[Abandonner] Faille de sécurité mot de passe

[PapiClod!]

Bonsoir,
je viens de lire sur le site Secuser.com, qu'il y a une faille ds FF 2.0 sur l'enregistrement des mot de passe, qq1 au courant ?
Une correction est-elle envisagée ? peut-être même est elle sortie ?

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1) Gecko/20061010 Firefox/2.0

[Flore]

Numéro 6
http://www.geckozone.org/forum/viewtopic.php?t=47932
http://www.geckozone.org/forum/viewtopic.php?t=47953
http://www.geckozone.org/forum/viewtopic.php?t=47981
http://www.geckozone.org/forum/viewtopic.php?t=48009
http://www.geckozone.org/forum/viewtopic.php?t=48284

Message envoyé avec : Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; fr; rv:1.8.1) Gecko/20061010 Firefox/2.0

[PapiClod!]

Numéro 6
http://www.geckozone.org/forum/viewtopic.php?t=47932
http://www.geckozone.org/forum/viewtopic.php?t=47953
http://www.geckozone.org/forum/viewtopic.php?t=47981
http://www.geckozone.org/forum/viewtopic.php?t=48009
http://www.geckozone.org/forum/viewtopic.php?t=48284

Bonsoir,
merci Flore , mais il vous faut bien comprendre, que pour les gens comme moi, complètement béotien des choses de l'informatique, nous ne pourrons nous améliorer qu'à votre contact ! (Et pour ce qui me concerne, y a du boulot !)
Donc, pour ce message de Secuser, j'en conclu qu'il s'agit d'intoxe ?
Mais, au fond de moi, une petite voix se fait entendre ..."Cela fait quand même désordre, et comme disait ma grand-mère, cette femme de bonne compagnie, il n'y jamais eu de fumée sans feux !"

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1) Gecko/20061010 Firefox/2.0

[Ben.d2]

Non, ce n'est pas de l'intox. C'est une vrai faille et Mozilla travaille dessus. IE est également affecté.

Message envoyé avec : Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:1.8.1) Gecko/20061018 Camino/1.1a1

[myahoo]

Non, ce n'est pas de l'intox. C'est une vrai faille et Mozilla travaille dessus. IE est également affecté.

Et au fait, quid d'Opera ?

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1) Gecko/20061010 Firefox/2.0

[Benoit]

Opera ne remplit pas automatiquement les mots de passe, mais pour ce que j'en sais, il remplira d'éventuels champs trafiqués aussi dès qu'on appuie sur le bouton de remplissage manuel.

[ra-mon]

Salut ,

mais pour ce que j'en sais, il remplira d'éventuels champs trafiqués aussi dès qu'on appuie sur le bouton de remplissage manuel.

ben dis donc, t'en sais des choses, toi
Aucune version d'Opera ne valide le Proof Of Concept du découvreur de la faille, même en remplissage manuel, comme tu dis
http://www.info-svc.com/news/11-21-2006/rcsr1/

Bien que ce navigateur ne soit pas "directement impacté" par ce type de détournement, l'équipe de développement de la version Desktop d'Opera a toutefois sorti, 3 jours seulement après l'annonce de Chapin, une nouvelle mouture de la prochaine v9.1 qui devrait compliquer la tâche de ces petits filouteurs

Je viens de tester une nocturne récente de la prochaine Firefox 2.0.0.1 RC1 et elle ne corrige toujours pas le problème...

@+
--
Pierre


Message envoyé avec : Opera/9.10 (Windows NT 5.1; U; fr)

[Benoit]

Bien sûr que le PoC original pour Firefox 2 ne fonctionne pas dans Opera (il ne fonctionne pas non plus dans IE, qui pourtant peut être trompé par d'autres moyens selon Chapin lui-même).

Mais je comprends le "pas directement" comme "seulement si on clique sur le Wand" (je sais même comment ça s'appelle maintenant, cool non ?). Et rien dans l'annonce ne me laisse penser le contraire, surtout pas le fait que la fonction ait été "améliorée".

Maintenant, jusqu'où doivent aller les navigateurs pour protéger les sites d'eux-mêmes ? Laisser les utilisateurs poster des formulaires HTML et/ou du JavaScript sur le même domaine non sécurisé que celui de leur propre formulaire de connexion c'est un tout petit peu dangereux, que le remplissage soit assisté ou non.

[ra-mon]

Bien sûr que le PoC original pour Firefox 2 ne fonctionne pas dans Opera

Les pages en question contiennent du code tout à fait standard et en tout cas rien de spécifique à Gecko

Mais je comprends le "pas directement" comme "seulement si on clique sur le Wand" (je sais même comment ça s'appelle maintenant, cool non ?)

Même en cliquant sur la baguette magique (c'est comme ça que c'est traduit... assez "raccord" avec Merlin, le nom de code d'Opera9) ou en usant du raccourci plus pratique CRTL+Entrée, les données récupérées sur le domaine de Chapin ne sont pas transmises sur le domaine Google... donc Opera effectuait déjà un contrôle à ce niveau.

rien dans l'annonce ne me laisse penser le contraire, surtout pas le fait que la fonction ait été "améliorée".

il n'y a pas de raison pour que le contrôle effectué ne puisse pas être amélioré
Un déchiffrement du fichier wand.dat montre qu'il y a quand même d'autres données rajoutées lors du stockage d'une entrée de fomulaire d'authentification...
en fait c'est pas trop une histoire de "remplir" (manuellement ou non) mais plutôt de "transmettre", non ?

@+
--
Pierre

Message envoyé avec : Opera/9.10 (Windows NT 5.1; U; fr)

[Benoit]

Bien sûr que le PoC original pour Firefox 2 ne fonctionne pas dans Opera

Les pages en question contiennent du code tout à fait standard et en tout cas rien de spécifique à Gecko

Hey, je croyais que c'était moi qui ne savais pas de quoi je parlais
Quand je parle de fonctionner, je parle seulement du fait de remplir automatiquement les champs, pas d'être standard ou non. Le PoC est adapté à Firefox parce que le domaine de la page où se trouvent les deux formulaires est le même. C'est pour ça que les champs sont complétés lorsqu'ils ont été enregistrés.

en fait c'est pas trop une histoire de "remplir" (manuellement ou non) mais plutôt de "transmettre", non ?

Les données sont transmises parce qu'elles ont été remplies dans le premier formulaire ET que l'utilisateur a demandé de les enregistrer pour ce site. Autrement dit, l'utilisateur a décidé qu'il faisait confiance au site.

Si en fait, quelqu'un d'autre peut mettre n'importe quel code sur le site, il n'est pas raisonnable de lui faire confiance. On peut mettre un formulaire caché comme ici, mais pourquoi pas un formulaire tout à fait visible qui se positionne par dessus l'original ? Ou ailleurs sur la page mais qui a l'air suffisamment vrai.

[ra-mon]

Autrement dit, l'utilisateur a décidé qu'il faisait confiance au site.

Il doit y avoir un autre moyen puisque'Opera y arrive... parce que, on le voit avec IE et ses ActiveX ou avant de télécharger une extension, faire confiance à un site n'est pas toujours évident
@+
--
Pierre

Message envoyé avec : Opera/9.10 (Windows NT 5.1; U; fr)

[Yoko]

Autrement dit, l'utilisateur a décidé qu'il faisait confiance au site.

Il doit y avoir un autre moyen puisque'Opera y arrive... parce que, on le voit avec IE et ses ActiveX ou avant de télécharger une extension, faire confiance à un site n'est pas toujours évident

Oula faut pas abuser non plus. L'utilisateur averti vaut toutes les sécurités du monde. Le publique d'Opera deviens plus averti que celui du fox au fur et à mesure de la popularisation de celui ci.

Je pense que chercher à trop bercer l'utilisateur en demandant 300 fois s'il est bien d'accor de faire un upload c'est mauvais pour la sécurité.

Message envoyé avec : Opera/9.02 (X11; Linux i686; U; fr)

[martin]

Maintenant, jusqu'où doivent aller les navigateurs pour protéger les sites d'eux-mêmes ? Laisser les utilisateurs poster des formulaires HTML et/ou du JavaScript sur le même domaine non sécurisé que celui de leur propre formulaire de connexion c'est un tout petit peu dangereux, que le remplissage soit assisté ou non.

Désolé si je déborde un poil de cette faille particulière, mais je ne pige toujours pas en quoi autoriser ou non l'insertion de JavaScript pose plus de problèmes de sécurité.
Ce que je veux dire, c'est que si il y effectivement une faille exploitable par un JavaScript (je parle pas de la faille particulière de ce sujet) sur un site, l'utilisateur malintentionné pourra tout autant "rentrer" ce script dans Firefox, via la barre d'adresse, ou la console JS, ou par une extension. Non ?
Si c'est pour jouer du cookie, il y a aussi des extensions pour le faire simplement.

Je veux bien qu'on me montre le principe si je me trompe (évidement dans les grandes lignes, c'est pour piger, vraiment).

[Benoit]

En fait, on parle d'insertion de JavaScript dans du contenu posté par des utilisateurs. Imagine, par exemple, que tu arrives à activer un script depuis le formulaire de réponse de ce forum, et qu'il soit exécuté chez chaque visiteur qui lit le sujet par la suite (j'espère que c'est impossible ).

Ce script pourrait alors faire n'importe quoi, comme par exemple enregistrer les entrées clavier de l'utilisateur et les envoyer discrètement via XMLHttpRequest en arrière-plan. Ou manipuler l'arbre DOM de la page pour qu'un formulaire soit envoyé à une autre adresse que prévu. Ou afficher un faux message d'erreur disant que l'utilisateur a été déconnecté et qu'il doit rentrer son mot de passe, et à nouveau l'envoyer ailleurs que prévu. Les possibilités sont à peu près infinies.

[martin]

Ah ben oui, mais c'est bien sûr, dans ce genre de cas çà va de soit...

Benoit, je te remercie, , je viens de piger le pourquoi d'une limitation imposée sur un projet.