Accéder au contenu principal

Gros bug que je n'avais jamais remarqué ...

 Bonsoir,

Je viens de recevoir un message au sujet d'un bug que je n'avais jamais remarqué mais qui peut poser des problèmes de sécurité pour des rédactions ayant des captures d'écran. En effet, l'invite de commande MS-DOS est particulièrement indiscrète.

Je vous colle le contenu du mail de cette personne et profite de ce message pour le remercier et remercier tous ceux qui peuvent me donner leur retour concernant mes articles, projets ou sources.

----------------

P.J. : Une capture de votre article pour illustrer mon propos.

Bonsoir,

Je viens de lire votre article sur la gestion des bases MSDE ou SQL
Server à l'aide l'utilitaire OSQL, suite à sa parution dans la
newsletter MSDN de ce jour

Très bon article, mail il y a une ... "faille" dans vos captures d'écrans.
Notamment toutes celles où vous masquez votre mot de passe d'accès au
serveur.
Par exemple, cette page :
http://www.asp-php.net/tutorial/asp.net/osql.php?page=2

Effectivement, dans la fenêtre de commande, vous avez bien "griboullé"
le mot de passe, mais pas .... sur le titre de la fenêtre (le bandeau
bleu supérieur) où l'on voit que votre mot de passe est ... "*******"

;-)

Je me permets de vous le faire remarquer car je me suis également fait
avoir sur mon blog, où je présentais la synchronisation de deux serveurs
MySQL
(http://blog.thierrynardoux.com/index.php?2005/08/27/244-synchronisation-de-deux-serveurs-mysql)
Article que j'avais lu et relu dans tous les sens avant de publier et
dans les deux heures qui suivaient, un lecteur m'informait par mail que
mon mot de passe apparaissait au même endroit que le votre ;-)

Je trouve que ces fenêtres d'Invite de Commandes sont vraiment très
indiscrètes !
Si à l'occasion, vous pouvez remonter ce type d'infos à MS, ce serait
sympa, même si je pense qu'il ne doit pas être simple de corriger ce
genre de problème.
Mais c'est vraiment embêtant, car tous les utilitaires en ligne de
commandes pour lesquels on envoie un password, se retrouve avec le
password en clair dans la barre de titre ...
Si vous avez l'occasion de tomber sur d'autres sites/blogs/tuto ou autre
qui utilisent une invite de commandes pour passer un password en
paramètre ... vous verrez que la plupart des gens qui en font des copies
écrans n'y font pas attention ...

De mon côté, l'affichage du mot de passe n'était pas critique car il
s'agissait de celui du serveur esclave de réplication et pour lequel
aucun accès de l'extérieur n'est possible, mais bon ... c'est quelque
chose qui "mets un peu les boules" d'avoir bien lu et relu son article,
caché ses mots de passe et ne pas se rendre compte qu'ils apparaissent
dans un endroit aussi fugace ....
Je ne sais pas ce qu'il en est de votre installation et si votre serveur
est accessible de l'extérieur ou pas, mais si c'est le cas .... il ya un
gros risque de sécurité.

Amicalement.

P.S : Bien entendu, la version PDF de votre article est touchée
également. C'est même plus visible sur le PDF car les captures d'écrans
ont une taille supérieure à celles présnetes sur le site Web.
--
--------------------------------------------
Mon blog : http://blog.thierrynardoux.com
Mon forum : http://forum.thierrynardoux.com
Mon site : http://www.thierrynardoux.com
Vous aimez le rallye automobile ? http://www.chronoespoir.com
--------------------------------------------

 

PS: Je précise que ce mot de passe est utilisé uniquement sur ce serveur SQL installé sur mon poste de développement placé dans un LAN avec "Nattage", il est donc inutile d'essayer d'utiliser celui-ci ;)

Romelard Fabrice

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Série de vidéos sur le montage d'une serre horticole ACD

 Episode 1: Préparation du terrain Episode 2: Montage de la serre en elle même Episode 3: Finalisation avec le montage électrique alimentant la serre Bon visionnage Fab
Enregistrer un commentaire
Lire la suite

Présentation des outils utiles pour l'entretien de ses haies vives

Afin de gérer les haies vives, il est nécessaire d'avoir recourt à un matériel adapté. Les solutions à batteries sont bien adaptées pour un usage personnel avec des dimensions raisonnables. Ainsi dans mon cas précis, j'utilise les outils suivants de la Gamme Ryobi 18V ONE+ électroportatif: Petit taille-haies simple mais efficace -  RYOBI OHT1855R Un modèle plus puissant qui fonctionne très bien -  RYOBI RY18HTX60A Pour les parties hautes de vos haies, voici un outil très utile -  RYOBI OPT1845 Enfin lorsque vous devez élaguer certains arbres ou certaines partie hautes de vos haies, ce dernier outil est très utile -  RYOBI OPP1820 Ces outils font parti maintenant de mon arsenal de base pour maintenir notre maison chaque saison de taille. Fab
Enregistrer un commentaire
Lire la suite

Série de Videos sur Home Assistant intégrant la production Photovoltaïque

 Un certain nombre de vidéos sont en ligne pour intégrer sa production photovoltaïque dans Home Assistant en partant de la base. Installation de Home Assistant: On peut ensuite intégrer les composant des Micro-Onduleurs Enphase, mais aussi les batteries Enphase: Ou encore le composant de contrôle Ecojoko: Ce qui permet alors de faire des comparaisons entre les valeurs capturées: Des videos seront encore publiés dans les prochaines semaines sur différents aspects de cette solution. Fab
Enregistrer un commentaire
Lire la suite