Banque postale - javascript = LÔÔL

helly · Le 17/06/2011, à 21:17

Compte supprimé · Le 17/06/2011, à 21:31

Ben ... toutes les banques (qui se veulent sérieuses) font cela.
https://www.ca-languedoc.fr/demo-bamg2v … iaire.html

Attention, c'est certainement du flash.

C'est pour éviter de trouver le mdp avec un keyloger.

Dernière modification par Compte supprimé (Le 17/06/2011, à 21:36)

Henry de Monfreid · Le 17/06/2011, à 23:06

Le clavier virtuel de la poste est sécurisé, en javacript, mais sécurisé.

Pas de click, pas de password visible, un mappage qui change à chaque connexion.

Le principe est pas mal.

darktomato · Le 17/06/2011, à 23:17

pinballyoda ㋛ a écrit :

pas de password visible

si, par le type qui se balade derrière toi.

helly · Le 18/06/2011, à 11:17

En effet, il faut laisser la souris 2 secondes sur chaque touche. Côté sécu, j’ai déjà vu mieux .

lascarcapac · Le 18/06/2011, à 11:32

T u serais pas un poil parano ??

helly · Le 18/06/2011, à 11:36

Si, mais là je ne parle pas d’un compte de forum mais d’un compte banquaire. C’est pas tout à fait le même genre de sécurité que je demande .

pwikpwik · Le 18/06/2011, à 13:00

Tu peux nous expliquer un peu plus la faille de sécurité ou le manque de sécurité de leur javascript?

Parce que "javascript = LÔÔL", ca fait juste un troll de plus....

HP · Le 18/06/2011, à 13:16

pinballyoda ㋛ a écrit :

Le clavier virtuel de la poste est sécurisé, en javacript, mais sécurisé.

Ouais… ce genre de trucs c'est tellement chiant (et peu accessible), que je ne m'en sers pas ! Donc, oui c'est mega sécurisé… parce que du coup je risque pas de me faire choper mes codes via le web… CQFD !

Grünt · Le 18/06/2011, à 13:29

pwikpwik a écrit :

Tu peux nous expliquer un peu plus la faille de sécurité ou le manque de sécurité de leur javascript?
Parce que "javascript = LÔÔL", ca fait juste un troll de plus....

Perso j'y vois pas un problème de sécurité, j'y vois un problème d'accessibilité.
Impossible (par exemple) de se faire un script récupérant automatiquement le niveau du compte bancaire.

Tout ça parce que des gens laissent les clefs de chez eux à n'importe qui. Bientôt on mettra des systèmes d'identification rétinienne sur les carnets de chèque, s'il se trouve des boulets assez idiots pour signer des chèques en blanc et les laisser traîner (ce qui est équivalent au fait d'installer un keylogguer avec les droits admin).

helly · Le 18/06/2011, à 13:56

pwikpwik a écrit :

Tu peux nous expliquer un peu plus la faille de sécurité ou le manque de sécurité de leur javascript?
Parce que "javascript = LÔÔL", ca fait juste un troll de plus....

Déjà du point de vue sécurité, javascript c’est pas ce qu’il y a de mieux, c’est un peu comme flash : on aime ou on aime pas, mais force est de constater que des failles critiques sont très souvent découvertes, après encore côté sécurité, leur clavier visuel où il faut laisser la souris plusieur secondes appuyée sur chaque touche, on a fait plus discret, et pour finir, en effet côté accessibilité, c’est pas le fun non plus.

pwikpwik · Le 18/06/2011, à 15:16

@Helly Je vois pas trop, la réponse à ma question,

helly a écrit :

Déjà du point de vue sécurité, javascript c’est pas ce qu’il y a de mieux,

Si ce n'est pas ce qu'il y a de mieux, quelle serait la technologie que tu suggererais d'utiliser?

helly a écrit :

leur clavier visuel où il faut laisser la souris plusieur secondes appuyée sur chaque touche, on a fait plus discret

Comme quoi?

helly · Le 18/06/2011, à 15:34

pwikpwik a écrit :

@Helly Je vois pas trop, la réponse à ma question,
helly a écrit :
Déjà du point de vue sécurité, javascript c’est pas ce qu’il y a de mieux,
Si ce n'est pas ce qu'il y a de mieux, quelle serait la technologie que tu suggererais d'utiliser?

Le bon vieux mot de passe, et au moins, ça c’est accessible.

helly a écrit :
leur clavier visuel où il faut laisser la souris plusieur secondes appuyée sur chaque touche, on a fait plus discret
Comme quoi?

Comme dit plus haut.

pwikpwik · Le 18/06/2011, à 16:07

Et donc avec un simple keylogger on récupère ton mot de passe, tu va me dire que ton pc est sécurisé, mais quid de la majorité des clients de ta banque...

Bref tu m'a toujours pas expliqué en quoi leur javascript n'apporte pas plus de sécurité...

lawl · Le 18/06/2011, à 16:30

+1 c'est pas pour rien que pas mal de banque ont mit en place de tel système que ce soit en javascipt ou en n'importe quoi d'autre l'important dans cette sécurité (qui n'en est qu'une parmi le reste) c'est que tu ne tape pas ton mot de passe sur le clavier.

Dernière modification par lawl (Le 18/06/2011, à 16:31)

Grünt · Le 18/06/2011, à 16:34

pwikpwik a écrit :

Et donc avec un simple keylogger on récupère ton mot de passe, tu va me dire que ton pc est sécurisé, mais quid de la majorité des clients de ta banque...

Ben s'ils savaient lire, ils auraient lu les recommandations de sécurité de leur banque marquées sur le contrat. L'illettrisme fait des ravages.

darktomato · Le 18/06/2011, à 17:08

lascarcapac a écrit :

T u serais pas un poil parano ??

Pour y penser, il faut accéder à son compte à partir d'un endroit (bureau) où un type a son poste juste derrière toi. Forcément, quand tu es seul chez toi, pas de souci.

01101011 · Le 18/06/2011, à 17:40

lawl a écrit :

+1 c'est pas pour rien que pas mal de banque ont mit en place de tel système que ce soit en javascipt ou en n'importe quoi d'autre l'important dans cette sécurité (qui n'en est qu'une parmi le reste) c'est que tu ne tape pas ton mot de passe sur le clavier.

Le mot de passe quand même par Internet quoi qu'il arrive. Donc c'est une sécurité en plus (même si Helly soulève qu'il y a des failles dans JS, comme partout remarquez).

Est-il facile de récupérer des infos qui ne transitent pas en clair ?

De toute façon, la base en sécurité c'est un OS sécurisé de base ou qu'on a sécurisé soit-même. Ça, la banque peut pas le vérifier alors elle met en place ce clavier virtuel. Seconde sécurité, physique, l'exemple du keyloguer branché directement au PC. Ça, la banque peut pas le vérifier aussi. Donc clavier virtuel…

Donc je pense que c'est plutôt une bonne décision de leur part et au moins, ils font des efforts pour tenter d'améliorer la sécurité, ce qui n'est pas un mal.

Tu nous a habitué à mieux Helly, un modo qu'ouvre un topic à troll, tsss .

Compte anonymisé · Le 18/06/2011, à 18:47

Je suis client de la banque postale et je connais ce clavier virtuel, je n'ai d'ailleurs jamais changé mon code à 6 chiffres qui est en plus très très con à trouver

Cela ne m'inquiète pas plus que cela, car je sais que la sécurité n'est guère meilleure dans les distributeurs automatique, donc...

Floyd Pepper · Le 18/06/2011, à 19:39

De toute façon, hors mis rares exceptions (les personnes ayant besoin de faire des virements externes à sa banque et je suppose dans ce cas que la procédure est plus "poussée").
Les informations de bases accessibles sur ton compte ne sont pas non plus vitales (contrairement à ta carte bancaire).
La seule chose, un tiers peut consulter ton compte et si tu en a plusieurs, te foutre le bazar, mais bon le risque est quand même faible.

darktomato · Le 18/06/2011, à 20:05

Floyd Pepper a écrit :

De toute façon, hors mis rares exceptions (les personnes ayant besoin de faire des virements externes à sa banque et je suppose dans ce cas que la procédure est plus "poussée").
Les informations de bases accessibles sur ton compte ne sont pas non plus vitales (contrairement à ta carte bancaire).
La seule chose, un tiers peut consulter ton compte et si tu en a plusieurs, te foutre le bazar, mais bon le risque est quand même faible.

Ouais bah justement, ça c'est d'la merde par contre. Perso c'est pour ça que je pars de chz eux, l'impossibilité de faire un virement externe via le web est super handicapante, alors que toutes les autres banques proposent un moyen de le faire en quelques clics. Ils sont sympas, avec eux il y a moins de surprises que les autres banques, mais niveau fonctionnalités c'est quand même ultra-minimaliste (surtout ce fichu virement).
Et si on veut un max de sécurité, y'a le home banking : un lecteur de carte chez soi: quand on se connecte à son compte internet il faut y rentrer son code, il nous redonne un code à rentrer sur l'interface. Et pour faire un virement idem, on reçoit un code de l'interface à taper sur le lecteur qui nous en redonne un à donner pour confirmer. Niveau sécurité, j'ai jamais vu mieux.

LaLuciole · Le 18/06/2011, à 20:37

darktomato a écrit :

Ouais bah justement, ça c'est d'la merde par contre. Perso c'est pour ça que je pars de chz eux, l'impossibilité de faire un virement externe via le web est super handicapante,

Si, si c'est possible...
C'est avec certicode : tu reçois un sms de La Banque Postale pour valider le virement...

Compte anonymisé · Le 18/06/2011, à 20:41

darktomato a écrit :

Ouais bah justement, ça c'est d'la merde par contre. Perso c'est pour ça que je pars de chz eux, l'impossibilité de faire un virement externe via le web est super handicapante, alors que toutes les autres banques proposent un moyen de le faire en quelques clics. Ils sont sympas, avec eux il y a moins de surprises que les autres banques, mais niveau fonctionnalités c'est quand même ultra-minimaliste (surtout ce fichu virement).
Et si on veut un max de sécurité, y'a le home banking : un lecteur de carte chez soi: quand on se connecte à son compte internet il faut y rentrer son code, il nous redonne un code à rentrer sur l'interface. Et pour faire un virement idem, on reçoit un code de l'interface à taper sur le lecteur qui nous en redonne un à donner pour confirmer. Niveau sécurité, j'ai jamais vu mieux.

C'est à dire ?

Je fais un virement tout les mois depuis mon compte CCP vers un compte du trésor public sans aucun problème depuis le site.

lawl · Le 18/06/2011, à 21:31

Le mot de passe quand même par Internet quoi qu'il arrive

non ce sont des coordonnées (je sais pas si chez la poste c'est comme ca mais j'ai déjà vue) qui transite sur le réseau et donc il y a une sécu contre les keylogger mais aussi contre un scan réseau (en plus de l'https)

l'impossibilité de faire un virement externe via le web est super handicapante

Il faut d'abord demander une demande d'autorisation par courrier pour ensuite débloquer cette fonctionnalité bcp de banque procède comme cela pour activer certain service une sécurité en plus.....

Renault · Le 18/06/2011, à 23:00

Moi je verrais bien une combinaison de deux méthodes : mot de passe + SMS

C'est simple, on a un mot de passe mais ce dernier n'est pas suffisant pour accéder au site, à chaque demande d'accès la banque envoie un mot de passe par SMS au numéro du compte client, ainsi il est possible que quelqu'un intercepte le mot de passe mais il faudra les deux pour y parvenir et le côté aléatoire des mots de passe par SMS empêche une grande partie des fraudes possibles.

Ainsi c'est accessible, techniquement simple (ils commencent à le faire pour valider des achats sur Internet) et assez sécurisé (pas totalement mais la sécurité absolue n'existe pas). En tout cas c'est mieux qu'actuellement.

Seulement, difficile de faire des scripts pour accéder au compte quand même.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 17/06/2011, à 21:17

Banque postale - javascript = LÔÔL

#2 Le 17/06/2011, à 21:31

Re : Banque postale - javascript = LÔÔL

#3 Le 17/06/2011, à 23:06

Re : Banque postale - javascript = LÔÔL

#4 Le 17/06/2011, à 23:17

Re : Banque postale - javascript = LÔÔL

#5 Le 18/06/2011, à 11:17

Re : Banque postale - javascript = LÔÔL

#6 Le 18/06/2011, à 11:32

Re : Banque postale - javascript = LÔÔL

#7 Le 18/06/2011, à 11:36

Re : Banque postale - javascript = LÔÔL

#8 Le 18/06/2011, à 13:00

Re : Banque postale - javascript = LÔÔL

#9 Le 18/06/2011, à 13:16

Re : Banque postale - javascript = LÔÔL

#10 Le 18/06/2011, à 13:29

Re : Banque postale - javascript = LÔÔL

#11 Le 18/06/2011, à 13:56

Re : Banque postale - javascript = LÔÔL

#12 Le 18/06/2011, à 15:16

Re : Banque postale - javascript = LÔÔL

#13 Le 18/06/2011, à 15:34

Re : Banque postale - javascript = LÔÔL

#14 Le 18/06/2011, à 16:07

Re : Banque postale - javascript = LÔÔL

#15 Le 18/06/2011, à 16:30

Re : Banque postale - javascript = LÔÔL

#16 Le 18/06/2011, à 16:34

Re : Banque postale - javascript = LÔÔL

#17 Le 18/06/2011, à 17:08

Re : Banque postale - javascript = LÔÔL

#18 Le 18/06/2011, à 17:40

Re : Banque postale - javascript = LÔÔL

#19 Le 18/06/2011, à 18:47

Re : Banque postale - javascript = LÔÔL

#20 Le 18/06/2011, à 19:39

Re : Banque postale - javascript = LÔÔL

#21 Le 18/06/2011, à 20:05

Re : Banque postale - javascript = LÔÔL

#22 Le 18/06/2011, à 20:37

Re : Banque postale - javascript = LÔÔL

#23 Le 18/06/2011, à 20:41

Re : Banque postale - javascript = LÔÔL

#24 Le 18/06/2011, à 21:31

Re : Banque postale - javascript = LÔÔL

#25 Le 18/06/2011, à 23:00

Re : Banque postale - javascript = LÔÔL

Pied de page des forums