En poursuivant votre navigation sur ce site ou en cliquant sur la croix, vous acceptez le dépôt de cookies destinés à réaliser des statistiques de visites ainsi qu'à vous proposer des vidéos, des boutons de partage, des publicités personnalisées et un service de chat. Pour en savoir plus et paramétrer les cookies X

FR EN DE ES IT PT
Naviguer dans les forums 
Trackers Ankama

Passage site http://www.krosmoz.com en HTTPS ?

Par Arctic-Baboin - ABONNÉ - 26 Juin 2019 - 23:29:06

Bonjour,
Je viens de m'apercevoir que le site donnant les infos sur l'almanax n'est pas en HTTPS et le cookie de session sur ce site est commun à celui du site principal, cette faille peut être exploitée pour du vol de session très facilement (cela peut donc permettre à un attaquant de se connecter sans les log sur un autre compte). Est-ce qu'une migration vers du HTTPS est envisagée ?

6 0
Réactions 9
Score : 1920

J'avais même pas remarqué ! Faudrait inspecter le cookie et voir les infos qu'il y a dedans exactement et sous quelle forme

0 0
Score : 147

J'ai fait un copier coller du cookie en question sur un autre navigateur non connecté (un autre profile web) et ça m'a bien connecté. C'est le cookie "SID".

0 0
Score : 5380

Tu peux te connecter en volant le cookie mais le site te demandera ton mot de passe pour faire des achats et accéder à la gestion de compte.

Par contre, tu peux polluer le forum et envoyer des insultes par Ankabox pour faire bannir le compte.

0 0
Score : 211

Ajout d'extension : " HTTPS partout "
 

1 0
Score : 209

J'ai contacté le support par rapport a ce point il y a plusieurs mois. Ils s'en foutent totalement.
Oui tu peux forcer le HTTPS, et oui il y a un certificat. Le problème c'est que le certificat qu'ils ont mis n'est pas valide pour *.krosmoz.com mais *.krosmaga.com.

0 0
Score : 2658

Quand tu as la flemme et que tu copies/colles le certificat d'un site pour un autre, malheureusement ça ne marche pas comme ça !

0 0
Score : 2658

Après sinon, si on utilises un VPN comme je le fais actuellement, aucun risque, je peux me promener en HTTP, vu que carrément toute la trame et le cookie sont cryptés par le VPN ! 

 

0 -4
Score : 29

C'est crypté entre toi et ton VPN, pas entre le VPN et le serveur cible HTTP. Du coup, il y a toujours possibilité d'intercepter ton cookie avec un mitm

2 0
Réagir à ce sujet