OVH Community, votre nouvel espace communautaire.

Faille de sécurité MoM


nitrix-ud
29/07/2013, 10h47
l'accès aux logs semble aussi concerné : on y accède avec l'ancien mot de passe (ça fait des années que c'est comme ça ...)
@oles,

du coup maintenant en fonction du domaine, j'ai besoin de 3 mots de passe... et aucun outil pour enlever les accès avec les anciens mot de passe ...

fodjer
27/07/2013, 10h49
Citation Envoyé par fodjer
J'ai tenté hier de m'inscrire à la newsletter vps. Ça ne semble toujours pas fonctionner, ou alors c'est une newsletter très silencieuse !

Quelqu'un a t il réussi à s'inscrire récemment (et à recevoir des messages autres que celui du robot d'inscription) ?
Désolé, je me suis trompé de catégorie pour ce post !

fodjer
27/07/2013, 10h46
J'ai tenté hier de m'inscrire à la newsletter vps. Ça ne semble toujours pas fonctionner, ou alors c'est une newsletter très silencieuse !

Quelqu'un a t il réussi à s'inscrire récemment (et à recevoir des messages autres que celui du robot d'inscription) ?

Désolé je me suis trompé de catégorie pour ce post!

fodjer
25/07/2013, 22h17
Citation Envoyé par raoul-h
bonjour,
- autre faiblesse me semble-t-il : la connexion au manager via MoM ne déclenche pas l'envoi du mail de sécurité.
Idem, lorsque je me connecte au manager, je ne reçois plus d'email de notification.
Même chose lorsque j'utilise SOAPI.

Comment faire pour réactiver les notifications de connexion par email ?

merci

Aube
25/07/2013, 20h03
Citation Envoyé par Oles
Le mot de passe de l'identifiant et du SOAP
c'est le même. Sauf pour ceux qui ont choisi
d'avoir 2 mots de passe différents.

Est ce qu'il y a des clients qui ont choisi d'avoir
2 mots de passe différents entre l'identifiant
et le SOAP, mais en réalité ont tapé le
même dans les 2 cas ? Bonne question ..

On regarde.
En fait, c'est en changeant le mot de passe dans le manager V3 suite à ton msg de sécurité que le problème est apparu (avant les 2 mots de passe étaient identiques):
J'ai changé le mot de passe du manager, mais comme dans la case "utiliser le meme mot de passe que SOAP" n'était pas coché dans le mode expert, et bien ça a conservé l'ancien mot de passe pour MoM.

Je viens de faire la manip de cocher la case, maintenant mes mots de passe manager et MoM sont bien synchro. Ouf.

Nowwhat
25/07/2013, 19h30
Citation Envoyé par raoul-h
....
- autre faiblesse me semble-t-il : la connexion au manager via MoM ne déclenche pas l'envoi du mail de sécurité.
Je viens de me connecter sur mon Manager avec MoMi à partir de mon smart-bidule.
La push-notification d'OVH concernant la connexion est carrément passé en travers.

C'est donc une question de paramétrage, car "pour moi ça marche tm"

édit: le mail a ceci en plus:
Cette connexion a eu lieu depuis l'api soap.

buddy
25/07/2013, 17h11
Avec l appli ovh sous android, j ai du retaper mon nouveau mot de pass sur mon tel.

raoul-h
25/07/2013, 15h36
bonjour,

- l'accès aux logs semble aussi concerné : on y accède avec l'ancien mot de passe (ça fait des années que c'est comme ça ...)
- autre faiblesse me semble-t-il : la connexion au manager via MoM ne déclenche pas l'envoi du mail de sécurité.

Oles
25/07/2013, 15h10
Le mot de passe de l'identifiant et du SOAP
c'est le même. Sauf pour ceux qui ont choisi
d'avoir 2 mots de passe différents.

Est ce qu'il y a des clients qui ont choisi d'avoir
2 mots de passe différents entre l'identifiant
et le SOAP, mais en réalité ont tapé le
même dans les 2 cas ? Bonne question ..

On regarde.

biduletruc
25/07/2013, 13h13
C'est clair. Pour pallier cela il faut aller dans le manager -> administration -> paramètres -> mot de passe -> cocher mode expert -> soap -> cocher : même mot de passe que le manager.

Tant qu'on a pas fait ça pour tous ses domaines déjà utilisés auparavant avec MoM ou l'appli Android alors votre ancien mot de passe sera exploitable ad vitam eternam.

Si OVH ne refait pas un message d'information complémentaire à tous ses clients, c'est grave.


fodjer
24/07/2013, 21h40
Citation Envoyé par biduletruc
Aujourd'hui 24/07/13 toujours pas de correction : les anciens mots de passe d'accès au manager fonctionnent toujours avec MoM même s'ils ont été modifiés pour l'accès via un navigateur web


Et j'ajoute qu'également l'application Android aussi exploite encore un serveur stockant les anciens mots de passe !!!

Youhou, vive le piratage en toute liberté
C'est une info importante. Tu devrais ouvrir un ticket pour les prévenir.

biduletruc
24/07/2013, 17h26
Aujourd'hui 24/07/13 toujours pas de correction : les anciens mots de passe d'accès au manager fonctionnent toujours avec MoM même s'ils ont été modifiés pour l'accès via un navigateur web


Et j'ajoute qu'également l'application Android aussi exploite encore un serveur stockant les anciens mots de passe !!!

Youhou, vive le piratage en toute liberté

biduletruc
23/07/2013, 15h32
Il semble à l'heure où j'écris que le logiciel MoM exploite toujours les anciens mots de passe malgré toute la campagne d'information que vous venez de faire suite au piratage.

Cela signifie que même si l'on a changé tous ses mots de passe d'accès au manager depuis des heures, le(s) pirate(s) peu(ven)t encore impunément agir sur nos domaines s'ils ont réussi à casser le salage des anciens mots de passe !