Forum: Rails France twitter et rails

Announcement (2017-05-07): www.ruby-forum.com is now read-only since I unfortunately do not have the time to support and maintain the forum any more. Please see rubyonrails.org/community and ruby-lang.org/en/community for other Rails- und Ruby-related community platforms.
guillaume belleguic (Guest)
on 2009-01-07 13:26
(Received via mailing list)
Bonjour,
Avec tout le bruit autour des attaques de twitter, je me pause quelque
petites questions (dont vous avez peut être les réponses) :
  - twitter utilise encore ROR ?
 - et si oui cette attaque met elle en cause une faille de ROR ? (selon
mais
recherche non mais bon...)

Merci pour vos réponses
Nicolas Mérouze (Guest)
on 2009-01-07 22:44
(Received via mailing list)
2009/1/7 guillaume belleguic <removed_email_address@domain.invalid>

>  - et si oui cette attaque met elle en cause une faille de ROR ? (selon
> mais recherche non mais bon...)
>

D'après ce que j'ai entendu dire c'était juste qu'ils avaient des mot de
passe pourris mais je n'en sais pas vraiment plus.

--
Nicolas Mérouze
http://www.yeastymobs.com
Pierre V. (Guest)
on 2009-01-07 23:06
(Received via mailing list)
http://www.theregister.co.uk/2009/01/07/twitter_ha...

2009/1/7 Nicolas Mérouze <removed_email_address@domain.invalid>
Guillaume B. (Guest)
on 2009-01-07 23:46
(Received via mailing list)
en lisant la fin de l'article j'ai pensé à un truc tout con anti "force
brute" mais qui n'est que très peu gênant pour l'utilisation normale : a
chaque essai on double le delai d'attente pour l'essai suivant.

ainsi les 2 ou 3 essais se passent de manière transparente. et si qqu'un
cherche vraiment son mot de passe, ça lui prendra éventuellement du
temps (à
la 10e tentative on est déjà au quart d'heure si on avait initialisé le
délai à 2 secondes) mais ça restera toujours possible.

c'est mon autoradio qui avait ça (pour mettre le code après l'avoir
débranché), j'ai trouvé ça d'un rapport simplicité/efficacité déroutant
(((-:

gUI

Le 7 janvier 2009 22:05, Pierre V. <removed_email_address@domain.invalid> a 
écrit
:

>>>
>>
>>
>
> >
>


--
Pour la santé de votre ordinateur, préférez les logiciels libres.
Lire son mail : http://www.mozilla-europe.org/fr/products/thunderbird/
Browser le web : http://www.mozilla-europe.org/fr/products/firefox/
Suite bureautique : http://fr.openoffice.org/
Pierre V. (Guest)
on 2009-01-08 01:07
(Received via mailing list)
faut quand même penser à le remettre à zéro de temps en temps non ?

2009/1/7 Guillaume B. <removed_email_address@domain.invalid>
Guillaume B. (Guest)
on 2009-01-08 08:55
(Received via mailing list)
Le 8 janvier 2009 00:07, Pierre V. <removed_email_address@domain.invalid> a 
écrit
:

> faut quand même penser à le remettre à zéro de temps en temps non ?


dès que le mot de passe est bon bien sur !

gUI

--
Pour la santé de votre ordinateur, préférez les logiciels libres.
Lire son mail : http://www.mozilla-europe.org/fr/products/thunderbird/
Browser le web : http://www.mozilla-europe.org/fr/products/firefox/
Suite bureautique : http://fr.openoffice.org/
guillaume belleguic (Guest)
on 2009-01-08 10:14
(Received via mailing list)
Merci pour vos réponses.
Effectivement l'attaque par dictionnaire est à prendre en compte...

2009/1/8 Guillaume B. <removed_email_address@domain.invalid>
Nicolas C. (Guest)
on 2009-01-08 10:36
(Received via mailing list)
Le 7 janv. 09 à 22:45, Guillaume B. a écrit :

> en lisant la fin de l'article j'ai pensé à un truc tout con anti
> "force brute" mais qui n'est que très peu gênant pour l'utilisation
> normale : a chaque essai on double le delai d'attente pour l'essai
> suivant.
>
> ainsi les 2 ou 3 essais se passent de manière transparente. et si
> qqu'un cherche vraiment son mot de passe, ça lui prendra
> éventuellement du temps (à la 10e tentative on est déjà au quart
> d'heure si on avait initialisé le délai à 2 secondes) mais ça
> restera toujours possible.

Pas bête du tout ! J'ai presque envie d'en faire un plugin ...
--
Nicolas C.
http://www.bounga.org
http://www.cavigneaux.net
Fernando P. (Guest)
on 2009-01-08 17:38
Guillaume B. wrote:
> en lisant la fin de l'article j'ai pensé à un truc tout con anti "force
> brute" mais qui n'est que très peu gênant pour l'utilisation normale : a
> chaque essai on double le delai d'attente pour l'essai suivant.
>
> ainsi les 2 ou 3 essais se passent de manière transparente. et si qqu'un
> cherche vraiment son mot de passe, ça lui prendra éventuellement du
> temps (à
> la 10e tentative on est déjà au quart d'heure si on avait initialisé le
> délai à 2 secondes) mais ça restera toujours possible.
>

Augmenter le délai, oui mais il faut faudra fixer une limite supérieure,
parce que sinon, il va y avoir une attaque très simple à mettre en
place: un robot qui rempli des mdp bidons simplement pour faire
augmenter les timers sur des milliers de compte, de cette manière quand
l'utilisateur légitime va vouloir se connecter il va se faire jeter et
devra attendre 10 minutes.

--
Vidéos de formation à distance sur http://www.digiprof.fr
Cyril M. (Guest)
on 2009-01-08 17:53
(Received via mailing list)
Fernando P. wrote:
>> délai à 2 secondes) mais ça restera toujours possible.
>>
>>
>
> Augmenter le délai, oui mais il faut faudra fixer une limite supérieure,
> parce que sinon, il va y avoir une attaque très simple à mettre en
> place: un robot qui rempli des mdp bidons simplement pour faire
> augmenter les timers sur des milliers de compte, de cette manière quand
> l'utilisateur légitime va vouloir se connecter il va se faire jeter et
> devra attendre 10 minutes.
>

Sauf si tu limites le temps de connections à l'IP. Par contre à coup de
botnet, la protection n'existe plus.

--
Cyril M.
http://blog.shingara.fr
Guillaume B. (Guest)
on 2009-01-08 21:45
(Received via mailing list)
mouais... c'est vrai que c'est pas très adapté au net ce truc...
dommage, je
trouvais ça cool (-;

gUI

Le 8 janvier 2009 16:52, Cyril M. <removed_email_address@domain.invalid> a 
écrit :

> >> temps (à
> > devra attendre 10 minutes.
> >
>


--
Pour la santé de votre ordinateur, préférez les logiciels libres.
Lire son mail : http://www.mozilla-europe.org/fr/products/thunderbird/
Browser le web : http://www.mozilla-europe.org/fr/products/firefox/
Suite bureautique : http://fr.openoffice.org/
Jean-Philippe M. (Guest)
on 2009-01-09 12:52
(Received via mailing list)
Guillaume B. a écrit :
> en lisant la fin de l'article j'ai pensé à un truc tout con anti "force
> brute" mais qui n'est que très peu gênant pour l'utilisation normale : a
> chaque essai on double le delai d'attente pour l'essai suivant.
>
> ainsi les 2 ou 3 essais se passent de manière transparente. et si qqu'un
> cherche vraiment son mot de passe, ça lui prendra éventuellement du
> temps (à la 10e tentative on est déjà au quart d'heure si on avait
> initialisé le délai à 2 secondes) mais ça restera toujours possible.
>

Ton concept approfondi sur Coding Horror :
http://www.codinghorror.com/blog/archives/001206.html

Après le problème si on filtre sur l'IP (pour eviter un DOS) est qu'on peut
toujours utiliser un botnet comme dit Cyril.
Si on ne filtre pas sur l'IP on peut mettre une limite supérieure; et
ajouter un
CAPTCHA au bout d'un certain nombre de tentatives comme indiqué dans
l'article.
Nicolas C. (Guest)
on 2009-01-09 13:08
(Received via mailing list)
Le 9 janv. 09 à 11:51, Jean-Philippe M. a écrit :

> Si on ne filtre pas sur l'IP on peut mettre une limite supérieure;
> et ajouter un
> CAPTCHA au bout d'un certain nombre de tentatives comme indiqué dans
> l'article.


Ca reste de loin la meilleure solution que j'ai pu voir pour résoudre
ce problème. Pour ma part, je laisse 3 essais sans CAPTCHA puis les
essais consécutifs auront besoin d'une validation CAPTCHA. Cette
dernière n'est plus nécessaire dès lors que log-in (avec CAPTCHA) a
réussi.
--
Nicolas C.
http://www.bounga.org
http://www.cavigneaux.net
This topic is locked and can not be replied to.