Firefox 2.0.0.5 : une faille qui révèle les mots de passe

Discussion dans 'Windows' créé par Noir, 24 Juillet 2007.

Statut de la discussion:
Fermée.
  1. Offline
    Noir Never forget who i am !
    Si l’on en croit la mailing list Full-Disclosure, une faille a été trouvée sous Firefox. Il s’agit, selon Heise Security, d’une rémanence d’une faille corrigée en novembre dernier. Elle permet, si elle est exploitée, de voler l’ensemble des mots de passe enregistrés d’un utilisateur, mais uniquement avec les conditions suivantes :

    • L’enregistrement des mots de passe doit être justement activé
    • Le JavaScript doit également être activé

    Malheureusement, ces deux conditions sont réunies dans la plupart des cas, et surfer sur une page web malveillante pourrait révéler à un utilisateur distant l’ensemble des mots de passe.

    Lire la suite


    Prudence donc pour les utilisateurs, javascript est bien souvent ouvert sur des sites de crack et je suis sûr que bcp active la fonction d'enregistrement des mots de passe.
    Noir, 24 Juillet 2007
    #1
  2. Offline
    sANCHEZ_- POKERPADAWAN
    Merci à toi :)
    sANCHEZ_-, 24 Juillet 2007
    #2
  3. Offline
    Oubi All Shook up !!!
    Syndrome IE pour Firefox... finie l'époque ou les mises a jour n'entrainaient pas de bugs plus importants que la version précédente...
    Oubi, 24 Juillet 2007
    #3
  4. Offline
    Noir Never forget who i am !
    Noir, 24 Juillet 2007
    #4
  5. Offline
    ImMorT4L Touriste
    Un bug qui dure quelques jours n'est pas bien méchant... Le pire, c'est quand ce genre de faille perdure quelques semaines, là ça devient inquiétant. :-D
    ImMorT4L, 24 Juillet 2007
    #5
  6. Offline
    Bingo Beer Addict
    Un bug exploitable sur une simple page web avec du javascript, c'est quand même inquiétant...
    Je les utilise moi les mots de passe stockés ! Et j'ai le javascript activé !

    :colere:
    Bingo, 24 Juillet 2007
    #6
  7. Offline
    PPT Did you ever see a lama kiss a lama on a lama?
    Noscript for life :-D
    PPT, 25 Juillet 2007
    #7
  8. Offline
    Bingo Beer Addict
    Ouais, ben c'est pas toujours possible !
    En l'occurence moi c'est pas possible.

    Je pourrais ne pas stocker mes mots de passe par contre...
    Bingo, 25 Juillet 2007
    #8
  9. Offline
    zoune ex membre
    Arf, à nouveau cette faille, décidément :-(
    Je pense que dorénavant, j'attendrai un peu avant de faire la mise à jour de ce navigateur, ou je vais penser à switcher tout doucement, soit sur Safari, soit Opera.

    Tant pis pour les habitudes que j'ai avec FF

    EDIT : Enfin bon, faut relativiser car :
    zoune, 25 Juillet 2007
    #9
  10. Offline
    PPT Did you ever see a lama kiss a lama on a lama?
    Ah bon? Pourquoi, si ce n'est pas indiscret... o_O
    Au fait, rien à voir mais j'adore ton avatar... et ce qui est normalement en dessous :D
    PPT, 25 Juillet 2007
    #10
  11. Offline
    Bartdude Touriste
    Si j'en crois cet article, la situation n'est pas aussi dramatique qu'il n'y paraît. Afin de voler les infos de login sur un domaine X ou Y, il faut apparament au hacker placer une page scriptée sous ce même nom de domaine. Ca demande donc un accès au serveur malgré tout, et ca ne vole "que" les données propres au site en question.
    Donc ne paniquez quand-même pas trop... tous les kékés du coin n'ont pas la possibilité de voler d'un seul coup toutes vos données de login en rajoutant 4 lignes de javascript à sa page perso...
    Bartdude, 25 Juillet 2007
    #11
  12. Offline
    Bingo Beer Addict
    Ben parce que je développe des applications en AJAX. Enfin pas moi mais l'équipe dans laquelle je travaille.
    Du coup sans Javascript c'est pas évident !

    Rien à voir effectivement, mais tu es un homme de goût ! ;)
    Bingo, 25 Juillet 2007
    #12
  13. Offline
    Bartdude Touriste
    Le net sans javascript, quelle horreur ! C'est aussi pratique que prendre un scooter pour faire de la trotinette...
    Bartdude, 25 Juillet 2007
    #13
  14. Offline
    zoune ex membre
    Pas mal dit ;)
    zoune, 25 Juillet 2007
    #14
  15. Offline
    Bingo Beer Addict
    Ouais, mais le problème reste entier sur les sites communautaires, avec un nom de domaine du style http://users.skynet.be/~toto/ par exemple.
    Dans ce cas là, l'utilisateurs foo peut placer un formulaire de login sur sa page http://users.skynet.be/~foo/ et avoir accès aux mots de passe enregistrés sur http://users.skynet.be/~toto/.

    C'est ce que j'ai cru comprendre du moins !
    Bingo, 25 Juillet 2007
    #15
  16. Offline
    zoune ex membre
    En gros, il suffit d'utiliser la fonction de gestion des mots de passe pour avoir un risque sur un site quelconque. En tout cas selon le site de pcinpact, source de noir.
    zoune, 25 Juillet 2007
    #16
  17. Offline
    Bartdude Touriste
    Ouaip ca me paraît déductible de l'article aussi. Mais pas mal de sites communautaires empêchent le javascript par exemple...
    Bartdude, 25 Juillet 2007
    #17
  18. Offline
    Bingo Beer Addict
    Yep. Enfin maintenant que je sais où est la faille, je suis serein.
    Bingo, 25 Juillet 2007
    #18
  19. Offline
    PPT Did you ever see a lama kiss a lama on a lama?
    En même temps, no script et abp, c'est comme un pare feu : tu édites tes règles une fois pour chaque site et après, plus de problème ;)
    No script n'empêche pas le javascript sur un site auquel tu donnes ta confiance...

    Il suffit d'accepter ton domaine de travail et y a plus de problème ;)
    PPT, 25 Juillet 2007
    #19
  20. Offline
    Noir Never forget who i am !
    trop tard c'est fait, on a récupéré tout tes sites X avec account et mdp :-D

    :porte:
    Noir, 25 Juillet 2007
    #20
Statut de la discussion:
Fermée.