[sécu] Faille de sécurité dans Firefox !

[Raphaël53]

Article fort intéressant et pas rassurant :

http://www.reseaux-telecoms.net/actualites/lire-une-faille-critique-dans-firefox-permet-le-vol-de-mots-de-passe-14861.html

Une faille dans Firefox, cataloguée critique par Mozilla, permettrait à des pirates de récupérer les informations personnelles (identifiant et mot de passe) par le biais de formulaires de publication de contenu en ligne (comme par exemple sur les blogs).[...]

Reste à attendre un correctif de Mozilla...

[edit leviathan]Réduction de la citation: merci de ne pas reprendre intégralement les articles sous droit d'auteur classique[/edit]

[blefebvre]

Ce titre est malhonnête, vu que cette faille affecte aussi bien Firefox que IE

http://www.zdnet.fr/actualites/informat ... 049,00.htm

[bellafago]

bonjour,

oui, mais,

«C'est un problème complexe qui concerne une fonction très utile du navigateur», commente pour ZDNet.fr Tristan Nitot président de l'association Mozilla Europe. «Le problème ne se révèle qu'avec les rares sites communautaires qui ne contrôlent pas les contenus HTML ajoutés à leurs pages», tempère-t-il. «Il ne s'agit pas de données personnelles telles que des coordonnées bancaires. Les sites d'institut financiers ne laissent pas la possibilité aux internautes d'ajouter du code dans leurs pages.»

et , suite sur le site de réseaux telecoms , peut ètre faut il relativiser , tout en restant prudent , d'autant que sur le site de secunia , voilà ce qu'il en est de son niveau de dangerosité ...bon , donc à prendre sans doute avec circonspection , mais aussi avec une certaine distance ...et sur , Cve...

@+

[Nico]

Quelques nuances s'imposent...

Le mot de passe n'est pas envoyé automatiquement au site.
Simplement, un site imitant l'interface d'un autre peut faire autocompleter son formulaire par Firefox ou IE.

Cela renforce l'illusion d'être sur le site authentique, mais de toute façon, si la personne ne s'aperçoit de rien, elle l'aurait probablement rempli elle-même.
Et si elle s'aperçoit de qqch, elle ne postera pas son mot de passe.
Donc désactiver la mémorisation des mots de passe, solution couramment proposée ne sert finalement pas à grand chose ici (si ce n'est à gagner qqs secondes de réflexion avant de cliquer sur "envoyer")...

Finalement, c'est surtout une défaillance de l'anti-phishing, fonctionnalité mise en avant récemment par les différents navigateurs, mais qui semble encore très rudimentaire...

[Shnoulle]

Le mot de passe n'est pas envoyé automatiquement au site.

Heu ....

Sur le proof af concept , rien n'empécherais d'envoyer le mot de passe automatiquement , c'est juste un clic, il suffit d'un ti script je crois ....

[E18i3]

Et l' extension Netcraft, elle n' est donc d' aucune utilité ?

[Raphaël53]

De toutes façons, pour ma part, je relativisais un peu : j'ai confiance en Mozilla, bien plus réactif en matière de qualité et de sécurité de ses projets que certaines firmes informatiques qu'on ne nommera pas afin de ne pas froisser certains habitants de Redmond... Je suis persuadé que Mozilla donnera un correctif efficace tôt ou tard.
Si c'est une défaillance de l'antiphishing, elle prouve que, pour toujours, il n'existera qu'un seul antiphishing digne de ce nom : soi-même. Un peu de bon sens suffit parfois à éviter bien des ennuis.
E18i3 : je vais me documenter un peu sur Netcraft. Moi qui gave mon Firefox d'extensions, j'ignorais tout de celle-ci