Reprise du message précédent :
Ça se fait tout seul non ?

Ah ok, merci pour l'explication

La signature  

bon bref en gros le script utilise vos hash hfr directement pour identifier et accéder à vos données de drapal des mps stockés en ligne
 
le problème c'est qu'on y a accès globalement, pas besoin de connaitre ce hash et du coup on peut voir les hash (et logins hfr) de tous ceux qui utilisent le script (ainsi que leur drapals)
 
l'utilisation du stockage en ligne ne semble pas conditionné non plus, tous les utilisateurs du script y passent
 
et il n'y a pas de faille (ou d'autorisation du navigateur) concernant l'accès à ce hash par le script, c'est une données comme une autre renvoyé par le serveur de hfr dans les pages et auquel le script a accès (voir point 13 de la faq)
 
et si comme dit xat ce hash n'est qu'un md5 alors il est potentiellement pas trop compliqué à inverser pour retrouver le mdp (voir la signature de pj)
 
et pour couronner le tout, la version précédente du script utilisait déjà vos hash (et login hfr) comme identifiant, donc ça fait un moment que le script dissémine vos mdp (avec login) un peu partout sur internet ...
 
bref une alerte du style "je vais faire n'importe quoi avec vos password hfr êtes-vous sûr de vouloir continuer" serait de bon aloi à la première utilisation du script

Pour le novice en la matière que je suis, ça veut dire que nos identifiants de connexion au forum sont compromis ?

Et pour l'explication technique, le forum ne sécurise pas des masses ces données et le script les a stockés pour les besoins de son fonctionnement ailleurs sur le net ?

 
plus maintenant  
 
bon... quelqu'un a une solution pour synchro les drapeaux ?
le script dans sa dernière version ne synchronise plus en attendant

 
Je confirme    
 

 
il stockait toujours en local depuis le début. le code pour synchroniser était en plus, s'est enlevé facilement :|

si tu utilise ou as utilisé ce script alors ton hash de password hfr a été diffusé sur des sites tiers
 
et pour l'explication technique c'est à peu près ça, les données c'est le password (en effet faiblement chiffré par hfr) et en effet le script les a stocké ailleurs (avec les logins et les drapals) par contre "pour les besoin de son fonctionnement" c'est gentil, la réalité c'est "hey je vais utiliser cette donnée sensible comme une vulgaire clé d'identification et je vais la diffuser n'importe où et n'importe comment sur des sites tiers"

 
euh ...

 
C'est à dire, tu as mis à jour le script ? Tu ne poste pas de lien + changelog comme d'habitude ?
 
Finalement c'est aussi la faute du forum qui stocke nos MDP en MD5 si j’ai bien compris...

non non non dans aucun monde et dans aucun cerveau d'informaticien sain l'utilisation de cette donnée de la manière dont il l'a fait n'a de sens
 
elles serait parfaitement chiffrée qu'elle ne devrait en aucun cas être diffusée non plus

non parce que, quand c'était quelqu'un d'autre qui hébergeait les drapeaux, ça ne dérangeait personne. Là quand c'est moi ça gêne

Si on change nos mots de passe à partir de maintenant c'est bon ? Même si on a toujours le script multi-MP ? La "faille" est corrigée ?
Faut faire quoi en fait ?  

J'ai viré le code de synchronisation. Et les données n'existent plus.

Si tes scripts se mettent à jour automatiquement, rien à faire.

Mais si tu n'es pas sûre, et que tu n'es connectée à HFR depuis hier 17h30, tu peux changer ton mdp

Putain sans déconner c'est quoi ton site super louche eb4.be sur lequel t'hébergeais les drapeaux ?
Le truc héberge des noeuds tor et des images de merde de jv.com ?  

vous parlez que du ''Multi MP - Synchro (version 0.4.4) par PetitJean'' ou aussi de "Multi MP (version 0.5.5.8) par PetitJean" ?

Tu as lu le message au dessus ? Il n'est plus dans le code

Ouais ok, mais c'était quoi ce site?
Parce que ce que j'arrive à trouver dessus me rassure pas des masses.
Donc potentiellement le propriétaire de ce site à tous nos hash de mdp?
 
Y a rien qui te choque ?

J'ai testé hier avec plusieurs profils, les hash n'y étaient plus

Super je suis rassuré    
Qui possédait ce service ?
 
Tu veux pas dire à tout le monde de changer son mot de passe?

Bah change le si tu n'es pas sûr.

Noooon ça va penses-tu:

Oui et ?

Ah bah non rien effectivement.
https://ipinfo.io/176.31.80.124
 
http://dieudogifs.be/

oui et ?
 
à la fin ça va être de ma faute si les mots de passe sont hashés en md5

 
   
 
Ça n'enlève rien à la reconnaissance envers le travail de PetitJean de dire que stocker en clair le combo user id/hash de password sur un service obscur accessible à tous et sans en avertir les utilisateurs est une énorme erreur.

je suis d'accord avec wiripse (comme quoi )

edit : j'ai alerté mon propre message.

Au revoir

heu wat, le gars met un code tout pourrit qui diffuse les hash des password hfr sur des services tiers qui sont soit obscures soit accessible à tous dans un script très utilisé, et on peut pas critiquer ???????
 
quant à mettre du code à disposition au cas où t'aurais pas vu je fais ma part aussi

pour tous :
 
oui changer son mdp serait pas mal
 
la dernière version du script dans la liste (0.5.5.8) est saine

Non mais tu sais il suffisait de dire:
"Pardon à tous j'ai déconné, j'ai pas fait attention, changez vos mdp, désolé."
Et on passait à autre chose  

 
Je ne sais pas comment ça marche JSONStore mais on peut pas imaginer un truc genre :
 

 
key_extension_perso ce serait le hash d'un input que tu demandes à l'user à chaque nouvelle installation de l'extension ?
 
Comme ça au lieu d'avoir un array commun à tous avec l'user_id en clair, chacun aurait son propre endpoint protégé par une clé que seul lui connait ? La clé étant différente de son MDP HFR, comme ça dans le pire des cas ça lui flingue ses drapeaux.

un autre mdp pour le script ? pourquoi pas

Ou un service où on renseigne un multi, et ça stocke les drapeaux dans un mp dédié.
Comme ça on ne dépend que d'hfr.

ou "Administration", ça sera plus simple  

ou encore plus simple : "Administration" coche la case dans l'interface pour activer les drapeaux (parce qu'au final, "prive" n'est qu'une catégorie comme les autres)

Ah bah si t'as son mdp
EDIT:
Ah bah oui remarque maintenant tu l'a

Le contenu de ce message a été effacé par son auteur

mais non c'est pareil, tu vas pas utiliser une donnée de protection du forum et la diffuser n'importe où

un autre password pour le stockage en ligne oui (et sans utiliser un service qui permet d’accéder à toutes les données de tout le monde, ce que ne permet pas jsonstore.io apparemment si on garde le même endpoint)

Et la modération aurait dis quoi si elle s'était fait piquer son mdp ?  

Alors un instant  
Le md5 du mot de passe de M.arc me donne gone69