Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Firefox Send : protection par mot de passe… qui sera logué dans la console en cas de téléchargement

Début août, nous parlions d'un service de stockage de fichiers mis en ligne par Mozilla, Send. Celui-ci a depuis évolué et vient de gagner une fonctionnalité importante : la protection par mot de passe.

Ainsi, une fois le fichier envoyé et chiffré, lorsque vous obtenez un lien de partage, vous pouvez désormais cocher la case « Exiger un mot de passe pour télécharger ce fichier ». Le mot pourra être composé de 64 caractères au maximum. Dommage, aucun bouton ne permet d'en générer un aléatoirement.

Dans tous les cas, si un utilisateur se rend sur un tel lien, il devra saisir le mot de passe avant d'accéder au téléchargement. On s'étonnera par contre que, lors de la procédure, le mot de passe soit placé dans la console du navigateur comme on peut le voir dans le code, et comme nous l'avons vérifié.

Mozilla précise au passage avoir mis en place un chiffrement des métadonnées, comme le nom du fichier ou son type. Elles étaient précédemment stockées en clair.


 

Mise à jour : Suite à notre actualité et à l'intervention d'un lecteur, le problème a été corrigé.

9 commentaires
Avatar de Zerdligham INpactien
Avatar de ZerdlighamZerdligham- 16/11/17 à 10:43:36

Existe-t-il des cas ou de la console.log soit pertinent en prod?
Il me semble avoir vu des linters considérer qu'un console.log soit une erreur, ou au moins un warning

Cela étant, je ne vois pas trop quelle utilisation malveillante pourrait en être fait, c'est surtout la honte.

Avatar de Cronycs Abonné
Avatar de CronycsCronycs- 16/11/17 à 11:00:11

Zerdligham a écrit :

Existe-t-il des cas ou de la console.log soit pertinent en prod?
Il me semble avoir vu des linters considérer qu'un console.log soit une erreur, ou au moins un warning

Cela étant, je ne vois pas trop quelle utilisation malveillante pourrait en être fait, c'est surtout la honte.

C'est surtout une solution en beta test...

Avatar de Furanku Abonné
Avatar de FurankuFuranku- 16/11/17 à 11:01:51

Sûrement un oubli.
Ça sent le console.log mis pour du debug :)

Avatar de David_L Équipe
Avatar de David_LDavid_L- 16/11/17 à 11:05:18

Bah tu peux faire un programme en bêta sans diffuser un mot de passe dans les logs de l'utilisateur non ? AMHA c'est un truc de debug qui traine, m'enfin ça fait quand même tâche ;)

Avatar de Ricard INpactien
Avatar de RicardRicard- 16/11/17 à 11:10:56

Il est donc urgent d'attendre.:D

Avatar de laurentj INpactien
Avatar de laurentjlaurentj- 16/11/17 à 11:29:16

Aller, je suis bon seigneur, j'ai proposé le patch pour supprimer cette ligne de codehttps://github.com/mozilla/send/pull/645 :-)

Avatar de David_L Équipe
Avatar de David_LDavid_L- 16/11/17 à 11:45:51

:D

Avatar de CaptainReloo Abonné
Avatar de CaptainRelooCaptainReloo- 16/11/17 à 21:01:11

Ayé, le fix est en prod, ça a été assez vite quand même :yes:

Avatar de Mallisanna INpactien
Avatar de MallisannaMallisanna- 16/11/17 à 22:40:10
Édité par Tolor le 17/11/2017 à 03:16
Il n'est plus possible de commenter cette actualité.