Les applications Web victimes d'une faille
Source : Korben | Mots-clés : faille, web, applications
Un internaute du site GNUCitizen vient de découvrir une faille importante qui affecte la grande majorité des applications en ligne. Selon lui, l’utilisation d’un protocole particulier, très répandu pour les applications Web, permet l’exploitation d’une faille de type Cross Scripting.
Ce genre de faille permet à une personne tierce d’effectuer plusieurs actions à l’insu de l’utilisateur, comme l’affichage d’un contenu externe, la redirection transparente vers une autre page ou encore le vol de données personnelles.
Une faille dangereuse
Les applications Web, et plus généralement tous les sites utilisant le protocole JAR, sont vulnérables à cette faille, selon son découvreur. Le protocole JAR permet d’extraire du contenu d’un fichier compressé, ce qui explique qu’il soit particulièrement utilisé pour les applications sur Internet. Ainsi, de nombreuses applications comme des clients mail, des systèmes de partage de fichiers ou des outils de travail collaboratifs sont des cibles de cette faille. En outre, certaines applications proposées par Google, Microsoft ou même Facebook en font partie.
Il est toutefois important de noter que cette faille ne fonctionne qu’avec Mozilla Firefox. Les solutions ne sont pour l’instant pas nombreuses pour l’éviter. Mais il y a fort à parier que les éditeurs d’applications en ligne vont se pencher sérieusement dessus pour apporter rapidement un correctif.
Notre avis : il s’agit d’une faille plutôt inattendue, mais très efficace et simple à exploiter pour quiconque a les connaissances nécessaires. Gageons que les éditeurs trouveront rapidement la parade !
-
Actualité précédente
[MAJ] Firefox 3 : la bêta 1 en approche -
Actualité suivante
Détente : les bienfaits de la fibre
- Internet Explorer ou... ? [Les news]
- Les applications Web victimes d'une faille [Les news]
- Internet Explorer vs Firefox : And the winner is... [Les news]
- Triste mois de juillet pour les navigateurs Web [Les news]
- Vista : six failles de plus [Les news]
Posez votre question sur ce sujet à la communauté !
"Il est toutefois important de noter que cette faille ne fonctionne qu’avec Mozilla Firefox."
Comme quoi il n'y a pas que IE qui a des failles ^^
+1 sundevil même si cela me fait ch... de le dire !
==> []
MS fournit gratuitement une librairie XSS pour les applis ASP.Net
http://www.microsoft.com/downloads [...] laylang=en
Bien sûr sundevil tout le monde a des faille.
L'avantage dans l'open source c'est le temps de réaction
C'est la news la plus vague que j'ai jamais lu.
Ya une faille dans les applications webs ? rien que le titre est completement debile.
Alors donc apres decryptage, il y aurais une faille firefox dans son appli java ? ce qui n'a strictement rien à voir avec la couleuvre qu'on essaie de nous faire gober (une fois de trop)
ça c'est tout l'art de faire du bruit pour rien que pratique infos-du-net.com...
quand on a pas de contenu, on fait ce qu'on peut...
La news en quelques mots : il existe une faille dans le protocole JAR de Firefox qui permet à une personne distante d'exploiter un XSS (Cross-site Scripting), ce qui lui permet de rediriger la victime vers un autre site ou de voler ses informations, entres autres.
En quoi est-ce vague/une couleuvre/du bruit pour rien ?
Vous avez lu la source ?
L'actualité me semble résumer cela suffisamment clairement, malheureusement, ce n'est qu'une news, et on ne peux pas entrer dans les détails sur plusieurs paragraphes.
Et ninjaw, le titre ne dit PAS qu'il y a une faille DANS les applications Web, mais qu'elles en sont victimes.
en fait pour firefox l'extention Noscript (http://noscript.net/) permet d'éviter de tels ennuis
Onigiri:
La news ocuulte quasiment Firefox, ce n'est pas tous les "applicatifs web" qui ont une faille mais bien firefox, l'art de creer la panique