Wouah! Je viens de regarder mon compte google. Et je viens de voir que ma télé Philips Android a beaucoup trop d'acces aux informations de Google propose. Le pire c'est que je ne sais pas comment paramétrer cela. Aujourd'hui cela devient catastrophique la liberté que prenne constructeur et autres applications.
Ca m'a toujours surpris dans cet ordre d'idée qu'un protocole de type identification only ne soit pas implémenté. Cela pourrait être particulièrement utile pour autoriser l'accès à des utilisateurs venant d'une structure en interdisant l'accès à l'identification par l'extérieur. Une bonne authentification peut se faire de cette façon : On configure le site qui demande l'authentification avec une url d'authentification et une clef publique du serveur d'authentification. Lorsque le client tente de se connecter, on le renvoie vers l'url avec une url de retour, un nonce, et une clef publique en paramètre. Le serveur auquel sur lequel il s'identifie créé un jeton qu'il signe avec sa clef privée et encrypte avec la clef publique du serveur demandeur. Il renvoie le tout au client qui poste le jeton au serveur demandeur qui peut alors vérifier que le client est bien légitime, parce qu'il peut authentifier la signature du serveur d'authentification. Dans ce protocole, les deux serveurs n'ont pas besoin de pouvoir communiquer ensemble.
Si j’ai bien compris on dialogue avec le server de Google qui lui demande un token au server qui héberge le site auquel on veut accéder/ se connecter, il lui envoie et après nous sommes connectés ?
Moi j'évite d'utiliser cette fonctionnalité au cas où le site redirige vers une fausse page de connexion Google sans que je m'en rende compte Flemme de vérifier l'url systématiquement, et pire si la page s'affiche en pop-up car elle pourrait très bien être une fausse pop-up contrôlée par le site malveillant C'est possibles ces scénarios ou bien je me fais des films ?
Pour le coup, je suis développeur et j'ai déjà fait un système OAUTH2 sans passer par google mais par mon propre serveur d'authorization. Ca paraît assez compliqué de mettre ton use case en place. A moins que le site de base ne soit malveillant évidemment.. Mais si tu veux te connecter sur un site ultra connu par ce système.. franchement t'as + de chance de trouver un billet de 500€ demain matin que de te faire hack ! Aussi, sur une page "fake" de google, je ne suis pas sûr que ton compte serait affiché par défaut. Tu sais, quand tu choisis un de tes comptes google. En effet, si ça n'affiche rien par défaut, étrange, pourquoi Google n'aurait plus accès à tes informations (sauf si tu delete tout ton cache / navig privée, etc ?) A priori, c'est assez improbable de mon point de vue. Mais parfois, on découvre des hacks de fou X années après.. alors attention, mais il ne faut pas non plus être parano de tout ahah
@lokmind9033 Mais je parle du point de vue de l'utilisateur si le site web est malveillant En tant que pirate, qu'est-ce qui m'empêche de créer un clone de la page d'authentification et rediriger mes utilisateurs vers elle pour récupérer les mots de passe ? Et même si les comptes sont protégés par une A2F, j'aurai juste à répliquer les réponses de la vrai API Google pour choper les tokens de mes utilisateurs
Souvent tu es déjà connecté à google sur ton navigateur (gmail ouvert etc.) donc une fois redirigé vers google tu n'as pas besoin de saisir tes identifiants, tu as juste à choisir quel compte tu veux y connecter (si plusieurs comptes ouverts en parallèle), accepter les permissions (sauf si les permissions sont minimales je crois) et tu es redirigé vers le site. Donc souvent tu ne vois même pas les pages google. Si on me demande à saisir mes identifiants à ce moment c'est un red flag pour moi. Egalement, si le MFA est activé sur ton compte google, même si tes identifiants sont récupérés, théoriquement ton compte reste protégé car il reste une étape de validation par SMS ou authenticator avant de pouvoir te connecter.
😮😮😂😂🎉😢o merci beaucoup je connaissais pas du tout ce genre de code de fonctionnalité de comment Google accéder au site merci pour vos explications je suis plus rassuré😅😮😮😅😅😊
Tu m apprend des truc de ouf merci à toi t le bosse
Wouah! Je viens de regarder mon compte google. Et je viens de voir que ma télé Philips Android a beaucoup trop d'acces aux informations de Google propose. Le pire c'est que je ne sais pas comment paramétrer cela. Aujourd'hui cela devient catastrophique la liberté que prenne constructeur et autres applications.
Tu as surtout parlé du flow l'Authorization code, mais il y en a d'autres client side ou m2m.
Ca m'a toujours surpris dans cet ordre d'idée qu'un protocole de type identification only ne soit pas implémenté.
Cela pourrait être particulièrement utile pour autoriser l'accès à des utilisateurs venant d'une structure en interdisant l'accès à l'identification par l'extérieur.
Une bonne authentification peut se faire de cette façon :
On configure le site qui demande l'authentification avec une url d'authentification et une clef publique du serveur d'authentification.
Lorsque le client tente de se connecter, on le renvoie vers l'url avec une url de retour, un nonce, et une clef publique en paramètre. Le serveur auquel sur lequel il s'identifie créé un jeton qu'il signe avec sa clef privée et encrypte avec la clef publique du serveur demandeur. Il renvoie le tout au client qui poste le jeton au serveur demandeur qui peut alors vérifier que le client est bien légitime, parce qu'il peut authentifier la signature du serveur d'authentification.
Dans ce protocole, les deux serveurs n'ont pas besoin de pouvoir communiquer ensemble.
T'es trop fort !!!
Si j’ai bien compris on dialogue avec le server de Google qui lui demande un token au server qui héberge le site auquel on veut accéder/ se connecter, il lui envoie et après nous sommes connectés ?
Moi j'évite d'utiliser cette fonctionnalité au cas où le site redirige vers une fausse page de connexion Google sans que je m'en rende compte
Flemme de vérifier l'url systématiquement, et pire si la page s'affiche en pop-up car elle pourrait très bien être une fausse pop-up contrôlée par le site malveillant
C'est possibles ces scénarios ou bien je me fais des films ?
Pour le coup, je suis développeur et j'ai déjà fait un système OAUTH2 sans passer par google mais par mon propre serveur d'authorization. Ca paraît assez compliqué de mettre ton use case en place. A moins que le site de base ne soit malveillant évidemment.. Mais si tu veux te connecter sur un site ultra connu par ce système.. franchement t'as + de chance de trouver un billet de 500€ demain matin que de te faire hack !
Aussi, sur une page "fake" de google, je ne suis pas sûr que ton compte serait affiché par défaut. Tu sais, quand tu choisis un de tes comptes google. En effet, si ça n'affiche rien par défaut, étrange, pourquoi Google n'aurait plus accès à tes informations (sauf si tu delete tout ton cache / navig privée, etc ?)
A priori, c'est assez improbable de mon point de vue. Mais parfois, on découvre des hacks de fou X années après.. alors attention, mais il ne faut pas non plus être parano de tout ahah
@lokmind9033 Mais je parle du point de vue de l'utilisateur si le site web est malveillant
En tant que pirate, qu'est-ce qui m'empêche de créer un clone de la page d'authentification et rediriger mes utilisateurs vers elle pour récupérer les mots de passe ?
Et même si les comptes sont protégés par une A2F, j'aurai juste à répliquer les réponses de la vrai API Google pour choper les tokens de mes utilisateurs
Souvent tu es déjà connecté à google sur ton navigateur (gmail ouvert etc.) donc une fois redirigé vers google tu n'as pas besoin de saisir tes identifiants, tu as juste à choisir quel compte tu veux y connecter (si plusieurs comptes ouverts en parallèle), accepter les permissions (sauf si les permissions sont minimales je crois) et tu es redirigé vers le site. Donc souvent tu ne vois même pas les pages google. Si on me demande à saisir mes identifiants à ce moment c'est un red flag pour moi.
Egalement, si le MFA est activé sur ton compte google, même si tes identifiants sont récupérés, théoriquement ton compte reste protégé car il reste une étape de validation par SMS ou authenticator avant de pouvoir te connecter.
@lokmind9033Les « pirateurs » mdr , coupable de pirateurie
😮😮😂😂🎉😢o merci beaucoup je connaissais pas du tout ce genre de code de fonctionnalité de comment Google accéder au site merci pour vos explications je suis plus rassuré😅😮😮😅😅😊
C'est un peu le même principe de wallet connect après qu'il n'a pas Google et que c'est décentralisée.
Merci !!!
Conclusion : il vaut mieux se connecter sans utiliser Google. Quand on peut, parce-que certains sites ne proposent pas de choix !
Je relaie.
Petite ref leet speak j'adore
Salut je me suis fait scam sur telegram je sais pas quoi faire ( phishing) j’ai pris un max d’infos mais je sais pas où aller avec ces infos
1st!!!!