne parle pas de script kiddies là... Il y a des données personnelles etc sur ton serveur, peut être des mots de passes, même en MD5 on s'en fiche ! Une base de donnée coûte cher à mon avis :)
Le defacing on s'en fout également, c'est qu'une catégorie infime du résultat d'un hack (dans cette catégorie, je suis d'accord je vois pas trop l'utilité plutôt que de donner la vuln à l'auteur de l'application en question...)

Sinon les problèmes de sécurité sont de notoriété publique... Les moins technophiles ne comprennent pas ce genre d'implication... Et c'est tellement dommage.

Enfin est-ce que si j'avais dit "attention POST -> HTTPS c'est mal" on m'aurait pris au sérieux ? Beaucoup aurait dit "un parano" et c'est tout...

Je dois avouer que ce genre de problématiques c'est mon secteur. Pas du côté attaquant, mais de l'autre côté :)
Je suis en train de faire mon blog qui contiendra, entres autres, ce genre de thématiques.

Bonne soirée :)

EDIT: j'y pense également, combien d'entre vous utilisent le même mot de passe dans plusieurs applications web ? ;-)
EDIT2: si ce genre d'informations dérange/ne répond pas à la charte d'utilisation du forum/etc, un modérateur peut très bien retirer mes posts à ce sujet sur ce forum, ça ne me dérange pas :)
 
#19
Il en va donc de la formation de sécurité des utilisateurs et non du panel de Planethoster ...

Un peu comme souvent ^^

Sortez couvert ;)
 

mytika

New Member
#20
Bonjour à tous,
Excellent le nouveau Panel, un peu perdu au départ, mais il faut s'adapter.
Bravo à toute l'équipe de PlanetHoster pour le travail effectué.
Bonne journée à tous.
 
Dernière édition:
Haut