allez Mozilla !
on compte sur vous pour nous corriger ça vite fait pour fermer le clapet des concurrents médisants !!!

Juste une question sachant que mon historique est effacé à chaque lancement de Firefox enfin tout le temps quoi est ce que cette faille est tout de même exploitable?

Il peut quand même écrire dans l'historique si on l'a desactivé ?

Si non : Hinhin.. Heureusement que j'ai désactivé l'historique =X
Ca a du bon d'être parano >=3

Si oui : Erf.

En fait, j'ai testé la proof of concept, firfox redemare apres avoir été sur le site indelicat, mais par contre il met longtemps a demarer (quasiment 2 minutes)

Un bug est ouvert et des patch ont été proposés.

Voici la reponde se mozilla
http://www.mozilla.org/security/history-title.html



Je félicite Info du net pour ne pas avoir ecrit un articla a la va vite comme j'ai pu en croiser de nombreux sur le net.

Des articles sur une faille ecrit sans meme avoir lu le rapport de bug ou attendu la reponse de Mozilla (ou meme s'etre renseigné au minimum) , c'est du n'importe quoi.

J'ai lu des site ou ce bug etait une faille critique qui risquait d'etre exploitée rapidement via un buffer overflow.... 8-) n'importe quoi


Merci a IDN pour cet article impartial.

Freelance>> aucun risque
Skan>> avec un histo reglé à 0 jour on ne risque rien.

Bon bah dans ce cas je repart tranquille !

faire planté un navigateur cela n'a rien de difficile, une page en php qui s'agandit indefiniment et presque à tous les coups firefox il plante ! (expérience vécu plus d'une fois)


Aura-t-on déja une version 1.5.1 ou juste un patch pour ne pas écorcher la réputation du navigateur ?

SiM07>>Aura-t-on déja une version 1.5.1 ou juste un patch pour ne pas écorcher la réputation du navigateur ?

ben les deux, la version 1.5.0.1 sera diffusée via le nouveau systmeme d'update de firefox (et il sera pas plus gors que0 50 ko ^^)

J'ai confiance en la fondation Mozzila, je suis sûr qu'il vont nous règler ça très vite.

https://bugzilla.mozilla.org/show_bug.cgi?id=319004

Pour ceux que ca interresse voici la raport de bug

Au debut ils parlent de buffer overflow dnas les comment puis ils se rende compte qu'en fait, non, y'en a pas.

Cette faille porte atteinte a la sécurité et pour preuve :
L'utilisateur moyen va se dire que son firefox ne marche plus et comme c'est quelqu'un qui ne va pas sur IDN, il ne sauras pas qu'il suffit d'effacer history.dat, il va donc se remettre sous Internet Explorer, CQFD : cette faille porte atteinte a la sécurité du système.

@ Moktoipas > Merci pour les précisions =]

windob>>
XPDR pendant deux secondes, j'ai cru que tu etait serieux !

Mais tout le monde a un ami qui s'y connais en firefox ^^

Oui on peut troujours trouver un ami qui connait firefox mais le temps de l'appeler, rien que quelques secondes d'inattention avec IE et c'est le drame !

windob>> oui mais imagine, le mec, il lance FF, il voit que ca rame, il appelle son copain super callé et il se rend compte qu'entre temps FF c'est lancé.
Il se dit, je vais economiser un coup de fil, je racroche vite et je fais comme si j'avias rien vu.

APres il se rend compte au prochain demarage que ca rame encore, il fait un forum sur le premier sit qu'il trouve et paf, il a sa solution.

Sa m'est arrivé looool !!!! Maintenant je sais pourquoi mon ordi buggai. :-D :-D

On lance les chronos !
Combien de temps faudra-t-il notre panda rouge pour combler cette faille ?
... moins de 6 mois je dirais quand même !

[Mode mauvaise langue : ON]
En fait, c'était pour tester à grande échelle le nouveau système d'update de la version 1.5
[Mode mauvaise langue : OFF]

Il y a deja un patch en preparation

Quelle faille énorme mon dieu !

A cote des faille de IE, celle ci n'est qu'un tete d'epingle lol...
Je me souvien de cette vielle faille de IE ou on ajoutais les caracteres @ ca nous faisait un beau trou de sécu en se croyant sur un site au lieu d'un autre

Le mieux reste d'utiliser plusieurs navigateurs.
Ca permet de lire correctement tous les sites, et en plus, si y il à un problème avec l'un, on peut toujours switcher sur l'autre. ;-)

Oué mais en fait ce truc sa marche en fonction du temps que tu garde ton historique quoi si tu met 0 tu as pas de bug, si tu met 1 au bout d'un jour sa remarche ect...

une faille @Firefox seras tjours combler avec une @IE.....

>>coucou! pirg ! ;-)

mouarf, j'ai eu peur pendant une seconde....

Finalement c'est rien du tout. Plus personne ne conserve d'historique!
Par contre si le truc foutais la merdes dans mes marques Pages ; là je serais bien embété.

Aller j'vais quand même réagir... Normalement un bon programmeur l'aurait réparé en dix minutes ;-) ... non mais c'est rien du tout quand même, mais contrairement aux failles de IE qui sont peu être plus dangereuse, celle-ci touche beaucoup de monde... Alors que celles de IE, rare sont les personnes qui en ont été victimes... Mais bon c'est sûr si on tombe dessus on est dans la merde...
Mais bon là ça fais 3 jours... [bon y avait le weekend] ;-)

salut
alors coment tu fais pour le desactive merci

mydanilove>> un patch a été soumis dans le journée sur bugzilla, mais il faut attendr eles validation, et la compilation.
La fondation mozilla a declaré ne pas vouloir sortir FF 1.5.0.1 avant fin décembre debut janvier.

Je n'appprouve pas leur choix, mais ils ont surrement leur raisons.

(et celle ci doit etre que c'est pas une faille mais un bug)

Je ne suis pas sûr car je ne connais pas les codes de firefox mais moi je ferai en premier lieu, par leur système d'update, une limitation de la longueur de l'adresse dans l'historiqe genre à 300 carctères... Et aussi un vérificateur de syntaxe : même s'il y a plusieurs types d'adresses web genre "192.198.12.3" ou http:// (avec ou sans www.)etc. Après ils peuvent régler le problème à la base : pourquoi un script peut il faire faire ça à firefox...

Moi aussi j'ai désactivé l'historique (ça sert à rien l'historique de toute façon...).
reste à savoir quand est-ce que le fichier est effacé (au lancement ou à la fermeture de FireFox)

A mon avis, ça n'est pas une faille de sécurité, au pire ça fait planter firefox, mais ce n'est pas parce qu'un programme plante qu'il rend forcément le PC vulnérable sur internet.