Failles dans les navigateurs à onglets
Le site de sécurité Secunia a publié hier deux failles de sécurité s'appliquant aux butineurs permettant une navigation par onglets. Ces vulnérabilités permettraient à une personne malintentionnée de collecter les données introduites dans un formulaire.
Elles concernent toutes deux les onglets inactifs du navigateur. Dans le premier cas, cet onglet inactif peut lancer une boîte de dialogue, apparemment ouverte par l'un des sites consultés dans un autre onglet. L'exploitation de cette vulnérabilité implique que l'utilisateur clique sur un lien provenant d'un site malicieux vers un site connu. Les navigateurs concernés par cette faille sont Konqueror, Mozilla/Firefox, Opera, Netscape, Avant Browser, Maxthon et Safari.
La seconde vulnérabilité permet de récupèrer des données collectés lorsque l'utilisateur rempli un formulaire d'un site connu. Ceci est rendu possible lorsqu'un onglet inactif reçoit le focus d'un formulaire présent sur un site sur lequel vous naviguez dans un autre onglet. Une fois encore, cette vulnérabilité nécessite le clic de l'utilisateur sur un site malicieux vers un site connu. Cette fois, les navigateurs affectés sont Mozilla/Firefox, Maxthon, Avant Browser et Netscape.
Secunia fourni également deux liens pour tester chez vous ces vulnérabilités.
-
Actualité précédente
Le premier écran d'ordinateur... -
Actualité suivante
Un téléphone, ou un appareil photo ?
Le premier me semble assez dur a corriger, mais pour le deuxieme suffit d'interdire a un formulaire de prendre le focus si il est pas dans l'onglet actif
Je préfères avoir 2 petites failles vite corrigée que une grosse faille jamais corrigée (IE) n'es-ce pas coolos2b.
Il faut utiliser IE !
Internet Explorer Multiple Vulnerabilities
Secunia Advisory: SA12806 Print Advisory
Release Date: 2004-10-12
Last Update: 2004-10-20
Multiple vulnerabilities have been reported in Internet Explorer, where the most critical can be exploited by malicious people to compromise a user's system.
Tu peux...
Personne n'est parfait ;-)
Edit:http://secunia.com/advisories/12806/
Je ne sais pas la réponse mais j'ai déjà ma petite idée
(mot commençant par F)
une fenetre ca n'a pas beaucoup de reactivité ^_^
La première n'est pas vraiment un problème. Et il peut etre résolu en donnant le focus a la tab d'origine au moment ou la fenetre s'affiche
Bon maintenant petit concours, lequelle de ces browser aura le plus de réactivité pour corrigé ses failles.
Je ne sais pas la réponse mais j'ai déjà ma petite idée
(mot commençant par F)
Finternet Explorer
La seconde faille(la seule vraiment importante) est déjà corigée depuis quelque temps.
La première n'est pas vraiment un problème. Et il peut etre résolu en donnant le focus a la tab d'origine au moment ou la fenetre s'affiche
comment deja ?
Pour le bogue du focus, on se rend bien compte que le texte tapé n'apparait du moins pas là ou on voudrait.
http://www.securityfocus.com/archi [...] 04-10-21/2
petit article très interressant qui consiste a quelques test sur 4 navigateurs (IE, netscape, mozilla, fire fox).. on y remarque que tous presentent des failles de depassement de buffer ou de null pointer
Et que ô surprise, le nvigateur qui a le mieux reussit au test n'est pas celui qui a la meilleur réputation....
Vala, c'est tout.. vous pouvez reprendre votre masturabation collective a la gloire de FF
N'oubliez pas de jeter un oeil a ces petites page HTML toutes simple :
http://lcamtuf.coredump.cx/manglem [...] _die1.html
http://lcamtuf.coredump.cx/manglem [...] _die2.html
http://lcamtuf.coredump.cx/manglem [...] _die3.html
Ca ne montre qu'une chose : aucun soft n'est infaillible ... Il y en a qui s'en sortent mieux que d'autres
petite pause de trollage
http://www.securityfocus.com/archi [...] 04-10-21/2
petit article très interressant qui consiste a quelques test sur 4 navigateurs (IE, netscape, mozilla, fire fox).. on y remarque que tous presentent des failles de depassement de buffer ou de null pointer
Et que ô surprise, le nvigateur qui a le mieux reussit au test n'est pas celui qui a la meilleur réputation....
Vala, c'est tout.. vous pouvez reprendre votre masturabation collective a la gloire de FF
N'oubliez pas de jeter un oeil a ces petites page HTML toutes simple :
http://lcamtuf.coredump.cx/manglem [...] _die1.html
http://lcamtuf.coredump.cx/manglem [...] _die2.html
http://lcamtuf.coredump.cx/manglem [...] _die3.html
Tu mélanges l'utilisation d'un bug pour planter un navigateur et la possiblité de prendre le controle d'un système via un navigateur. TU mélanges bug et faille crstique.
C'est comme si tu comparaissais la qualité d'un fauteuil de voiture avec l'efficacité de sa carrosserie
Si tu es content de surfer avec une passoire c'est bien parce que c'est la qu'est la masturbation, croire qu'on est sur un navigateur sur alors qu'on chevauche une belle carotte
A méditer...
Sinon pour Moz/FF sa sera corrigé, et en plus ces failles ne sont pas critiques
Le pire c'est pour les utilisateurs de Maxthon, ils ont cette faille + toute celles de IE
Faux car Maxthon ne fut pas touché lorsque des failles type url-spoofing ou de drag and drop ont touché IE. Parceque justement le moteur est le meme, mais pas l'interface !
Sinon pour Moz/FF sa sera corrigé, et en plus ces failles ne sont pas critiques
C'est beau ça bravo.
Faux car Maxthon ne fut pas touché lorsque des failles type url-spoofing ou de drag and drop ont touché IE. Parceque justement le moteur est le meme, mais pas l'interface !
![[:acid]](http://img.infos-du-net.com/forum/images/perso/acid.gif "[:acid]")
On trouve deux failles et toi tu es content parceque "tu penses" que ca va être plus vite corrigé.... pfff.
C'est beau ça bravo.
Squall faut que tu saches que le Mozilla forum corrige très rapidement les bugs et failles. De plus Nicoprog a raison lorsqu'il dit que les faille de IE touchent les surcouches. Surtout que les failles critiques sont plus liées au moteur qu'à l'interface...
Allez fait un effort, passe du côté obscure de la force des navigateurs
Et je ne connais pas de site banquaire (par exemple) qui demande le mot de passe via du javascript, qui plus ait un popup (ce qui est ridicule)..
Et faille ou pas ce n'est pas le problème. Mozilla est une organisation très active et bénévole. J'insiste sur le bénévole car on a tendance à l'oublier. C'est un superbe travail que réalise la communauté, et ceci mérite le respect, bug ou pas.
IE c'est différent, des gens sont payés pour créer les applications, et forcément lorsqu'il y a un bug critique, c'est beaucoup moins acceptable.
Imaginons que je vous offre une voiture.. Libre à vous de la prendre.. Vous pouvez toujours la démonter pour voir son état par vous même.. Mais si vous avez un pépin avec, faudra pas venir pleurnicher, je vous l'ai donné et je vous ai prévenu qu'il n'y avait pas de garantie
(FireFox n'étant pas encore en version finale d'ailleur).
Maintenant je vous vend une voiture et je vous dis qu'elle est sécurisée, entre autre.. (suffit de lire les écrans de texte que balance Windows pendant l'install).
Et que vous avez un pépin avec.. ok la vous pouvez gueuler, vous avez payé pour une soit disant sécuritée qui n'est pas réellement la.. Et en plus, le service après vente est plutot lent à la réaction (réactivité de Microsoft face au bugs)
Alors est-ce que l'on peut plus gueuler sur Microsoft que sur la fondation Mozilla?
Oui, car c'est souvent menssongé, comme toute entreprise qui cherche a faire du profit.
Mais est-ce qu'on a le droit de se plaindre lorsqu'il y a un pépin sous Mozilla?
Non, vous n'avez "signé" aucun contrat et personne ne vous a dis que le logiciel était sans risque
petite pause de trollage
http://www.securityfocus.com/archi [...] 04-10-21/2
petit article très interressant qui consiste a quelques test sur 4 navigateurs (IE, netscape, mozilla, fire fox).. on y remarque que tous presentent des failles de depassement de buffer ou de null pointer
Et que ô surprise, le nvigateur qui a le mieux reussit au test n'est pas celui qui a la meilleur réputation....
Vala, c'est tout.. vous pouvez reprendre votre masturabation collective a la gloire de FF
N'oubliez pas de jeter un oeil a ces petites page HTML toutes simple :
http://lcamtuf.coredump.cx/manglem [...] _die1.html
http://lcamtuf.coredump.cx/manglem [...] _die2.html
http://lcamtuf.coredump.cx/manglem [...] _die3.html
Tu vas un peu vite que le navigteur plante ne signifie en rien qu'il y a une faille tout au plus cela marque une possible vulnérabilité qu'il faut vérifié par la suite.
[mon troll à moi] Ce serait pas ceux qui traitent les linuxiens - ou assimilés - d'intAigriste qui essaient tant bien que mal de défendre ce navigateur ???[/mon troll à moi]
Bon sinon à mon sens ici ce n'est pas ff ou opera ou bidule qui est ciblé mais le concept meme des onglets et ses faiblesses. Pas de de doute à avoir par contre sur le réactivité des acteurs (ms n'en fait pas partie)
Pour les pro IE. Vous avez vu ca hier ?
http://secunia.com/advisories/12889/
Cherchez pas de correctif hein, focalisez vous juste sur les conseils donnés par le site pour solutionner le problème
Après ca revenez défendre tranquilement votre soft qui explore le monde de l'internet
resultat: je suis bien content de pas me servir des onglets (d'une part parce ue c'est pas pratique, ensuite c'est moche et ca reduit l'espace visible)
Waouuu ça c'est de la pertinence
resultat: je suis bien content de pas me servir des onglets (d'une part parce ue c'est pas pratique, ensuite c'est moche et ca reduit l'espace visible)
???????t'as quoi comme affichage, un 2"?????
je suis pour ma part perplexe, car le seul cas où cela pourrait être critique, c'est lors de mes achats en ligne, et comme dit plus haut, ce truc n'est utilisé par aucun site, mais j'attends avec impatience le correctif...
mais il me vient une question : comme c'est du javascript, est-ce que le javaruntime que j'ai installé a une quelconque affaire avec ce problème?
???????t'as quoi comme affichage, un 2"?????
non mais tous les pretextes sont bons. J'ai pas encore trouvé d'avantages a l'utilisation des onglets alors bon
non mais tous les pretextes sont bons. J'ai pas encore trouvé d'avantages a l'utilisation des onglets alors bon![[:spamafote]](http://img.infos-du-net.com/forum/images/perso/spamafote.gif "[:spamafote]")
Ca me rappel neo qui trouvait que la drapal feature n'avait aucun interêt.
Ca me rappel neo qui trouvait que la drapal feature n'avait aucun interêt.
cherche pas la petite bete, cette feature en gros c'est rajouter une barre des taches dans une fenetre
cherche pas la petite bete, cette feature en gros c'est rajouter une barre des taches dans une fenetre
ca sert a quoi
a avoir moins de fenetres dans la barre des taches
a avoir moins de fenetres dans la barre des taches
c'est sur, pour avoir moins de voitures sur les autoroutes, mettont en sur les routes de campagnes
c'est sur, pour avoir moins de voitures sur les autoroutes, mettont en sur les routes de campagnes![[:dawa]](http://img.infos-du-net.com/forum/images/perso/dawa.gif "[:dawa]")
analogie à 2 cents powa
C'est beau ça bravo.![[:acid]](http://img.infos-du-net.com/forum/images/perso/acid.gif "[:acid]")
On trouve deux failles et toi tu es content parceque "tu penses" que ca va être plus vite corrigé.... pfff.
Je n'ai JAMAIS dit que j'etais content et que sa sera vite corrigé faut pas délirer non plus j'ai juste dis "ça sera corrigé"
Et faille ou pas ce n'est pas le problème. Mozilla est une organisation très active et bénévole. J'insiste sur le bénévole car on a tendance à l'oublier.
Depuis quand les dév Mozilla sont bénévoles ?
Ben ouais carrément. Quand Mozilla plante pour la 3ème fois dans la journée, c'est par pareil. Ca plante, mais ya qqchose de plus romantique. Voilà c'est ça c'est un crash poétique.
Bon t'as pas le droit de te plaindre par contre t'as le droit de coder le bugfix et de nous filer du pognon pour qu'on fasse de la pub dans le NY Times
Ben ouais carrément. Quand Mozilla plante pour la 3ème fois dans la journée, c'est par pareil. Ca plante, mais ya qqchose de plus romantique. Voilà c'est ça c'est un crash poétique.
Ne fait pas le mec qu'est pas au courant, la Fondation te préviens :
"While this software works well enough to be relied upon as your primary browser in most cases, we make no guarantees of its performance or stability"
"Ce logiciel fonctionne assez bien pour être votre principal navigateur, cependant nous n'emettons aucune garantie sur ses performances ou sa stabilité"
http://www.mozilla.org/products/firefox/releases/
Faut pas perdre de vue que c'est un logiciel gratuit, hein
Enfin, moi c'est pas mon habitude d'acheter un truc et de ne rien faire quand ça marche pas
Il existe des solutions pour proteger son PC ... alors que dans la rue, à part se taper dessus (pour se defendre, j'entend
Il faudrait inventer un vetement "firewall" et un antivirus dans le portefeuille
bon ca n'empeche que je continuerais a me servir de ma barre des taches windows seulement, biecran et c'est tout
J'aprouves à 200% (100% par écran
Je te conseilles quand même l'utilisation d'ultramon
Bon maintenant petit concours, lequelle de ces browser aura le plus de réactivité pour corrigé ses failles.
Je ne sais pas la réponse mais j'ai déjà ma petite idée
(mot commençant par F)
Un plugin de Maxthon corrige/contourne ces 2 problèmes
http://maxthon.tarapages.com/plugi [...] ile&id=578
et a quoi ca sert d'avoir 2 pages dans la meme fenetre vu que tu peux l'avoir SANS
Alors là elle est bien bonne... ah ah ah...
Simplement ça permet de pouvoir naviguer sur deux pages différentes dans la même fenêtre...
Enfin bon, un troll des cavernes comme toi, ça doit te dépasser....
Je pense comme lui
Entre les onglets ou la barre des taches je ne voit pas de differences, désolé.
Mais comme beaucoup de chose c'est la mode de trouver les onglets extra super génial de la mort qui tue alors bon ... Faut surtout pas dire que ca sert à rien sinon on se fait lyncher.