***Avertissement*** : FireFox, SeaMonkey, Mozilla: faille grave de sécurité
24 réponses
CriCri
Bonjour
Dans certaines circonstances le gestionnaire de formulaires des
navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement en
clair des données sensibles tels:
- des mots de passe
- des numéros de cartes bancaires (y compris le cryptogramme etc).
Et cela même pour les mots de passe saisis dans des champs 'password'
cachés ou sur des pages 'https:'.
Chacun qui passe derrière peut donc soit consulter ces données, soit les
réutiliser dans un formulaire (le même ou bien éventuellement un autre).
Il s'avère que cette faille grave de sécurité n'est pas un bug mais un
défaut grave de programmation - connu d'ailleurs depuis 2004.
Malgré les maintes protestations de leurs utilisateurs aucun correctif
n'a jamais été publié.
À moins donc que vous soyez sûr de votre sécurité (étudier déjà les
données enregistrées), il convient donc de
- désactiver carrément "l'autocomplétion" des champs de formulaires
- supprimer (de façon sécurisée) les fichiers contenant leurs données
(selon votre version) - par exemple 'formhistory.sqlite' facilement
lisible (les fichiers précédents 'nnnnnnnn.w' étaient cryptés mais très
faiblement).
Cdlt
CriCri
--
bitwyse [PGP KeyID 0xA79C8F2C]
http://www.le-maquis.net
C'est comme au CNRS: des chercheurs qui cherchent on en trouve
mais des chercheurs qui trouvent on en cherche.
Dans certaines circonstances le gestionnaire de formulaires des navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement en clair des données sensibles tels: - des mots de passe - des numéros de cartes bancaires (y compris le cryptogramme etc).
Y a-t-il des éléments (liens, sources... ) pour étayer cette info ?
-- Xavier
Bonsoir,
CriCri a écrit le 29/01/2010 :
Dans certaines circonstances le gestionnaire de formulaires des
navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement en
clair des données sensibles tels:
- des mots de passe
- des numéros de cartes bancaires (y compris le cryptogramme etc).
Y a-t-il des éléments (liens, sources... ) pour étayer cette info ?
Dans certaines circonstances le gestionnaire de formulaires des navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement en clair des données sensibles tels: - des mots de passe - des numéros de cartes bancaires (y compris le cryptogramme etc).
Y a-t-il des éléments (liens, sources... ) pour étayer cette info ?
-- Xavier
Dellara
CriCri a papoté sur Usenet le janvier 29, 2010 03:46 PM:
Bonjour
Dans certaines circonstances le gestionnaire de formulaires des navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement en clair des données sensibles tels: - des mots de passe - des numéros de cartes bancaires (y compris le cryptogramme etc).
Et cela même pour les mots de passe saisis dans des champs 'password' cachés ou sur des pages 'https:'. Chacun qui passe derrière peut donc soit consulter ces données, soit les réutiliser dans un formulaire (le même ou bien éventuellement un autre).
SOURCES?
CriCri a papoté sur Usenet le janvier 29, 2010 03:46 PM:
Bonjour
Dans certaines circonstances le gestionnaire de formulaires des
navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement
en clair des données sensibles tels:
- des mots de passe
- des numéros de cartes bancaires (y compris le cryptogramme etc).
Et cela même pour les mots de passe saisis dans des champs 'password'
cachés ou sur des pages 'https:'.
Chacun qui passe derrière peut donc soit consulter ces données, soit
les réutiliser dans un formulaire (le même ou bien éventuellement un
autre).
CriCri a papoté sur Usenet le janvier 29, 2010 03:46 PM:
Bonjour
Dans certaines circonstances le gestionnaire de formulaires des navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement en clair des données sensibles tels: - des mots de passe - des numéros de cartes bancaires (y compris le cryptogramme etc).
Et cela même pour les mots de passe saisis dans des champs 'password' cachés ou sur des pages 'https:'. Chacun qui passe derrière peut donc soit consulter ces données, soit les réutiliser dans un formulaire (le même ou bien éventuellement un autre).
SOURCES?
CriCri
https://bugzilla.mozilla.org/show_bug.cgi?id%2486
-- bitwyse [PGP KeyID 0xA79C8F2C] http://www.le-maquis.net C'est comme au CNRS: des chercheurs qui cherchent on en trouve mais des chercheurs qui trouvent on en cherche.
https://bugzilla.mozilla.org/show_bug.cgi?id%2486
--
bitwyse [PGP KeyID 0xA79C8F2C]
http://www.le-maquis.net
C'est comme au CNRS: des chercheurs qui cherchent on en trouve
mais des chercheurs qui trouvent on en cherche.
-- bitwyse [PGP KeyID 0xA79C8F2C] http://www.le-maquis.net C'est comme au CNRS: des chercheurs qui cherchent on en trouve mais des chercheurs qui trouvent on en cherche.
Jean transene
Pour nous ce n'est pas un bug et c'est très pratique pour se rappeler et imprimer les mots de passe, surtout ceux des formulaires des forums par exemple !
"CriCri" a écrit dans le message de news:4b634948$0$898$
Bonjour
Dans certaines circonstances le gestionnaire de formulaires des navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement en clair des données sensibles tels: - des mots de passe - des numéros de cartes bancaires (y compris le cryptogramme etc).
Et cela même pour les mots de passe saisis dans des champs 'password' cachés ou sur des pages 'https:'. Chacun qui passe derrière peut donc soit consulter ces données, soit les réutiliser dans un formulaire (le même ou bien éventuellement un autre).
Il s'avère que cette faille grave de sécurité n'est pas un bug mais un défaut grave de programmation - connu d'ailleurs depuis 2004. Malgré les maintes protestations de leurs utilisateurs aucun correctif n'a jamais été publié.
À moins donc que vous soyez sûr de votre sécurité (étudier déjà les données enregistrées), il convient donc de - désactiver carrément "l'autocomplétion" des champs de formulaires - supprimer (de façon sécurisée) les fichiers contenant leurs données (selon votre version) - par exemple 'formhistory.sqlite' facilement lisible (les fichiers précédents 'nnnnnnnn.w' étaient cryptés mais très faiblement).
Cdlt CriCri
-- bitwyse [PGP KeyID 0xA79C8F2C] http://www.le-maquis.net C'est comme au CNRS: des chercheurs qui cherchent on en trouve mais des chercheurs qui trouvent on en cherche.
Pour nous ce n'est pas un bug et c'est très pratique pour se rappeler et
imprimer les mots de passe, surtout ceux des formulaires des forums par
exemple !
"CriCri" <bitwyse@leTIRETmaquis.net> a écrit dans le message de
news:4b634948$0$898$ba4acef3@news.orange.fr...
Bonjour
Dans certaines circonstances le gestionnaire de formulaires des
navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement en
clair des données sensibles tels:
- des mots de passe
- des numéros de cartes bancaires (y compris le cryptogramme etc).
Et cela même pour les mots de passe saisis dans des champs 'password'
cachés ou sur des pages 'https:'.
Chacun qui passe derrière peut donc soit consulter ces données, soit les
réutiliser dans un formulaire (le même ou bien éventuellement un autre).
Il s'avère que cette faille grave de sécurité n'est pas un bug mais un
défaut grave de programmation - connu d'ailleurs depuis 2004.
Malgré les maintes protestations de leurs utilisateurs aucun correctif
n'a jamais été publié.
À moins donc que vous soyez sûr de votre sécurité (étudier déjà les
données enregistrées), il convient donc de
- désactiver carrément "l'autocomplétion" des champs de formulaires
- supprimer (de façon sécurisée) les fichiers contenant leurs données
(selon votre version) - par exemple 'formhistory.sqlite' facilement
lisible (les fichiers précédents 'nnnnnnnn.w' étaient cryptés mais très
faiblement).
Cdlt
CriCri
--
bitwyse [PGP KeyID 0xA79C8F2C]
http://www.le-maquis.net
C'est comme au CNRS: des chercheurs qui cherchent on en trouve
mais des chercheurs qui trouvent on en cherche.
Pour nous ce n'est pas un bug et c'est très pratique pour se rappeler et imprimer les mots de passe, surtout ceux des formulaires des forums par exemple !
"CriCri" a écrit dans le message de news:4b634948$0$898$
Bonjour
Dans certaines circonstances le gestionnaire de formulaires des navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement en clair des données sensibles tels: - des mots de passe - des numéros de cartes bancaires (y compris le cryptogramme etc).
Et cela même pour les mots de passe saisis dans des champs 'password' cachés ou sur des pages 'https:'. Chacun qui passe derrière peut donc soit consulter ces données, soit les réutiliser dans un formulaire (le même ou bien éventuellement un autre).
Il s'avère que cette faille grave de sécurité n'est pas un bug mais un défaut grave de programmation - connu d'ailleurs depuis 2004. Malgré les maintes protestations de leurs utilisateurs aucun correctif n'a jamais été publié.
À moins donc que vous soyez sûr de votre sécurité (étudier déjà les données enregistrées), il convient donc de - désactiver carrément "l'autocomplétion" des champs de formulaires - supprimer (de façon sécurisée) les fichiers contenant leurs données (selon votre version) - par exemple 'formhistory.sqlite' facilement lisible (les fichiers précédents 'nnnnnnnn.w' étaient cryptés mais très faiblement).
Cdlt CriCri
-- bitwyse [PGP KeyID 0xA79C8F2C] http://www.le-maquis.net C'est comme au CNRS: des chercheurs qui cherchent on en trouve mais des chercheurs qui trouvent on en cherche.
Alcovia
Le 29/01/2010 21:46, CriCri a écrit :
Bonjour
Dans certaines circonstances le gestionnaire de formulaires des navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement en clair des données sensibles tels: - des mots de passe - des numéros de cartes bancaires (y compris le cryptogramme etc).
tu peux te mettre en navigation privée si tu es parano
Le 29/01/2010 21:46, CriCri a écrit :
Bonjour
Dans certaines circonstances le gestionnaire de formulaires des
navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement en
clair des données sensibles tels:
- des mots de passe
- des numéros de cartes bancaires (y compris le cryptogramme etc).
tu peux te mettre en navigation privée si tu es parano
Dans certaines circonstances le gestionnaire de formulaires des navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement en clair des données sensibles tels: - des mots de passe - des numéros de cartes bancaires (y compris le cryptogramme etc).
tu peux te mettre en navigation privée si tu es parano
Sergio
CriCri a écrit :
Dans certaines circonstances le gestionnaire de formulaires des navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement en clair des données sensibles tels: - des mots de passe - des numéros de cartes bancaires (y compris le cryptogramme etc).
Et cela même pour les mots de passe saisis dans des champs 'password' cachés ou sur des pages 'https:'. Chacun qui passe derrière peut donc soit consulter ces données, soit les réutiliser dans un formulaire (le même ou bien éventuellement un autre).
Pour les champs "password", ce n'est pas un bug, mais une fonction. Ça peut d'ailleurs se régler dans les options quelque part. De même pour les pages en https.
À moins donc que vous soyez sûr de votre sécurité (étudier déjà les données enregistrées), il convient donc de - désactiver carrément "l'autocomplétion" des champs de formulaires - supprimer (de façon sécurisée) les fichiers contenant leurs données (selon votre version) - par exemple 'formhistory.sqlite' facilement lisible (les fichiers précédents 'nnnnnnnn.w' étaient cryptés mais très faiblement).
Quand on n'est pas chez soi. Chez moi, au contraire, je suis bien content qu'il me conserve tout ça bien au chaud et que j'ai pas à les conserver...
-- Serge http://leserged.online.fr/ Mon blog: http://cahierdesergio.free.fr/ Soutenez le libre: http://www.framasoft.org
CriCri a écrit :
Dans certaines circonstances le gestionnaire de formulaires des
navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement en
clair des données sensibles tels:
- des mots de passe
- des numéros de cartes bancaires (y compris le cryptogramme etc).
Et cela même pour les mots de passe saisis dans des champs 'password'
cachés ou sur des pages 'https:'.
Chacun qui passe derrière peut donc soit consulter ces données, soit les
réutiliser dans un formulaire (le même ou bien éventuellement un autre).
Pour les champs "password", ce n'est pas un bug, mais une fonction. Ça peut d'ailleurs se régler dans les options quelque part. De
même pour les pages en https.
À moins donc que vous soyez sûr de votre sécurité (étudier déjà les
données enregistrées), il convient donc de
- désactiver carrément "l'autocomplétion" des champs de formulaires
- supprimer (de façon sécurisée) les fichiers contenant leurs données
(selon votre version) - par exemple 'formhistory.sqlite' facilement
lisible (les fichiers précédents 'nnnnnnnn.w' étaient cryptés mais très
faiblement).
Quand on n'est pas chez soi. Chez moi, au contraire, je suis bien content qu'il me conserve tout ça bien au chaud et que j'ai pas à
les conserver...
--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Dans certaines circonstances le gestionnaire de formulaires des navigateurs FireFox, SeaMonkey et Mozilla peut sauvegarder localement en clair des données sensibles tels: - des mots de passe - des numéros de cartes bancaires (y compris le cryptogramme etc).
Et cela même pour les mots de passe saisis dans des champs 'password' cachés ou sur des pages 'https:'. Chacun qui passe derrière peut donc soit consulter ces données, soit les réutiliser dans un formulaire (le même ou bien éventuellement un autre).
Pour les champs "password", ce n'est pas un bug, mais une fonction. Ça peut d'ailleurs se régler dans les options quelque part. De même pour les pages en https.
À moins donc que vous soyez sûr de votre sécurité (étudier déjà les données enregistrées), il convient donc de - désactiver carrément "l'autocomplétion" des champs de formulaires - supprimer (de façon sécurisée) les fichiers contenant leurs données (selon votre version) - par exemple 'formhistory.sqlite' facilement lisible (les fichiers précédents 'nnnnnnnn.w' étaient cryptés mais très faiblement).
Quand on n'est pas chez soi. Chez moi, au contraire, je suis bien content qu'il me conserve tout ça bien au chaud et que j'ai pas à les conserver...
-- Serge http://leserged.online.fr/ Mon blog: http://cahierdesergio.free.fr/ Soutenez le libre: http://www.framasoft.org
Xavier Dupeyré
CriCri a écrit le 30/01/2010 :
https://bugzilla.mozilla.org/show_bug.cgi?id%2486
Le fait d'enregistrer ou non les saisies de formulaires et les mots de passe est paramétrables dans les préférences (ou options selon l'OS), rubriques "Vie Privée" et "Sécurité".
Ce serait peut-être un bug s'il n'y avait aucune possibilité de modifier ce comportement, comme c'était peut-être le cas en 2004.
En revanche, lors d'une première installation, Firefox devrait peut-être désactiver ces options par défaut, de façon à ce que l'utilisateur fasse lui-même la démarche d'enregistrer ou non ces données sensibles.
-- Xavier
CriCri a écrit le 30/01/2010 :
https://bugzilla.mozilla.org/show_bug.cgi?id%2486
Le fait d'enregistrer ou non les saisies de formulaires et les mots de
passe est paramétrables dans les préférences (ou options selon l'OS),
rubriques "Vie Privée" et "Sécurité".
Ce serait peut-être un bug s'il n'y avait aucune possibilité de
modifier ce comportement, comme c'était peut-être le cas en 2004.
En revanche, lors d'une première installation, Firefox devrait
peut-être désactiver ces options par défaut, de façon à ce que
l'utilisateur fasse lui-même la démarche d'enregistrer ou non ces
données sensibles.
Le fait d'enregistrer ou non les saisies de formulaires et les mots de passe est paramétrables dans les préférences (ou options selon l'OS), rubriques "Vie Privée" et "Sécurité".
Ce serait peut-être un bug s'il n'y avait aucune possibilité de modifier ce comportement, comme c'était peut-être le cas en 2004.
En revanche, lors d'une première installation, Firefox devrait peut-être désactiver ces options par défaut, de façon à ce que l'utilisateur fasse lui-même la démarche d'enregistrer ou non ces données sensibles.
-- Xavier
CriCri
Xavier Dupeyré a écrit :
Le fait d'enregistrer ou non les saisies de formulaires et les mots de passe est paramétrables dans les préférences (ou options selon l'OS), rubriques "Vie Privée" et "Sécurité".
On peut désactiver entièrement l'historique des formulaires. On peut désactiver l'enregistrement des mots de passe.
Le problème est que si la première n'est pas désactive, c'est elle qui peut stocker des mots de passe en clair; à l'opposé du gestionnaire des mots de passe.
Ce serait peut-être un bug s'il n'y avait aucune possibilité de modifier ce comportement, comme c'était peut-être le cas en 2004.
Le bug - qui n'en est pas un: c'est une erreur de conception - n'a jamais été résolu.
-- bitwyse [PGP KeyID 0xA79C8F2C] http://www.le-maquis.net C'est comme au CNRS: des chercheurs qui cherchent on en trouve mais des chercheurs qui trouvent on en cherche.
Xavier Dupeyré a écrit :
Le fait d'enregistrer ou non les saisies de formulaires et les mots
de passe est paramétrables dans les préférences (ou options selon
l'OS), rubriques "Vie Privée" et "Sécurité".
On peut désactiver entièrement l'historique des formulaires.
On peut désactiver l'enregistrement des mots de passe.
Le problème est que si la première n'est pas désactive, c'est elle qui
peut stocker des mots de passe en clair; à l'opposé du gestionnaire des
mots de passe.
Ce serait peut-être un bug s'il n'y avait aucune possibilité de
modifier ce comportement, comme c'était peut-être le cas en 2004.
Le bug - qui n'en est pas un: c'est une erreur de conception - n'a
jamais été résolu.
--
bitwyse [PGP KeyID 0xA79C8F2C]
http://www.le-maquis.net
C'est comme au CNRS: des chercheurs qui cherchent on en trouve
mais des chercheurs qui trouvent on en cherche.
Le fait d'enregistrer ou non les saisies de formulaires et les mots de passe est paramétrables dans les préférences (ou options selon l'OS), rubriques "Vie Privée" et "Sécurité".
On peut désactiver entièrement l'historique des formulaires. On peut désactiver l'enregistrement des mots de passe.
Le problème est que si la première n'est pas désactive, c'est elle qui peut stocker des mots de passe en clair; à l'opposé du gestionnaire des mots de passe.
Ce serait peut-être un bug s'il n'y avait aucune possibilité de modifier ce comportement, comme c'était peut-être le cas en 2004.
Le bug - qui n'en est pas un: c'est une erreur de conception - n'a jamais été résolu.
-- bitwyse [PGP KeyID 0xA79C8F2C] http://www.le-maquis.net C'est comme au CNRS: des chercheurs qui cherchent on en trouve mais des chercheurs qui trouvent on en cherche.
CriCri
Jean transene a écrit :
Pour nous ce n'est pas un bug
Pour moi non plus: c'est de la mauvaise programmation.
-- bitwyse [PGP KeyID 0xA79C8F2C] http://www.le-maquis.net C'est comme au CNRS: des chercheurs qui cherchent on en trouve mais des chercheurs qui trouvent on en cherche.
Jean transene a écrit :
Pour nous ce n'est pas un bug
Pour moi non plus: c'est de la mauvaise programmation.
--
bitwyse [PGP KeyID 0xA79C8F2C]
http://www.le-maquis.net
C'est comme au CNRS: des chercheurs qui cherchent on en trouve
mais des chercheurs qui trouvent on en cherche.
Pour moi non plus: c'est de la mauvaise programmation.
-- bitwyse [PGP KeyID 0xA79C8F2C] http://www.le-maquis.net C'est comme au CNRS: des chercheurs qui cherchent on en trouve mais des chercheurs qui trouvent on en cherche.
CriCri
Sergio a écrit :
Pour les champs "password", ce n'est pas un bug, mais une fonction.
Non - c'est une défaut.
Ça peut d'ailleurs se régler dans les options quelque part. De même pour les pages en https.
Non - ni l'un ni l'autre. C'est tout ou rien (comme je l'ai expliqué à Xavier).
-- bitwyse [PGP KeyID 0xA79C8F2C] http://www.le-maquis.net C'est comme au CNRS: des chercheurs qui cherchent on en trouve mais des chercheurs qui trouvent on en cherche.
Sergio a écrit :
Pour les champs "password", ce n'est pas un bug, mais une fonction.
Non - c'est une défaut.
Ça peut d'ailleurs se régler dans les options quelque part. De même
pour les pages en https.
Non - ni l'un ni l'autre.
C'est tout ou rien (comme je l'ai expliqué à Xavier).
--
bitwyse [PGP KeyID 0xA79C8F2C]
http://www.le-maquis.net
C'est comme au CNRS: des chercheurs qui cherchent on en trouve
mais des chercheurs qui trouvent on en cherche.
Pour les champs "password", ce n'est pas un bug, mais une fonction.
Non - c'est une défaut.
Ça peut d'ailleurs se régler dans les options quelque part. De même pour les pages en https.
Non - ni l'un ni l'autre. C'est tout ou rien (comme je l'ai expliqué à Xavier).
-- bitwyse [PGP KeyID 0xA79C8F2C] http://www.le-maquis.net C'est comme au CNRS: des chercheurs qui cherchent on en trouve mais des chercheurs qui trouvent on en cherche.
