Bonjour,
Je ne sais pas si c’est le bon endroit pour poster ça, mais voici une réflexion : le client nextcloud/owncloud retient forcément le mot de passe (pas possible d’avoir à le taper à chaque ouverture), donc j’en conclue qu’il le stocke en clair quelque part ? Sachant que c’est mon mot de passe de session yunohost, donc de mes mails, je trouve ça un peu limite niveau sécurité.
J’ai trouvé ça dans les issues de Nextcloud : https://github.com/nextcloud/client_theming/issues/51
J’ai pas tout compris, et surtout pas la solution… Si quelqu’un peut m’éclairer !
Pourquoi dis-tu que le client stocke le mot de passe nécessairement en clair ?
Il est possible que ce mot de passe soit chiffré à l’aide du mot de passe de session (ou du mot de passe principal du gestionnaire de mot de passe de l’environnement de bureau).
Il est également possible qu’un autre mécanisme d’authentification soit mis en place (par exemple en se basant sur le hash du mot de passe ou sur une clé authentifiant la machine.
Il se pourrait donc que le password ne soit pas directement exposé (ou alors uniquement dans la RAM).
Ceci dit ta question est légitime car l’inverse pourrait être vrai aussi.
Je me demande ce qui se passe si tu changes le password de ton compte nextcloud (via l’interface nextcloud) est ce que ça modifie le password du compte yunohost ? est ce que ça ne marche pas ? est ce que tu as dans ce cas la possibilité de te connecter soit avec le password Yunohost soit celui que tu a mis sur nextcloud.
Bon ceci dit de ce que je lis, je pencherais sur le fait que sa enregistre le password quelque part en clair (ou quasi)
Je pensais qu’il était stocké en clair (sous windows) car on ne me demande pas de mot de passe à l’ouverture de Owncloud. Effectivement il pourrait être chiffré avec le mot de passe de session, mais j’en doute.
Par contre sous ubuntu il faut déverrouiller le trousseau de clef, donc là c’est ok.
Et sur un compte owncloud non administrateur, c’est pas possible de changer son mot de passe, donc il doit être directement lié au compte yunohost.
Pour info, dans Nextcloud, personnel, on peut créer un mot de passe d’application, du coup c’est ce que j’ai fait sur le client, et c’est bien plus propre !