Owncloud 5.0.6 : nouveautés

Bonjour à tous,

Je vous avais déjà parlé d’Owncloud ici. Pour ceux qui ne s’en rappellent pas, Owncloud est un serveur que vous hébergez où vous voulez et vous pouvez y mettre votre calendrier, vos contacts.

J’étais sur la version 4, et j’ai décidé de faire une montée de version sur la 5.0.6. Cette dernière permet de partager votre calendrier avec un autre utilisateur ou un groupe du site. Il en est de même avec les contacts.

Mais le truc le plus sympa à mon avis, c’est l’intégration des flux RSS dans le site. Vous pouvez donc passer de Google Reader à Owncloud.
Ils ont prévus une fonction d’import pour Google Reader. Mais le problème est que si vous aviez fait des dossiers dans Google Reader, vous les perdez lors de l’import (ou de l’export depuis Google Reader). Vous n’aurez qu’un seul gros « site » : Google Reader
Personnellement, j’ai refait mes imports à la main, ce qui m’a permis de les retrier par dossier, et d’avoir un lien par site.

Le petit plus pour ceux qui lisaient sur pc et sur Android, un développeur a fait une application pour synchroniser les flux RSS d’Owncloud avec le téléphone.
L’application est payante, 1€49, mais le développeur a aussi mis un lien pour la télécharger gratuitement pour ceux qui veulent.
L’application n’est pas super jolie, mais elle fait ce qu’on lui demande : synchroniser les articles et les mettre comme lus sur le serveur lorsqu’ils sont cochés (ils sont cochés lorsqu’ils sont lus 🙂 ).

Owncloud a aussi d’autres applications plutôt sympa, comme l’ouverture des pdf, la gestion des favoris (il y a même un addon firefox qui permet de les récupérer), le partage de fichier, etc.

Franchement, les nouveautés de la version 5.0.6 fait d’Owncloud un serveur auto-hébergé vraiment sympa, fonctionnel. Il mérite qu’on s’y intéresse.

#Chronodrive stocke les mots de passe en clair

Mise à jour : Chronodrive supprime les données bancaire lorsqu’on tape trois fois un mauvais mot de passe. Cette mesure de sécurité part d’un bon sentiment, mais ne sert à rien en qu’à d’attaque de la base de données.

Je viens de découvrir que Chronodrive, le site pour faire ses courses en ligne, stocke les mots de passe en clair dans sa base de données.

Après avoir tapé 3 fois mon mot de passe en me trompant (je suis en mode gros doigts en ce moment), Chronodrive me propose de m’envoyer mon mot de passe par mail. Juste que là, rien d’anormal que d’envoyer un nouveau mot de passe par e-mail. Sauf que l’e-mail reçu contient mon mot de passe et non un nouveau.
Ca signifie que Chronodrive stocke les mots de passe en clair dans leur base de données.

En effet, lorsque les mots de passe sont chiffrés, il est impossible de le déchiffrer et donc de l’avoir en clair. Donc lorsque vous tapez votre mot de passe, le système le chiffre et le compare avec le mot de passe chiffré présent en base.

Vous vous demanderez peut-être quel est l’intérêt de stocker les mots de passe chiffrés dans une base de données. L’intérêt est simple, si vous vous faites attaquer votre base de données, le pirate récupérera les identifiants et les mots de passe mais ne pourra pas s’en servir. Bien sur, suivant la technique et la complexité du chiffrement utilisé, il pourra les déchiffrer mais il lui faudra du temps. Entre temps, le site aura vu qu’il s’est fait attaqué et enverra un mail à tous les utilisateurs afin qu’ils changent leur mot de passe. Ainsi lorsque le pirate aura les déchiffrés, la plus part sera inutilisable.

Or, chez Chronodrive, les mots de passe sont stockés en clair, ce qui signifie que s’ils se font attaquer, le pirate pourra directement utiliser les couples identifiants/mot de passe.
Le problème est que certains utilisateurs ont renseigné leur numéro de carte bancaire sur ce site. Donc le pirate pourra connaitre cette donnée plutôt sensible.
Et dernier point, beaucoup d’utilisateurs utilisent le même mot de passe sur plusieurs sites. Comme de nombreux sites permettent de se connecter avec le couple email/mot de passe, le pirate pourra aussi se connecter à d’autres sites, rien qu’en ayant attaqué Chronodrive.

En résumé, je trouve ça dommage que Chronodrive n’ai pas pensé à cette problématique lorsqu’ils ont fait leur site web car cette négligence peut être lourde de conséquence.

Blog un peu mort en ce moment

Bonjour à tous,

Je suis désolé de laisser un peu à l’abandon le site en ce moment. Mais j’avoue ne pas avoir trop de temps à y consacrer. Je travailles actuellement avec un ami sur un programme en java qui j’espère sera aussi bien qu’on le pense.
Je ne vous en dis pas plus pour l’instant, juste que normalement la V0 devrait sortir d’ici un mois ou deux.
Mais promis, dès qu’elle est sortie … je vous bassine avec. 🙂

A très bientôt.