réinitialisation suite à une fuite, déjà colmatée



Les défauts ne sont pas seulement pour les autres. Nous avons récemment été affectés par le référencement de pages contenant les détails des cookies d'identification. Nous avons rapidement comblé l'écart et rétabli la connexion de tous nos membres.

Vendredi dernier, un lecteur (grâce à lui) a découvert que Google faisait référence à des pages de notre système de retour rapide d'erreurs, Elmah. Ils contenaient dans certains cas des cookies d'identification pouvant permettre à un tiers de se faire passer pour le membre concerné sur le site.

Théoriquement, ils n'auraient pas dû être indexés, notre configuration ne permettant que l'accès à un utilisateur et ces pages non liées. Cependant, en raison d’un bogue dans le processus de mise à jour Elmah, notre configuration a été remplacée et nos paramètres de sécurité ont été réinitialisés. Google a réussi à trouver ces pages.

Suite à ces commentaires, nous avons immédiatement déconnecté l'outil et demandé à Google de supprimer les pages concernées. Nous avons également réinitialisé tous nos lecteurs et # 39; cookies d'identification lundi en changeant les clés de cryptage utilisé. Cela explique pourquoi vous avez dû vous reconnecter ces derniers jours.

Notre analyse montre que la faute a au moins deux mois, mais elle ne semble pas avoir été exploitée. Cependant, il a été bouché et ne devrait plus être reproduit.



Source link