Du foutage de gueule dans la sécurité des sites web
On ne rigole pas avec la sécurité. Il paraît.
Alors pourquoi certains sites nous pondent des blagues pareille ?
Vu sur le site de ma banque :
Le service 3D Secure (certicode), c’est l’envoie d’un SMS avec un code qui renforce la sécurité lors des virements et achats en ligne. Ouais… Sauf le samedi. Car le samedi — comme tout le monde le sait — l’envoie des SMS n’est pas possible, bien-sûr Internet est également fermé le samedi tout la journée.
On apprend aux enfants que les mots de passe doivent être forts, mais ma banque utilise un mot de passe à 6 putains de chiffres. Vous savez combien de temps il faut pour décrypter un tel mot de passe avec un million d’essais par seconde ? Statistiquement, une demi seconde.
Oh bien-sûr, ceci uniquement dans le cas où la base de données de la banque est chiffrée et le mot de passe n’est pas stocké en clair (autrement c’est même pas 1/2 seconde qu’il faut, mais c’est instantané).
Et je ne parle même pas des trackers XiTi dans l’espace de gestion « sécurisé ». Putain…
Sur un autre site :
Pire, sur le site on peut taper dix ou douze caractères, c’est coupé à 8. Du coup, on pense avoir un long mot de passe alors qu’il est simplement coupé à 8 caractères, sans rien nous dire.
À l’inverse des sites mal sécurisés, il y a les sites qui n’ont jamais été testés. Ça ne vous est jamais arrivé de remplir un formulaire à rallonges sur un site et au moment de poster, hop, il vous sort que le formulaire a expiré et vous devez tout remplir à nouveau ?
Le délai d’expiration est bien trop court pour qu’on puisse remplir le formulaire entièrement…
Alors pourquoi certains sites nous pondent des blagues pareille ?
Un ordinateur qui fait grève :
Vu sur le site de ma banque :
Le service 3D-Secure est disponible du dimanche matin au vendredi soir.
Le service 3D Secure (certicode), c’est l’envoie d’un SMS avec un code qui renforce la sécurité lors des virements et achats en ligne. Ouais… Sauf le samedi. Car le samedi — comme tout le monde le sait — l’envoie des SMS n’est pas possible, bien-sûr Internet est également fermé le samedi tout la journée.
Un code d’authentification à 6 chiffres (aucune lettre) :
On apprend aux enfants que les mots de passe doivent être forts, mais ma banque utilise un mot de passe à 6 putains de chiffres. Vous savez combien de temps il faut pour décrypter un tel mot de passe avec un million d’essais par seconde ? Statistiquement, une demi seconde.
Oh bien-sûr, ceci uniquement dans le cas où la base de données de la banque est chiffrée et le mot de passe n’est pas stocké en clair (autrement c’est même pas 1/2 seconde qu’il faut, mais c’est instantané).
Et je ne parle même pas des trackers XiTi dans l’espace de gestion « sécurisé ». Putain…
Un mot de passe de 6 à 8 caractères, sans ponctuation :
Sur un autre site :
Pire, sur le site on peut taper dix ou douze caractères, c’est coupé à 8. Du coup, on pense avoir un long mot de passe alors qu’il est simplement coupé à 8 caractères, sans rien nous dire.
« Désolé le formulaire a expiré… »
À l’inverse des sites mal sécurisés, il y a les sites qui n’ont jamais été testés. Ça ne vous est jamais arrivé de remplir un formulaire à rallonges sur un site et au moment de poster, hop, il vous sort que le formulaire a expiré et vous devez tout remplir à nouveau ?
Le délai d’expiration est bien trop court pour qu’on puisse remplir le formulaire entièrement…
Autres foutages de gueule traduisant une incompétence de la part du programmeur
- demander le type de carte bancaire (alors qu’il est trivial de le deviner à partir du numéro de carte : Mastercard a les cartes commençant par 51 à 55, Visa par 4, American Express par 3, etc.).
- demander de retaper l’email (encore le mot de passe, ça peut se comprendre — même si y’a des méthodes —, l’adresse mail c’est juste chiant)
- demander l’âge : qui donc va dire qu’il a moins de 13 ans pour aller sur Facebook ?
- demander de taper son mot de passe à chaque étape d’une commande en ligne (panier, payement, validation…) : ça sert à quoi franchement ? À rien !