Sécurité : mot de passe général  Le sujet est résolu

Sujets traités/corrigés/obsolètes concernant le nAiO v2.X (pas les modules)

Sécurité : mot de passe général

Messagepar Akira » 14 Déc 2014, 15:50

ZDS a écrit:Problème [R]ésolu, il s'agissait d'une mauvaise interprétation due à l'absence de message prévenant qu'une instance du nAiO est déjà en cours (une notification sera prévue dans la prochaine version du nAiO).

Bonjour,

Je viens poster mon premier message pour relever une erreur "importante" de sécurité :)

J'ai la version 2.3a (2.3.1.0) de Naio.

Après avoir essayer d'adapter ce superbe outils à mes besoins, j'ai vu que le mot de passe général pour un profil pouvait être bypasser si l'affichage choisi était celui "minimaliste". En effet, au lancement de l'application, aucune demande de mot de passe n'est faites et nous pouvons directement connecter les comptes.

Ce n'est pas majeur si l'on est normalement seul sur le pc, mais on n'est jamais trop prudent ^^

Akira - Menalt
Akira
 
Messages: 2

Re: [..] Sécurité : mot de passe général

Messagepar ZDS » 14 Déc 2014, 20:35

Bonjour Akira,

Ca me semble être un problème majeur, mais je pense que c'est impossible vu que l'enregistrement des données (cryptées) et le choix de l'affichage (normal/minimaliste) sont complètement dissociés, le mot de passe étant demandé lors du splashscreen AVANT que l'interface graphique ne se charge dans le mode sélectionné. Je viens d'effectuer deux fois la procédure ci-dessous sur le nAiO v2.3a et la future v2.4, et tout se passe bien en terme de sécurité.

Procédure de test :
  • Télécharger le nAiO et le lancer (donc partir de zéro)
  • Le splashscreen apparaît et ne demande pas de mot de passe
  • Cliquer sur le bouton de config puis "Comptes" et créer un nouveau compte "Compte de test" (ID : "Account" / Mot de passe : "1234")
  • Cliquer sur la croix et valider (pour sauvegarder le compte)
  • Cliquer sur le bouton de config puis "Général" et créer un mot de passe pour le nAiO (Pass général : "Password")
  • Cliquer sur la croix et valider
  • Cliquer sur le bouton de connexion pour vérifier que le compte "Compte de test" est là et quitter le nAiO
  • Relancer le nAiO
  • Le splashscreen apparaît et demande le mot de passe
  • Taper un mauvais mot de passe, il le refuse
  • Taper le bon mot de passe, l'interface apparaît
  • Cliquer sur le bouton de connexion pour vérifier que le compte "Compte de test" est toujours là
  • Cliquer sur le bouton de config puis "Général" et passer l'interface en mode minimaliste
  • Cliquer sur la croix, le nAiO demande si oui ou non il doit "sauver avant redémarrage", valider
  • Le nAiO se relance, le splashscreen apparaît et demande le mot de passe (visiblement dans ton cas, il ne le demande pas, et c'est impossible aux vues de ce que je t'ai décrit plus haut)
  • Taper un mauvais mot de passe, il le refuse toujours
  • Taper le bon mot de passe, le splashscreen disparaît et l'icone en bas à droite apparaît
  • Cliquer sur l'icone du nAiO en bas à droite (à gauche de l'horloge) puis "Connexion"/"Comptes" pour vérifier que le compte "Compte de test" est encore et toujours là

J'aimerai constater le souci le souci directement via Skype et le partage d'écran, avec un nAiO vierge et aucun compte, pour ta propre sécurité, et surtout pour voir d'où peut venir le souci s'il est reproductible. Je vais donc t'envoyer mon ID Skype par mp dans cette optique (par contre, je ne serai pas facilement disponible avant quelques jours étant en déplacement pour mon travail). Je déplace aussi ton topic dans la section appropriée, car c'est clairement problématique comme souci (plus qu'une évolution, c'est vraiment un débuggage ^^).

A bientôt !
Avatar de l’utilisateur
ZDS
Fondateur [Equipe nAiO]
 
Messages: 526

Re: [..] Sécurité : mot de passe général

Messagepar Akira » 15 Déc 2014, 20:58

Comme expliqué dans mon mp en privé, c'était une fausse alerte critique.

Désolé pour la panique et les interrogations que tu as pu avoir suite à cela :X

Akira
Akira
 
Messages: 2

Re: [..] Sécurité : mot de passe général

Messagepar Abysse-Luga » 15 Déc 2014, 21:20

Akira a écrit:Comme expliqué dans mon mp en privé, c'était une fausse alerte critique.

Désolé pour la panique et les interrogations que tu as pu avoir suite à cela :X

Akira


Oui on a eu un peux peur, mais ça semblait bizarre.

Cordialement, Abysse-Luga.
Les meilleurs informaticiens sont les plus fainéants !
Avatar de l’utilisateur
Abysse-Luga
Développeur [Equipe nAiO]
 
Messages: 370
Localisation: Gironde

Re: [..] Sécurité : mot de passe général  Le sujet est résolu

Messagepar ZDS » 16 Déc 2014, 02:44

Y a pas de souci, content que le souci soit réglé. Par contre, d'après ton explication par mp, il est clair que j'ai fait une erreur moi aussi : ton problème venait donc d'une mauvaise interprétation car je n'ai pas correctement mis en place les notifications. Cela sera corrigé dans la prochaine version du nAiO.

Je me permets de mettre ci-dessous une copie de ton mp, de façon à garder une trace pour toute autre personne qui pourrait rencontrer le même "bug", et je considère le problème [R]ésolu.

A bientôt !

Copie du message privé :
Akira a écrit:Salut ZDS,

je crains d'avoir été trop rapide sur mes déductions, c'est l'absence d'un message qui m'a perturbé.

J'ai refais des essais à l'instant :

Quand je relance une second instance de Naio alors qu'une autre est déjà ouverte (mais caché dans les petites icônes), je n'ai pas de messages m'indiquant qu'une première instance est déjà lancé.
Du coup, j'ai cru que la demande de mot de passe n'était pas nécessaire.

Sur la V1 que j'avais jusqu'à récemment (j'ai fait une pause sur le jeu pendant 6 mois), il y avait un message indiquant que c'était déjà ouvert.

Désolé pour le report inutile du coup >.<
Akira
Avatar de l’utilisateur
ZDS
Fondateur [Equipe nAiO]
 
Messages: 526


Retourner vers Archives v2

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 5 invités

cron