Forum du nAiO

nAiO, le Tout-En-Un du Dofusien !
http://naio.fr/

Sécurité : mot de passe général

http://naio.fr/viewtopic.php?f=29&t=1118

Page 1 sur 1

Sécurité : mot de passe général

MessagePosté: 14 Déc 2014, 15:50
par Akira
ZDS a écrit:Problème [R]ésolu, il s'agissait d'une mauvaise interprétation due à l'absence de message prévenant qu'une instance du nAiO est déjà en cours (une notification sera prévue dans la prochaine version du nAiO).

Bonjour,

Je viens poster mon premier message pour relever une erreur "importante" de sécurité :)

J'ai la version 2.3a (2.3.1.0) de Naio.

Après avoir essayer d'adapter ce superbe outils à mes besoins, j'ai vu que le mot de passe général pour un profil pouvait être bypasser si l'affichage choisi était celui "minimaliste". En effet, au lancement de l'application, aucune demande de mot de passe n'est faites et nous pouvons directement connecter les comptes.

Ce n'est pas majeur si l'on est normalement seul sur le pc, mais on n'est jamais trop prudent ^^

Akira - Menalt

Re: [..] Sécurité : mot de passe général

MessagePosté: 14 Déc 2014, 20:35
par ZDS
Bonjour Akira,

Ca me semble être un problème majeur, mais je pense que c'est impossible vu que l'enregistrement des données (cryptées) et le choix de l'affichage (normal/minimaliste) sont complètement dissociés, le mot de passe étant demandé lors du splashscreen AVANT que l'interface graphique ne se charge dans le mode sélectionné. Je viens d'effectuer deux fois la procédure ci-dessous sur le nAiO v2.3a et la future v2.4, et tout se passe bien en terme de sécurité.

Procédure de test :
  • Télécharger le nAiO et le lancer (donc partir de zéro)
  • Le splashscreen apparaît et ne demande pas de mot de passe
  • Cliquer sur le bouton de config puis "Comptes" et créer un nouveau compte "Compte de test" (ID : "Account" / Mot de passe : "1234")
  • Cliquer sur la croix et valider (pour sauvegarder le compte)
  • Cliquer sur le bouton de config puis "Général" et créer un mot de passe pour le nAiO (Pass général : "Password")
  • Cliquer sur la croix et valider
  • Cliquer sur le bouton de connexion pour vérifier que le compte "Compte de test" est là et quitter le nAiO
  • Relancer le nAiO
  • Le splashscreen apparaît et demande le mot de passe
  • Taper un mauvais mot de passe, il le refuse
  • Taper le bon mot de passe, l'interface apparaît
  • Cliquer sur le bouton de connexion pour vérifier que le compte "Compte de test" est toujours là
  • Cliquer sur le bouton de config puis "Général" et passer l'interface en mode minimaliste
  • Cliquer sur la croix, le nAiO demande si oui ou non il doit "sauver avant redémarrage", valider
  • Le nAiO se relance, le splashscreen apparaît et demande le mot de passe (visiblement dans ton cas, il ne le demande pas, et c'est impossible aux vues de ce que je t'ai décrit plus haut)
  • Taper un mauvais mot de passe, il le refuse toujours
  • Taper le bon mot de passe, le splashscreen disparaît et l'icone en bas à droite apparaît
  • Cliquer sur l'icone du nAiO en bas à droite (à gauche de l'horloge) puis "Connexion"/"Comptes" pour vérifier que le compte "Compte de test" est encore et toujours là

J'aimerai constater le souci le souci directement via Skype et le partage d'écran, avec un nAiO vierge et aucun compte, pour ta propre sécurité, et surtout pour voir d'où peut venir le souci s'il est reproductible. Je vais donc t'envoyer mon ID Skype par mp dans cette optique (par contre, je ne serai pas facilement disponible avant quelques jours étant en déplacement pour mon travail). Je déplace aussi ton topic dans la section appropriée, car c'est clairement problématique comme souci (plus qu'une évolution, c'est vraiment un débuggage ^^).

A bientôt !

Re: [..] Sécurité : mot de passe général

MessagePosté: 15 Déc 2014, 20:58
par Akira
Comme expliqué dans mon mp en privé, c'était une fausse alerte critique.

Désolé pour la panique et les interrogations que tu as pu avoir suite à cela :X

Akira

Re: [..] Sécurité : mot de passe général

MessagePosté: 15 Déc 2014, 21:20
par Abysse-Luga
Akira a écrit:Comme expliqué dans mon mp en privé, c'était une fausse alerte critique.

Désolé pour la panique et les interrogations que tu as pu avoir suite à cela :X

Akira


Oui on a eu un peux peur, mais ça semblait bizarre.

Cordialement, Abysse-Luga.

Re: [..] Sécurité : mot de passe général  Le sujet est résolu

MessagePosté: 16 Déc 2014, 02:44
par ZDS
Y a pas de souci, content que le souci soit réglé. Par contre, d'après ton explication par mp, il est clair que j'ai fait une erreur moi aussi : ton problème venait donc d'une mauvaise interprétation car je n'ai pas correctement mis en place les notifications. Cela sera corrigé dans la prochaine version du nAiO.

Je me permets de mettre ci-dessous une copie de ton mp, de façon à garder une trace pour toute autre personne qui pourrait rencontrer le même "bug", et je considère le problème [R]ésolu.

A bientôt !

Copie du message privé :
Akira a écrit:Salut ZDS,

je crains d'avoir été trop rapide sur mes déductions, c'est l'absence d'un message qui m'a perturbé.

J'ai refais des essais à l'instant :

Quand je relance une second instance de Naio alors qu'une autre est déjà ouverte (mais caché dans les petites icônes), je n'ai pas de messages m'indiquant qu'une première instance est déjà lancé.
Du coup, j'ai cru que la demande de mot de passe n'était pas nécessaire.

Sur la V1 que j'avais jusqu'à récemment (j'ai fait une pause sur le jeu pendant 6 mois), il y avait un message indiquant que c'était déjà ouvert.

Désolé pour le report inutile du coup >.<
Akira
Heures au format UTC + 1 heure [ Heure d’été ]
Page 1 sur 1
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/