***Avertissement*** : FireFox, SeaMonkey, Mozilla: faille grave de sécurité

Le
CriCri
Bonjour

Dans certaines circonstances le gestionnaire de formulaires des
navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement en
clair des données sensibles tels:
- des mots de passe
- des numéros de cartes bancaires (y compris le cryptogramme etc).

Et cela même pour les mots de passe saisis dans des champs 'password'
cachés ou sur des pages 'https:'.
Chacun qui passe derrière peut donc soit consulter ces données, soit les
réutiliser dans un formulaire (le même ou bien éventuellement un autre).

Il s'avère que cette faille grave de sécurité n'est pas un bug mais un
défaut grave de programmation - connu d'ailleurs depuis 2004.
Malgré les maintes protestations de leurs utilisateurs aucun correctif
n'a jamais été publié.

À moins donc que vous soyez sûr de votre sécurité (étudier déjà les
données enregistrées), il convient donc de
- désactiver carrément "l'autocomplétion" des champs de formulaires
- supprimer (de façon sécurisée) les fichiers contenant leurs données
(selon votre version) - par exemple 'formhistory.sqlite' facilement
lisible (les fichiers précédents 'nnnnnnnn.w' étaient cryptés mais très
faiblement).

Cdlt
CriCri

--
bitwyse [PGP KeyID 0xA79C8F2C]
http://www.le-maquis.net
C'est comme au CNRS: des chercheurs qui cherchent on en trouve
mais des chercheurs qui trouvent on en cherche.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Xavier Dupeyré
Le #21086481
Bonsoir,

CriCri a écrit le 29/01/2010 :

Dans certaines circonstances le gestionnaire de formulaires des
navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement en
clair des données sensibles tels:
- des mots de passe
- des numéros de cartes bancaires (y compris le cryptogramme etc).



Y a-t-il des éléments (liens, sources... ) pour étayer cette info ?

--
Xavier
Dellara
Le #21086471
CriCri a papoté sur Usenet le janvier 29, 2010 03:46 PM:

Bonjour

Dans certaines circonstances le gestionnaire de formulaires des
navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement
en clair des données sensibles tels:
- des mots de passe
- des numéros de cartes bancaires (y compris le cryptogramme etc).

Et cela même pour les mots de passe saisis dans des champs 'password'
cachés ou sur des pages 'https:'.
Chacun qui passe derrière peut donc soit consulter ces données, soit
les réutiliser dans un formulaire (le même ou bien éventuellement un
autre).



SOURCES?
CriCri
Le #21087001
https://bugzilla.mozilla.org/show_bug.cgi?id%2486

--
bitwyse [PGP KeyID 0xA79C8F2C]
http://www.le-maquis.net
C'est comme au CNRS: des chercheurs qui cherchent on en trouve
mais des chercheurs qui trouvent on en cherche.
Jean transene
Le #21087531
Pour nous ce n'est pas un bug et c'est très pratique pour se rappeler et
imprimer les mots de passe, surtout ceux des formulaires des forums par
exemple !


"CriCri" news:4b634948$0$898$
Bonjour

Dans certaines circonstances le gestionnaire de formulaires des
navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement en
clair des données sensibles tels:
- des mots de passe
- des numéros de cartes bancaires (y compris le cryptogramme etc).

Et cela même pour les mots de passe saisis dans des champs 'password'
cachés ou sur des pages 'https:'.
Chacun qui passe derrière peut donc soit consulter ces données, soit les
réutiliser dans un formulaire (le même ou bien éventuellement un autre).

Il s'avère que cette faille grave de sécurité n'est pas un bug mais un
défaut grave de programmation - connu d'ailleurs depuis 2004.
Malgré les maintes protestations de leurs utilisateurs aucun correctif
n'a jamais été publié.

À moins donc que vous soyez sûr de votre sécurité (étudier déjà les
données enregistrées), il convient donc de
- désactiver carrément "l'autocomplétion" des champs de formulaires
- supprimer (de façon sécurisée) les fichiers contenant leurs données
(selon votre version) - par exemple 'formhistory.sqlite' facilement
lisible (les fichiers précédents 'nnnnnnnn.w' étaient cryptés mais très
faiblement).

Cdlt
CriCri

--
bitwyse [PGP KeyID 0xA79C8F2C]
http://www.le-maquis.net
C'est comme au CNRS: des chercheurs qui cherchent on en trouve
mais des chercheurs qui trouvent on en cherche.


Alcovia
Le #21087551
Le 29/01/2010 21:46, CriCri a écrit :
Bonjour

Dans certaines circonstances le gestionnaire de formulaires des
navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement en
clair des données sensibles tels:
- des mots de passe
- des numéros de cartes bancaires (y compris le cryptogramme etc).




tu peux te mettre en navigation privée si tu es parano
Sergio
Le #21087621
CriCri a écrit :

Dans certaines circonstances le gestionnaire de formulaires des
navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement en
clair des données sensibles tels:
- des mots de passe
- des numéros de cartes bancaires (y compris le cryptogramme etc).

Et cela même pour les mots de passe saisis dans des champs 'password'
cachés ou sur des pages 'https:'.
Chacun qui passe derrière peut donc soit consulter ces données, soit les
réutiliser dans un formulaire (le même ou bien éventuellement un autre).



Pour les champs "password", ce n'est pas un bug, mais une fonction. Ça peut d'ailleurs se régler dans les options quelque part. De
même pour les pages en https.

À moins donc que vous soyez sûr de votre sécurité (étudier déjà les
données enregistrées), il convient donc de
- désactiver carrément "l'autocomplétion" des champs de formulaires
- supprimer (de façon sécurisée) les fichiers contenant leurs données
(selon votre version) - par exemple 'formhistory.sqlite' facilement
lisible (les fichiers précédents 'nnnnnnnn.w' étaient cryptés mais très
faiblement).



Quand on n'est pas chez soi. Chez moi, au contraire, je suis bien content qu'il me conserve tout ça bien au chaud et que j'ai pas à
les conserver...

--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Xavier Dupeyré
Le #21087771
CriCri a écrit le 30/01/2010 :
https://bugzilla.mozilla.org/show_bug.cgi?id%2486



Le fait d'enregistrer ou non les saisies de formulaires et les mots de
passe est paramétrables dans les préférences (ou options selon l'OS),
rubriques "Vie Privée" et "Sécurité".

Ce serait peut-être un bug s'il n'y avait aucune possibilité de
modifier ce comportement, comme c'était peut-être le cas en 2004.

En revanche, lors d'une première installation, Firefox devrait
peut-être désactiver ces options par défaut, de façon à ce que
l'utilisateur fasse lui-même la démarche d'enregistrer ou non ces
données sensibles.

--
Xavier
CriCri
Le #21088811
Xavier Dupeyré a écrit :

Le fait d'enregistrer ou non les saisies de formulaires et les mots
de passe est paramétrables dans les préférences (ou options selon
l'OS), rubriques "Vie Privée" et "Sécurité".



On peut désactiver entièrement l'historique des formulaires.
On peut désactiver l'enregistrement des mots de passe.

Le problème est que si la première n'est pas désactive, c'est elle qui
peut stocker des mots de passe en clair; à l'opposé du gestionnaire des
mots de passe.

Ce serait peut-être un bug s'il n'y avait aucune possibilité de
modifier ce comportement, comme c'était peut-être le cas en 2004.



Le bug - qui n'en est pas un: c'est une erreur de conception - n'a
jamais été résolu.


--
bitwyse [PGP KeyID 0xA79C8F2C]
http://www.le-maquis.net
C'est comme au CNRS: des chercheurs qui cherchent on en trouve
mais des chercheurs qui trouvent on en cherche.
CriCri
Le #21088801
Jean transene a écrit :
Pour nous ce n'est pas un bug



Pour moi non plus: c'est de la mauvaise programmation.

--
bitwyse [PGP KeyID 0xA79C8F2C]
http://www.le-maquis.net
C'est comme au CNRS: des chercheurs qui cherchent on en trouve
mais des chercheurs qui trouvent on en cherche.
CriCri
Le #21088791
Sergio a écrit :

Pour les champs "password", ce n'est pas un bug, mais une fonction.



Non - c'est une défaut.

Ça peut d'ailleurs se régler dans les options quelque part. De même
pour les pages en https.



Non - ni l'un ni l'autre.
C'est tout ou rien (comme je l'ai expliqué à Xavier).

--
bitwyse [PGP KeyID 0xA79C8F2C]
http://www.le-maquis.net
C'est comme au CNRS: des chercheurs qui cherchent on en trouve
mais des chercheurs qui trouvent on en cherche.
Publicité
Suivre les réponses
Poster une réponse
Anonyme