1Password prend soin de son bouton
Une future mise à jour de 1Password règlera quelques-uns des plus gros problèmes de son « bouton » qui permet de remplir rapidement identifiants et mots de passe. L’un d’entre eux vous concerne directement : comme de nombreux sites, MacGeneration utilise un champ caché conçu pour piéger les robots d’inscription automatique… mais qui piège aussi 1Password. Ce serait bientôt de l’histoire ancienne.
Parmi les autres changements, on notera :
- la réduction de la taille du script d’injection de 1Password, ce qui accélérera le chargement des pages ;
- la suppression du comportement agaçant qui provoquait un remplissage de tous les champs disponibles sur une page ;
- l’amélioration du remplissage des informations de carte de crédit sur les formulaires de paiement ;
- et de nombreuses améliorations dans Firefox.
Ceux qui ont acheté 1Password directement auprès d’AgileBits peuvent d’ores et déjà tester ce nouveau bouton : il suffit d’activer les mises à jour bêta dans l’onglet Mises à jour des préférences du logiciel. Les autres devront patienter encore quelques semaines.
Je ne suis pas sûr de saisir. L'identification fonctionne très bien sur Macg et iGen depuis 1Password !?
Donc si un logiciel xy peut contourner ce champ caché "piège" la combine devrait être exploitable aussi pour un robot ?
Ou alors l'utilisateur doit donner une validation explicite à 1password pour qu'il puisse contourner ce piège ? Ou encore macGé (ou autres sites) autorise l'accès à 1password malgré le piège ?
Vous pouvez nous éclaircir sur ce fonctionnement puisque vous êtes directement partie prenante à macGé ?
Juste par curiosité, merci :-)
@Philactere : ça dépend à quel point le robot est évolué. La plupart tombent dans le piège, ça règle le problème pour la grande majorité. Seuls quelques-uns détecteront la supercherie et pourront faire des inscriptions bidons !
Sans être parano, je trouve toujours qu'il y a un vrai risque à confier ses codes à un robot.
Il devient trop tentant de laisser l'automate définir des codes que l'on ne prend plus la peine de mémoriser (tellement complexe d'ailleurs que c'est impossible).
Le côté pratique ne doit pas faire oublier le risque de détournement.
Ce qu'un robot peux faire, un autre malicieux le peux très certainement.
Pour ma part, si chaque site à son propre code complexe que je détermine, je le compose selon des règles qui en facilite sa mémorisation.
Rien ne t'oblige à utiliser le générateur de mot de passe. Mais pour trouver un mot de passe complexe pour chaque site, et mémoriser le tout, bon courage !
Le but, c'est d'éviter d'avoir le même mot de passe pour chaque site. L'actualité démontre très bien les risques.
Je préfère m'en remettre à 1Password pour l'ensemble de mes mots de passe. Au début, je n'utilisais pas du tout l'extension de Chrome pour mémoriser automatiquement pour un site les mots de passe et login, puis de se loguer automatiquement.
Je me suis rendu compte ensuite que c'était très pratique. Le générateur fournit un mot de passe complètement aléatoire. Le ficher de 1password est crypté (AES 256 si je ne raconte pas des bêtises). 1Password est un logiciel fiable et reconnu. Avec des mises à jour constantes.
Au niveau facilité/fiabilité/sécurité, je ne vois pas de meilleure solution. Je n'ai pas d'action chez eux. Il y a d'autres logiciels du même typ. Ou même la solution d'Apple. Mais je fais plutôt confiance en 1Password. Peut-être que je me voile la face ?!
Edit: Par contre, le gros point négatif pour moi, c'est la synchro. Soit par iCloud, soit par Dropbox. Impossible de passer par un serveur de son choix comme un NAS personnel, avec un protocole FTP(s), WebDav...
Même si le fichier est crypté est à priori impossible à décrypter sans le mot de passe maitre. Je n'aime pas trop le laisser sur un serveur je ne sais où. Où mes données peuvent être dupliquées, et peut-être impossible à effacer totalement.
Car si Dropbox se fait hacker comme c'est un peu le cas pour pas mal de boites en ce moment. C'est pas terrible.
Pour un logiciel qui misent tout sur la sécurité, la synchro uniquement par Dropbox ou iCloud m'irrite profondément.
@JLG47
Le fichier contenant les mots de passes est stocké en local sur ton ordinateur à part si tu actives la synchronisation par iCloud ou Dropbox. Donc par défaut personne n'a accès à ton fichier qui est de toute manière crypté en AES 256. Dashlane lui stocke l'ensemble de tes infos sur leurs serveurs, ce qui fait que je suis moins fan de Dashlane en plus d'un manque de types de comptes.
C'est vrai que les comportements décrits dans votre articles sont agaçants. Ça me fait plaisir de voir que les dev en ont conscience et y travaillent, mais ça ne m'aurait pas fait changer pour autre chose tellement j'aime cette application...
Je serais curieux d'en savoir un peu plus sur les rumeurs, pourquoi tant de matière, les intérêts financiers sont-ils si important, augmentation du trafic pour le site indiscret, info qui se monnaye, fuite orchestrée à but publicitaire, simple ego... Mais c'est certainement un peu de tout ça...
@dondic
oups trompé d'article
Pourquoi faut-il "quelques semaines" pour que l'appui soit mise à jour sur le Mac App Store ? Les équipes de validation sont si lentes ? Si j'avais su je l'aurais acheté en direct…
@Madalvée
La version qui proposera ces modifications est encore en bêta. Elle n'est donc pas encore disponible même pour les personnes ayant acheté l'application depuis la boutique d'AgileBits. Il faut activer l'option qui permet de télécharger les versions en bêta pour pouvoir l'installer.
MàJ bien venues en effet !
@Anthony, @nayals :
Ok, donc on robot un peu moins bête que ses congénères ne devrait pas tomber dans le piège.