>Mais cela necessite d'avoir ce plugin installé

Oui,
en général pour qu'un plug-in fonctionne, il doit être installé

> et le jour ou ce service n'existera plus, si on reformate son PC, improssible > de recuperer ses mots de passe!
> Il faudra donc tous les remplacer!

Le jour ou SSOfast fait faillite et qu'on retire la base de la prod,
les clients seront également obligés de se rappeller de tous leurs mots de passe qu'ils avaient stockés chez nous.
D'ou process de recuperation du mdp pour ch1 des sites, etc.
     
Le principe du plug in c'est :
     hasher mdp+domain name et
     envoyer le hash comme mdp pour le site en question
donc tant que tu possèdes ton mdp initial (qu'a priori tu n'as stocke nulle part ailleurs que dans ta tete) et le site associé, tu es toujours en theorie en mesure de les hasher, avec du code maison.

> C'est surtout le fait de devoir installer un plugin qui me gene...
> Et puis, va savoir ce qu'il fait avec! Si il faut, le concepteur se crée un
> base avec tout ces codes d'accé! Grima&ccedil;ant (<--Je plaisante!
> Roulement d'yeux)

C'était surtout le concept en soi qui est interessant en tant qu'idee pour ssofast :
hacher la clef d'encryption maître par l'url qu'on veut rajouter
pour creer une clef d'encryption unique pour cette entree specifique.

Donc au final
celui qui casse un login/pwd en base n'aura pas accès a la clef d'encryption principale mais à une pauvre digest.

A moins que ce ne fusse déjà le cas actuellement ?

http://crypto.stanford.edu/PwdHash/

A Simple Solution. PwdHash is an browser extension that transparently converts a user's password into a domain-specific password. The user can activate this hashing by choosing passwords that start with a special prefix (@@) or by pressing a special password key (F2). PwdHash automatically replaces the contents of these password fields with a one-way hash of the pair (password, domain-name). As a result, the site only sees a domain-specific hash of the password, as opposed to the password itself. A break-in at a low security site exposes password hashes rather than an actual password. We emphasize that the hash function we use is public and can be computed on any machine which enables users to login to their web accounts from any machine in the world. Hashing is done using a Pseudo Random Function (PRF).[/color]

Si j'ai bien compris, en apposant @@ devant son mdp, le plugin fait proxy, encrypte le mdp en fonction du nom de domaine et propose au serveur un mdp unique, ce qui evite si le site se fait casser d'avoir un mdp exploitable sur d'autres sites.

Pas con

ok,
je serai plus vigilant

perso jamais vu

mouais,
l'utilisateur mongol on l'a découragé là,
il est déjà reparti sur myspace se faire ami avec des pornstarrrz

j'y parviens, mais uniquement en mode expert.

il faut passer en mode expert pour creer des liens et des repertoires

Je ne parviens plus a creer de lien ou de repertoire.
Rien ne s'affiche lorsque j'affiche sur un de deux onglets.
Nouvelle Feature ?

Je comprends pas trop ton souci concernant le display name ?
C'est qu'il y a pas de check sur l'unicite du nom, c'est ca ?
Si c'est le cas, effectivement, faut checker en cas de modif de nom.

Pourquoi faire si complique a la generation du login ?
"user"+idunique+delta arbitraire ca devrait le faire non ? genre User1018 ?

Et puis bon, ca reste toujours dans le cadre de la discussion hein
Moi, je voyais plus ca comme ajout a la todo list

Dans la mesure ou tout l'interet du site repose sur l'encodage des donnees,
effectivement notre dernier (ou unique, si on veut) verrou de securite, c'est la pertinence de la clef que tu auras choisi.
A priori, je suis un utilisateur mongol, je fais un clef simple qui se pete "relativement" vite,
dans la mesure ou j'ai l'algo d'encodage et une clef comprise entre 5 et 10 cars.

De fait, notre premier verrou de securite, c'est notre couple login/password.
Disposer du login publiquement, c'est deja offrir un petit levier sur la mecanique.

Alors apres forcement,
ok pour le mecanisme de desactivation
bien que ca devienne un potentiel abuse pour leser un utilisateur (que ce soit par la modif de son mot de passe ou par la desactivation de son compte),
mais on repond au probleme du petit levier en rajoutant un mecanisme en face,
sans retirer le levier lui meme.

Je ne connais pas ton process de creation automatique de compte sur ton board
mais si on se base sur la notion login name (pour se connecter) et display name (nom affiché dans les threads) qui est une notion courante des boards, on peut peut etre generer le compte avec le login name du board identique au login name ssofast, qui reste secret, on genere un display name a la volee, du genre UserXYZ, et on autorise dans le profil la modification du display name.

Apres je suis d'accord avec toi, hein,
si je suis client yahoo, le nom de mon login va se retrouver partout en public, et offre un point d'entree non negligeable, mais comme c'est du yahoo, effectivement l'interet est faible.
En revanche, tu vas pas le voir souvent en public le login perso d'un compte paypal ?

l'un des objectifs du site est l'aspect secure qu'il doit fournir
de ce fait, toute information susceptible d'informer un eventuel mechant est à éviter.

Le fait que l'on utilise comme nom de user dans le forum le username du site ssofast,
permet ensuite de pouvoir utiliser un bruteforce et eventuellement de se connecter sur le compte utilisateur, non ?

Bon,
bien que nico m'ait fait la démo qu'il arrivait a se connecter sur HSX
pour ma part, je n'y parviens pas

j'ai essaye http://www.hsx.com/pgLogin.jsp et http://www.hsx.com/
et aucun des deux ne passe

j'ai rate qqchose ?

t'as reussi a passer box.net ?
gros furieux
mci!

bon,
après un premier tour d'utilisation d'une dizaine de jours, j'en suis hélas à plus de sites incompatibles que de sites compatibles

pour l'instant ceux qui ne passent pas
www.riya.com
www.box.net
www.netvibes.com
mail.yahoo.fr qui est tres sioux et ne connecte pas tres souvent voire jamais

Ce n'est pas une critique hein, juste un retour d'expérience

(modifié)  Je viens a nouveau de tester www.gybo.org, il passe ce coup ci.
(modifié) et j'ai bien conscience que box.net et netvibes.com y'aura pas moyen
par contre je comprends pas pour riya ?

Nico : ouais
faut qu'on se brieffe, je suis 5 semaines a sophia pour un taf express, donc forcement, je me suis mis au biniou ...

iop : je me doutais bien que c'etait une diablerie de ce genre, pour un site un peu plus confidentiel j'aurais pas insisté, mais c'est le genre de site que les gens vont nous demander direct.
merci

J'ai l'impression que le mailer web de voila pose souci également :
que ce soit avec http://mail.voila.fr  qu'avec http://mail1.voila.fr/webmail/fr_FR/login.html
pas moyen de connecter.

Oui / non ?