Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • État Fermée
  • Pourcentage achevé
    100%
  • Type Anomalie
  • Catégorie Non trié
  • Assignée à Personne
  • Système d'exploitation Tous
  • Sévérité Basse
  • Priorité Très Basse
  • Basée sur la version A PRECISER
  • Due pour la version Non décidée
  • Échéance Non décidée
  • Votes 1
  • Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par Malak - 10/09/2020
Dernière modification par mbizon - 11/09/2020

FS#32372 - Sécurité - Token de session dans l'url de l'espace abonné

Bonsoir,

Je ne savais pas où ajouter cette tâche, cela touche l’espace abonné (adsl.free.fr pour moi).
Quand on se connecte, le token de session se trouve directement dans l’url, il suffit donc d’avoir cette URL pour se retrouver connecté au compte.

Comment est-ce possible d’avoir encore cela aujourd’hui? on développait ainsi il y a 20 ans, quand on ne se préoccupait guère de la sécurité... c’est un bug ou a toujours été ainsi?
Au passage, le token de session est également très léger...

Pour un espace abonné où de nombreuses informations importantes figurent, c’est vraiment mauvais...

Fermée par  mbizon
11.09.2020 09:46
Raison de la fermeture :  Ticket invalide
Commentaires de fermeture :  

ne concerne pas le firmware de la freebox, j'ai fwd aux personnes concernées

Malak a commenté le 11.09.2020 04:51

Je viens de tomber sur cette news aberrante:
https://www.universfreebox.com/article/54087/free-lance-enfin-un-nouveau-systeme-de-mot-de-passe-securise-pour-ses-abonnes-freebox

Vu le niveau, c'est sans doute ainsi depuis toujours donc... incroyable tant de laxisme et d'amateurisme.

Chargement...

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche