A voir

Sur ce site

Infos cyclones
Annuaire de liens
Piége à spams
Grand Raid 2010
Chikungunya

Avertissement

Les informations présentes sur ce site sont fournies en l'état, sans garantie d'aucune sorte, et ne vous confèrent aucun droit. Vous assumez tous les risques liés à leurs utilisations.
Reproduction interdite sans l'autorisation expresse de l'auteur (hormis une brève citation en précisant la source).

Blog Océan Indien

Barijaona
Andrew (en)
to be continued ...

A savoir

Moteur de recherche interne
Changer l'apparence de ce site
Syndication de contenu
LSZ Agregateur
Plan du site (sitemap)
FAQ LSZ Blog
Me contacter

A propos

Qu'est-ce que ce weblog ?

Un flux d'octets en provenance de la France australe, organisés chronologiquement en une collection d'observations, de réflexions, de liens en rapport avec mes centres d'intêrets. (About)

Saint Pierre, La Réunion GeoURL

Contacter l'auteur

Toutes les remarques, commentaires, critiques, suggestions seront trés appréciés.

Disclaimer

Les imprudents qui envisageraient de s'intéresser au code HTML de ce site sont invités à lire préalablement cette mise en garde.

Archives

Mars 2017
<< | < | > | >>

L M M J V S D
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31  

Selection

Fil RSS XML

Le bouton rouge ci-dessus est un lien vers un fil RSS. Si vous ignorez de quoi il s'agit, lisez cette explication
Vous lisez "Signe ostenstatoire de masochisme ", un article publié le 31/01/2004 à 13:49 sur LSZ Blog

Samedi 31 Janvier 2004

Signe ostenstatoire de masochisme - LSZ


Parler de faille de sécurité revient assez souvent à évoquer les problémes de Microsoft avec son célébre navigateur , MSIE.

Aprés le spoofing d'adresse, deux nouvelles failles d'Internet Explorer ont été révélées:

  • la premiére faille de sécurité concerne la possibilité de construire un dossier contenant un script et un fichier exécutable, permettant potentiellement l'exécution de code malveillant lorsque l'utilisateur ouvre ce type de dossier. Il n'y a actuellement aucune maniére de se protéger de cette faille, à part de ne pas ouvrir les dossiers dont vous n'êtes pas sûr.

  • la deuxiéme faille de sécurité concerne la possibilité de masquer la nature réelle d'un fichier. Celle-ci est habituellement définie par l'extension associée à son type MIME, par exemple .txt, .jpeg, .pdf, etc. Sous windows, un fichier peut aussi être défini par son CLSID qui est une clé définie dans la base de registre. Si cette clé est contenu dans le nom du fichier, par exemple monfichier.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}, Internet Explorer ne montre pas le CLSID mais uniquement l'extension .txt du fichier qui est en fait un fichier .hta, extension propriétaire Microsoft pour désigner une sorte de fichier html exécutable pouvant contenir du code donnant un accés en lecture-écriture au systéme de fichier et à la base de registre sur le PC client (rien que ça !!!). En cliquant sur un lien vers un fichier avec une extension innocente (.txt dans l'exemple ci-dessus), vous voilà donc malgré vous en train de lancer un fichier exécutable (fichier .hta) pouvant potentiellement contenir du code malveillant. Il existe un exemple célébre permettant d'ouvrir le tiroir de votre CDROM en cliquant sur un lien html innocent (voir le code source ci-dessous). Mais vous pouvez tout aussi bien diffuser un virus ou pourquoi pas formater votre disque dur, ... Il n'y a pas de patch pour cette faille dont Microsoft semble pourtant avoir été informé il y a déjà un petit moment. La seule parade consiste à ne pas cliquer sur un lien dont vous n'êtes pas sûr à partir d'Internet Explorer.


Ne plus cliquer sur un lien dont vous n'êtes pas sûr est d'ailleurs la solution qui est officiellement retenue par Microsoft pour se protéger du spoofing d'adresse et des liens hypertexte nuisibles:

Le moyen le plus efficace pour vous protéger des liens hypertexte nuisibles consiste à ne pas cliquer dessus. Tapez plutôt vous-même l'URL de votre destination déterminée dans la barre d'adresses. En tapant manuellement l'URL dans la barre d'adresses, vous pouvez vérifier les informations utilisées par Internet Explorer pour accéder au site Web de destination. Pour ce faire, tapez l'URL dans la barre d'adresses, puis appuyez sur ENTRÉE.


Et pour conclure, Microsoft envisage tout bonnement de supprimer l'authentification par l'URL dans les prochaines versions d'Internet Explorer, afin de contrer la faille non corrigée sur le spoofing d'adresse. A terme, il ne sera donc plus possible d'utiliser une syntaxe du genre http(s)://utilisateur:motdepasse@serveur/ avec Internet Explorer.
Voilà de quoi s'interroger sur la fiabilité de ce navigateur.

Surfer avec Internet Explorer est un signe ostentatoire de masochisme.



Update:
Microsoft a publié le 2 février un patch corrigeant la faille concernant la mystification d'URL (URL spoofing). Ce patch corrige cette faille en supprimant le support de l'identification par l'utilisateur et le mot de passe dans l'URL.
A noter qu'il existe aussi un patch open source disponible depuis le 20 décembre.
Quand aux deux autres failles signalées dans cette article, elles ne semblent pas avoir été encore corrigées.

Code source pour obtenir l'ouverture du tiroir du lecteur de CDROM:

<SCRIPT language=VBScript>
<!--

Set oWMP = CreateObject("WMPlayer.OCX.7" )
Set colCDROMs = oWMP.cdromCollection

if colCDROMs.Count >= 1 then
For i = 0 to colCDROMs.Count - 1
colCDROMs.Item(i).Eject
Next ' cdrom
End If

-->
</SCRIPT>

Page mise à jour le 26/07/2005 à 19:21:00 | Temps de génération de cette page: 0.04591 secondes | Sitemap