15/02/2007 @ 12:41:05: Firefox - Firefox victime d'une faille importante sur les cookies
Après une mise à jour récente de Firefox avec la 2.0.0.1 pour des problèmes de sécurité, voici le retour du retour de la faille avec la gestion des cookies.
Il semble possible en effet de modifier le "location.hostname" en javascript en y injectant des "\x00" et de bypasser certains filtres de sécurité. Comme résultat, on a droit à lire, modifier et écrire un cookie pour n'importe quel domaine sur la machine de l'utilisateur, de quoi se faire une belle collection de mot de passe et de faire du phishing en toute tranquillité.
Alors, à quand la 2.0.0.2?
D'un côté faut être con pour stocké un mot de passe dans un cookie.. hashé à la limite.. mais bon.
cauet > regarde ton cookie user informaticien.be alors
je sais pas ou ils sont sur FF.. pas trop envie de chercher en fait
Tous les cookies d'informaticien.be sont cryptés
Sauf la langue
Et les cookies sont dans préférences > vie privée > afficher les cookies
ovh > crypté ou pas ça ne change rien
Tu choppes le cookie, tu le mets sur une autre machine et roule ma poule
wouah le joli overlib avec la définition du mot, en voilà une feature quelle est bien ...
Dernière édition: 15/02/2007 @ 18:53:41
ovh > crypté ou pas ça ne change rien
Tu choppes le cookie, tu le mets sur une autre machine et roule ma poule
C'est vrai, mais ça c'est le principe de l'authentification par cookie hein, c'est un risque que l'utilisateur assume de prendre
Je ne vois pas que faire contre ça
non, il assume que quelqu'un qui à physiquement acces à la machine peut prendre les cookies et les réutiliser. Pas qu'à distance quelqu'un peut les prendre
kortenberg> Totalement
Altar> C'est pareil avec phpBB, tu sais te reconnecter en utilisant le cookie d'auto connexion du mec... ainsi que sur vraiment beaucoup de sites sauf eBay qui refuse de te laisser connecté plus que quelques heures on dirait
