Retour à l'accueil de CommunauTech.com WinProJOBS gratuit
Contact Plan Aide
RECHERCHE


FileAudit - Who accesses

:: Actualité ::

[Les News] [Recherche avancée] [SecALERT]




HTTPS, le protocole ne fait pas tout

Une vague de papiers traitant des limites de HTTPS –et autres effets de bord- vient mourir sur la grève des blogs quasiment désertés. Le ressac des hacks s’entend tout d’abord sur les rivages de GNU Citizen, avec ce papier de PdP intitulé « Réparons le Web ».
Et de débuter avec ces recommandations de prudence relatives à l’accès sécurisé d’un site : commençons par marquer les cookies avec les attributs « secure » et « httponly », et vérifier que toutes les url situées dans un contexte sécurisé débutent bien par https://, sans omission possible. Supprimer tous les messages d’erreur susceptibles de fournir des indications (un classique dans le monde SQL), limiter les mises à jour aux formats connus, installer un HIDS… ce n’est pas là un livre de recettes infaillibles, précise l’auteur mais si tout le monde respectait ces quelques principes de précaution, Internet deviendrait plus dur à vivre pour certains pirates.

Mais même les meilleures « bonnes pratiques » et usages abusifs de https ne garantissent pas une absolue invincibilité. Et c’est sur un air tektonico-acoustique que les chercheurs de l’équipe d’Enable Security nous font une démonstration de surfjacking sur Gmail.
En fait une opération de vol de cookies fonctionnelle y compris dans le cadre d’un site https.

Un article technique, intitulé Surf Jacking, HTTPS will not save you, fournit les détails de l’opération. Surfjack, l’outil central nécessaire à la démonstration, est un code Python pouvant être téléchargé sur, comble de l’ironie, Google Code. Cette information est également à rapprocher d’un billet de Robert Graham –Errata Security- toujours sur ce même sujet.

Encore une nouveauté dans le monde HTTPS. C’est SSL Guardian, offert par l’éditeur Allemand Heise.
On ne peut être sûr de la qualité des liaisons https de certaines distributions Debian, en raison d’un défaut dans la génération des certificats. Lesquels seraient un jeu d’enfant à casser, affirment nos confrères. Le programme Win32 SSL Guardian se charge donc de vérifier le niveau de solidité du certificat SSL reçu. L’outil est gratuit… donc indispensable, accompagné d’une URL délivrant un certificat « garanti mauvais ».




 
Les 10 actualités suivantes :
Les 10 actualités précédentes :

   Société |  Partenaires |  Pub |  Presse |  Mentions Légales


Copyright 2010 GalaAd Technologies ©. Tous droits réservés. Reproduction interdite.