Faille de sécurité : extension anti-phishing Firefox Google

Le par  |  17 commentaire(s) Source : Vulnerabilite
Google logo

La société Finjan a ainsi alerté Google, il y a un mois de cela, quant à l'existence d'une faille dans son extension anti-phishing pour Firefox.

Google logoLa société Finjan a ainsi alerté Google, il y a un mois de cela, quant à l'existence d'une faille dans son extension anti-phishing pour Firefox. Il se trouve en effet que l'outil anti-hameçonnage permettait, il n'y a pas si longtemps que ça, de récupérer les identifiants et les mots de passe des utilisateurs du navigateur web, logiciel qu'il était pourtant censé sécuriser.


Une faille dans un logiciel de sécurité...
Mais comment cela était-il possible ' Il se trouve en fait que l'outil de Google s'appuie sur une liste noire (blacklist) qui recense les sites web potentiellement dangereux et qu'il alimente lui-même. Cette liste noire est visible par tous, et c'est là que le bât blesse. Certains sites web incluent les identifiants et les mots de passe directement dans l'adresse URL (Uniform Resource Locator). Ainsi, lors de l'envoi d'adresses URL suspectes aux serveurs de Google, des identifiants et des mots de passe ont été envoyés et donc été visibles pour tous pendant un certain temps.

Reste que même si Google a corrigé la faille et fait le grand nettoyage dans cette fameuse liste noire, une telle annonce s'avère réellement inquiétante et remet en doute la confiance que l'on doit accorder à tous ces outils de sécurité...

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #154811
bravo google
Le #154821
Google me fait beaucoup plus peur que Microsoft.

J'avais déjà posté cette news il y a deux jours sur mon blog : http://windowsvista.blogfrance.com/1505316/
Anonyme
Le - Editer #154831
Et que dire des sites dont l'url contient login & mot de passe. C'est surtout ça qui est grave, et pas le logiciel de google.


Le #154833
Salut,


"un trou de sécurité malheureux"


"""malheureux""" depuis quand un trou est malheureux ' d'habitude on dit "un de plus" ou" un de trop", et parfois même... on en rigole allègrement, non '


"l'extension 'anti-hameçonnage' pour Firefox"


sauf erreur de ma part, c'est pas une extension mais bien une _fonctionnalité de Firefox_ (oui, c'est possible) activée par défaut, l'antiphishing... et même si on ne choisi pas la protection "temps réel" via le service anti-phishing de Google, c'est bien la Google black list qui est téléchargée régulièrement dans le fichier urlclassifier2.sqlite du profil (à peu près lisible, pour les vilains curieux, après treize petites rotations)

@+
--
Pierre
Le #154841
@Pierre : sauf erreur de ma part, il s'agirait du filtre antifishing proposé par la google bar pour firefox et non celle de firefox a proprement parler...
Anonyme
Le #154843
pierre... on sait opera est mieux! ....
Le #154845
Phach ++

C'est clair, c'est surtout au concepteur des sites qui mettent login et password dans l'url qu'il faut tirer a boulet rouge... comment on peut etre assez stupide pour faire une chose pareille...

Paquerette
Le #154853
C'est clair qu'à l'origine ces sites ne sont pas très sécurisé...

@Puck : Non tu ne te trompe pas : le filtre par défaut de Firefox utilise bien la liste noire de Google, mais elle est téléchargée par le navigateur et les URLs sont ensuite vérifiés en local. Ainsi Firefox seul ne pose aucun problème de sécurité dans ce cas là.

Alors que la barre d'outil Google envoi chaque URL au serveur pour la vérifier (tout comme Opera et IE7 si je ne me trompe pas - sauf qu'il me semble qu'ils suppriment les paramètres de l'URL afin d'éviter ce problème).


Mais pour moi ce type de protection pose surtout un problème de respect de la vie privée (chaque URL visité est envoyé à un serveur )

a++
Le #154857
'anti-hameçonnage' =>Quel malheureux terme
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]