Faille de sécurité Safari : Solution provisoire qui marche
27 réponses
ADDRESS
Unsanity à mis en ligne un freeware, "Paranoid Android", qui vous
avertit lorsqu'un lien web fait appel aux protocoles disk:// et
help:runscript. Il ouvre un dialogue qui vous permet d'annuler le
téléchargement, bouchant ainsi le trou de sécurité - du moins
provisoirement, jusqu'à ce qu'Apple sort un patch définitif.
Je l'ai testé avec le proof-of-concept et ça fonctionne. Testé avec
Safari, Mozilla, Firefox et IE.
Le voici :
http://www.unsanity.com/haxies/pa/
Le proof-of-concept de la faille est ici :
http://www.insecure.ws/article.php?story=2004051612423136
--
ric
Non - il ne suffit pas de "changer le Helper dans les Pref de Safari".
Je viens d'installer RCDefaultApp.prefpane et je suis surpris de voir qu'il me liste notamment les protocoles disk:// et disks:// ***alors que ceux-ci n'apparaissaient pas dans MisFox !***
D'autre part si OS X est capable de créé à la volée les protocoles, peut ils de la même façon les modifier à la volée ? (dans ce cas changer les applis les gérant serait sans intéret!) Serais-je enfin protégé si je pointe ailleurs help:, disk: disks: et telnet: ? (ou y'en a-t-il encore d'autres ?)
L'Haxie d'Unsanity ne résoud il pas tous les pbs d'un coup ? Que fait il exactement ?
C'est toujours réputé instable ces Haxies ? Parcequ'en plus de cette solution il propose des trucs vraiment sympa!... -- Fra
ric zito <ADDRESS@IN.SIG> wrote:
Non - il ne suffit pas de "changer le Helper dans les Pref de Safari".
Je viens d'installer RCDefaultApp.prefpane et je suis surpris de voir
qu'il me liste notamment les protocoles disk:// et disks:// ***alors que
ceux-ci n'apparaissaient pas dans MisFox !***
D'autre part si OS X est capable de créé à la volée les protocoles, peut
ils de la même façon les modifier à la volée ? (dans ce cas changer les
applis les gérant serait sans intéret!) Serais-je enfin protégé si je
pointe ailleurs help:, disk: disks: et telnet: ? (ou y'en a-t-il encore
d'autres ?)
L'Haxie d'Unsanity ne résoud il pas tous les pbs d'un coup ? Que fait il
exactement ?
C'est toujours réputé instable ces Haxies ? Parcequ'en plus de cette
solution il propose des trucs vraiment sympa!...
--
Fra
Non - il ne suffit pas de "changer le Helper dans les Pref de Safari".
Je viens d'installer RCDefaultApp.prefpane et je suis surpris de voir qu'il me liste notamment les protocoles disk:// et disks:// ***alors que ceux-ci n'apparaissaient pas dans MisFox !***
D'autre part si OS X est capable de créé à la volée les protocoles, peut ils de la même façon les modifier à la volée ? (dans ce cas changer les applis les gérant serait sans intéret!) Serais-je enfin protégé si je pointe ailleurs help:, disk: disks: et telnet: ? (ou y'en a-t-il encore d'autres ?)
L'Haxie d'Unsanity ne résoud il pas tous les pbs d'un coup ? Que fait il exactement ?
C'est toujours réputé instable ces Haxies ? Parcequ'en plus de cette solution il propose des trucs vraiment sympa!... -- Fra
dominiquelang
michel langlois wrote:
tu cherche pas eu bon endroit :)
Merci! Mais où est donc passé l'intuitif? ;-) -- Hop! (tm) et amitiés! Dominique Lang Gériatrie: <http://perso.wanadoo.fr/dominique.lang/accueil.html> Club Macami: <http://www.macami.net>
michel langlois <langmc@free.fr> wrote:
tu cherche pas eu bon endroit :)
Merci!
Mais où est donc passé l'intuitif? ;-)
--
Hop! (tm) et amitiés!
Dominique Lang
Gériatrie: <http://perso.wanadoo.fr/dominique.lang/accueil.html>
Club Macami: <http://www.macami.net>
Merci! Mais où est donc passé l'intuitif? ;-) -- Hop! (tm) et amitiés! Dominique Lang Gériatrie: <http://perso.wanadoo.fr/dominique.lang/accueil.html> Club Macami: <http://www.macami.net>
dominiquelang
Fra wrote:
L'Haxie d'Unsanity ne résoud il pas tous les pbs d'un coup ? Que fait il exactement ?
Il serait sûrement bien s'il ne s'adressait qu'à Panther mini... -- Hop! (tm) et amitiés! Dominique Lang Gériatrie: <http://perso.wanadoo.fr/dominique.lang/accueil.html> Club Macami: <http://www.macami.net>
Fra <fra@alussinan.org> wrote:
L'Haxie d'Unsanity ne résoud il pas tous les pbs d'un coup ? Que fait il
exactement ?
Il serait sûrement bien s'il ne s'adressait qu'à Panther mini...
--
Hop! (tm) et amitiés!
Dominique Lang
Gériatrie: <http://perso.wanadoo.fr/dominique.lang/accueil.html>
Club Macami: <http://www.macami.net>
L'Haxie d'Unsanity ne résoud il pas tous les pbs d'un coup ? Que fait il exactement ?
Il serait sûrement bien s'il ne s'adressait qu'à Panther mini... -- Hop! (tm) et amitiés! Dominique Lang Gériatrie: <http://perso.wanadoo.fr/dominique.lang/accueil.html> Club Macami: <http://www.macami.net>
Saïd
Fra :
L'Haxie d'Unsanity ne résoud il pas tous les pbs d'un coup ? Que fait il exactement ?
Il te demande ton avis a chaque fois qu'un protocol est interprete. Donc ca resoud tous les problemes dont on parle actuellement. A condition de bien cliquer ;-)
-- Saïd.
Fra :
L'Haxie d'Unsanity ne résoud il pas tous les pbs d'un coup ? Que fait il
exactement ?
Il te demande ton avis a chaque fois qu'un protocol est interprete. Donc ca
resoud tous les problemes dont on parle actuellement. A condition de bien
cliquer ;-)
L'Haxie d'Unsanity ne résoud il pas tous les pbs d'un coup ? Que fait il exactement ?
Il te demande ton avis a chaque fois qu'un protocol est interprete. Donc ca resoud tous les problemes dont on parle actuellement. A condition de bien cliquer ;-)
-- Saïd.
fra
Saïd wrote:
Fra :
L'Haxie d'Unsanity ne résoud il pas tous les pbs d'un coup ? Que fait il exactement ?
Il te demande ton avis a chaque fois qu'un protocol est interprete. Donc ca resoud tous les problemes dont on parle actuellement. A condition de bien cliquer ;-)
Même pour http:// ??? (Ca va vite être chiant ;o) )
L'idée est bonne en tous cas. -- Fra
Saïd <said@brian.lan> wrote:
Fra :
L'Haxie d'Unsanity ne résoud il pas tous les pbs d'un coup ? Que fait il
exactement ?
Il te demande ton avis a chaque fois qu'un protocol est interprete. Donc ca
resoud tous les problemes dont on parle actuellement. A condition de bien
cliquer ;-)
Même pour http:// ??? (Ca va vite être chiant ;o) )
L'Haxie d'Unsanity ne résoud il pas tous les pbs d'un coup ? Que fait il exactement ?
Il te demande ton avis a chaque fois qu'un protocol est interprete. Donc ca resoud tous les problemes dont on parle actuellement. A condition de bien cliquer ;-)
Même pour http:// ??? (Ca va vite être chiant ;o) )
L'idée est bonne en tous cas. -- Fra
Saïd
Fra :
Saïd wrote:
Fra :
L'Haxie d'Unsanity ne résoud il pas tous les pbs d'un coup ? Que fait il exactement ?
Il te demande ton avis a chaque fois qu'un protocol est interprete. Donc ca resoud tous les problemes dont on parle actuellement. A condition de bien cliquer ;-)
Même pour http:// ??? (Ca va vite être chiant ;o) )
Non, mais je ne sais pas pourquoi. En tout cas il ne le fait pas non plus pour mailto: et dans ces deux cas le reglage se fait qu niveau de l'application.
Pour savoir s'il intercepte un protocole tu peux faire (dans un Terminal)
open protocol://toto si tu as une fenetre paranoid android qui s'ouvre, c'est que le protocole est intercpte.
-- Saïd. y
Fra :
Saïd <said@brian.lan> wrote:
Fra :
L'Haxie d'Unsanity ne résoud il pas tous les pbs d'un coup ? Que fait il
exactement ?
Il te demande ton avis a chaque fois qu'un protocol est interprete. Donc ca
resoud tous les problemes dont on parle actuellement. A condition de bien
cliquer ;-)
Même pour http:// ??? (Ca va vite être chiant ;o) )
Non, mais je ne sais pas pourquoi. En tout cas il ne le fait pas non plus
pour mailto: et dans ces deux cas le reglage se fait qu niveau de
l'application.
Pour savoir s'il intercepte un protocole tu peux faire (dans un Terminal)
open protocol://toto
si tu as une fenetre paranoid android qui s'ouvre, c'est que le protocole
est intercpte.
L'Haxie d'Unsanity ne résoud il pas tous les pbs d'un coup ? Que fait il exactement ?
Il te demande ton avis a chaque fois qu'un protocol est interprete. Donc ca resoud tous les problemes dont on parle actuellement. A condition de bien cliquer ;-)
Même pour http:// ??? (Ca va vite être chiant ;o) )
Non, mais je ne sais pas pourquoi. En tout cas il ne le fait pas non plus pour mailto: et dans ces deux cas le reglage se fait qu niveau de l'application.
Pour savoir s'il intercepte un protocole tu peux faire (dans un Terminal)
open protocol://toto si tu as une fenetre paranoid android qui s'ouvre, c'est que le protocole est intercpte.
-- Saïd. y
fra
Saïd wrote:
Même pour http:// ??? (Ca va vite être chiant ;o) )
Non, mais je ne sais pas pourquoi. En tout cas il ne le fait pas non plus pour mailto: et dans ces deux cas le reglage se fait qu niveau de l'application.
Ca doit être prévu, quand même.
Pour savoir s'il intercepte un protocole tu peux faire (dans un Terminal)
open protocol://toto si tu as une fenetre paranoid android qui s'ouvre, c'est que le protocole est intercpte.
Ca bloque aussi en local donc. -- Fra
Saïd <said@brian.lan> wrote:
Même pour http:// ??? (Ca va vite être chiant ;o) )
Non, mais je ne sais pas pourquoi. En tout cas il ne le fait pas non plus
pour mailto: et dans ces deux cas le reglage se fait qu niveau de
l'application.
Ca doit être prévu, quand même.
Pour savoir s'il intercepte un protocole tu peux faire (dans un Terminal)
open protocol://toto
si tu as une fenetre paranoid android qui s'ouvre, c'est que le protocole
est intercpte.
Même pour http:// ??? (Ca va vite être chiant ;o) )
Non, mais je ne sais pas pourquoi. En tout cas il ne le fait pas non plus pour mailto: et dans ces deux cas le reglage se fait qu niveau de l'application.
Ca doit être prévu, quand même.
Pour savoir s'il intercepte un protocole tu peux faire (dans un Terminal)
open protocol://toto si tu as une fenetre paranoid android qui s'ouvre, c'est que le protocole est intercpte.
Ca bloque aussi en local donc. -- Fra
fra
Matt wrote:
On Sat, 22 May 2004 18:06:21 +0200, Fra wrote:
Je viens d'installer RCDefaultApp.prefpane et je suis surpris de voir qu'il me liste notamment les protocoles disk:// et disks:// ***alors que ceux-ci n'apparaissaient pas dans MisFox !***
La réponse là : <http://developer.apple.com/documentation/Carbon/Reference/ Internet_Config/internet_config_ref/Introduction.html>
et là (en plus court), § "Why RCDefaultApp?" : <http://daringfireball.net/2004/05/unsafe_uri_handlers>
Oki merci. -- Fra
Matt <sbehz@syrius.org> wrote:
On Sat, 22 May 2004 18:06:21 +0200,
Fra <fra@alussinan.org> wrote:
Je viens d'installer RCDefaultApp.prefpane et je suis surpris de voir
qu'il me liste notamment les protocoles disk:// et disks:// ***alors que
ceux-ci n'apparaissaient pas dans MisFox !***
La réponse là :
<http://developer.apple.com/documentation/Carbon/Reference/
Internet_Config/internet_config_ref/Introduction.html>
et là (en plus court), § "Why RCDefaultApp?" :
<http://daringfireball.net/2004/05/unsafe_uri_handlers>
Je viens d'installer RCDefaultApp.prefpane et je suis surpris de voir qu'il me liste notamment les protocoles disk:// et disks:// ***alors que ceux-ci n'apparaissaient pas dans MisFox !***
La réponse là : <http://developer.apple.com/documentation/Carbon/Reference/ Internet_Config/internet_config_ref/Introduction.html>
et là (en plus court), § "Why RCDefaultApp?" : <http://daringfireball.net/2004/05/unsafe_uri_handlers>
Oki merci. -- Fra
langmc
Dominique Lang wrote:
michel langlois wrote:
tu cherche pas eu bon endroit :)
Merci! Mais où est donc passé l'intuitif? ;-)
Mac OS 9 :))
-- Le sage montre la lune, l'imbécile regarde le doigt.
Dominique Lang <dominiquelang@wanadoo.fr> wrote:
michel langlois <langmc@free.fr> wrote:
tu cherche pas eu bon endroit :)
Merci!
Mais où est donc passé l'intuitif? ;-)
Mac OS 9 :))
--
Le sage montre la lune, l'imbécile regarde le doigt.
-- Le sage montre la lune, l'imbécile regarde le doigt.
ericb
ric zito wrote:
Bah... il suffit de changer le Helper dans les Pref de Safari. Au lieu de "Aide Apple", tu mets "Post-It" (par exemple) et c'est ça qu'est lancé au lieu de "Aide" en cas de...
En fait, je n'utilise pas Safari (mais qu'est ce qu'il a de si bien ?),
mais Mozilla. Et je me demandais si le problème était le même avec Mozilla....
-- revp onpuneq
ric zito <ADDRESS@IN.SIG> wrote:
Bah... il suffit de changer le Helper dans les Pref de Safari.
Au lieu de "Aide Apple", tu mets "Post-It" (par exemple) et c'est ça
qu'est lancé au lieu de "Aide" en cas de...
En fait, je n'utilise pas Safari (mais qu'est ce qu'il a de si bien ?),
mais Mozilla. Et je me demandais si le problème était le même avec
Mozilla....
Bah... il suffit de changer le Helper dans les Pref de Safari. Au lieu de "Aide Apple", tu mets "Post-It" (par exemple) et c'est ça qu'est lancé au lieu de "Aide" en cas de...
En fait, je n'utilise pas Safari (mais qu'est ce qu'il a de si bien ?),
mais Mozilla. Et je me demandais si le problème était le même avec Mozilla....
