Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Navigation sur Internet et vie privée avec Firefox

avril 2010 par CERT-XMCO

* Plugging the CSS History Leak

 Date : 01 Avril 2010

 Gravité : Faible

 Description :

Dans un bulletin paru sur le blog Sécurité de la fondation Mozilla, l’éditeur de Firefox annonce être en train d’intégrer une solution visant à résoudre une faille présente dans de nombreux navigateurs et pouvant mener à une fuite d’informations personnelles.

La faille en question existe depuis de nombreuses années et permet de savoir à distance si un utilisateur a déjà visité un site web particulier. La faille repose sur le fait que le navigateur présente les liens pointant vers des sites visités d’une façon différente de ceux pointant vers des sites non visités. Avec un simple script JavaScript, il est possible pour un pirate de comparer la façon dont est affiché un lien (propriétés CSS). La faille de sécurité est donc vicieuse, mais peut être utilisée afin d’extraire une quantité d’information non négligeable sur la vie privée des utilisateurs.

Le développeur a proposé une solution technique dissociant la partie "affichage" de la partie "récupération d’information" de certaines propriétés CCS comme ":visited". Mozilla pense que cette solution pourrait être utilisée par les autres navigateurs, mais prévient néanmoins que d’autres techniques du même type peuvent toujours être utilisées par des pirates afin d’extraire des informations personnelles.

Les sites suivants donnent un aperçu de ce qui est réalisable en exploitant ce "canal caché".

http://startpanic.com/

http://www.haveyourfriendsbeenthere.com/

http://caughtyouwatching.com/

 Référence :

http://blog.mozilla.com/security/2010/03/31/plugging-the-css-history-leak/

http://dbaron.org/mozilla/visited-privacy

http://startpanic.com/

http://www.haveyourfriendsbeenthere.com/

http://caughtyouwatching.com/

 Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0389


Voir les articles précédents

    

Voir les articles suivants