Un mouchard dans Mozilla

Posté par Anonyme le 17 septembre 2002 à 19:28. Modéré par Fabien Penso.

Étiquettes :

sept.

2002

Un bug affecte probablement toutes les versions de Mozilla : le célèbre navigateur libre envoie l'URL de la page actuellement visitée au serveur web précédemment visité. Ceci ne concerne pas seulement les liens hypertextes. Comme aucun correctif n'est actuellement disponible, il est recommandé de désactiver l'option "Javascript".

Aller plus loin

Description du bug (4 clics)
Article ZDNET (14 clics)

# Un autre...

Posté par Antoine le 17 septembre 2002 à 19:43. Évalué à 10.

Y a carrément un trou de sécu aussi : http://bugzilla.mozilla.org/show_bug.cgi?id=166218
# Solution pas top

Posté par Fabimaru (site web personnel) le 17 septembre 2002 à 20:00. Évalué à 10.

C'est quand meme tres restrictif comme solution... J'espere qu'une nouvelle version va arriver tres vite, parce que ca doit rentre un certain nombre de sites inutilisable :-(
- [^] # Commentaire supprimé
  
  Posté par Anonyme le 17 septembre 2002 à 20:17. Évalué à 10.
  
  Ce commentaire a été supprimé par l’équipe de modération.
- [^] # Re: Solution pas top
  
  Posté par syntaxerror le 17 septembre 2002 à 20:20. Évalué à 10.
  
  > C'est quand meme tres restrictif comme solution... Il y a mieux, mais faut mettre les mains dans le cambouis: http://members.ping.de/~sven/mozbug/refcook.html * Create a file user.js in your profile folder (the one with the prefs.js file). o For UNIX, it's $HOME/.mozilla/default. o For Windows 98/Me users, the path is probably something like C:\WINDOWS\Application Data\Mozilla\Profiles\Default User\f9a1239a.slt. o For W2K users, the path will be something like C:\Documents and Settings\<user_name>\Application Data\Mozilla\Profiles\Default\<some_random_string>.slt o For Mac OS X, it's $HOME/Library/Mozilla/Profiles/default/<random string>.slt Put the following line in the file to disable the HTTP_REFERER header completely: user_pref("network.http.sendRefererHeader", 0);
- [^] # Re: Solution pas top
  
  Posté par f l le 17 septembre 2002 à 20:25. Évalué à 10.
  
  Il suffit de rajouter: user_pref("capability.policy.default.Window.onunload", "noAccess"); dans ton user.js (ou de le creer si il existe pas) 2 remarques: - je trouve que le terme de mouchard est un peu fort, parce qu'il s'agit d'un bug et pas d'un spyware intentionnel. - pour ceux qui ne sont pas au courant, quand on clicke sur un lien, le site sur lequel on arrive peut déterminer le site d'où l'on vient (referrer). Ce n'est pas si éloigné et ce n'est pas considéré comme un bug. Pour les paranoiaques (et / ou ceux qui n'aiment pas les pubs), je vous conseille de jeter un oeil sur privoxy (http://www.privoxy.org) qui permet de filtrer automatiquement les javascript onunload (la fameuse commande qui permet d'exploiter ce bug de mozilla ou d'ouvrir des popups de pub quand vous quittez un site).
- [^] # Re: Solution pas top
  
  Posté par Olivier (site web personnel) le 17 septembre 2002 à 20:30. Évalué à 8.
  
  Il y a moins bourrin que cela: Sur le site de bugzilla (http://bugzilla.mozilla.org/show_bug.cgi?id=145579), il est indiqué d'autres méthodes pour contrer ce bug, et notamment en rajoutant une option au fichier "user.js", afin de désactivé le HTTP_REFERER. Le site http://members.ping.de/~sven/mozbug/refcook.html détaille bien la procédure à utiliser. Ou sinon, il suffit d'utiliser un "proxy utilisateur", comme http://www.privoxy.org/ (issus de http://www.junkbuster.com/) ou http://proxomitron.org/ (connais pas) ... Bref, tout ce qu'il faut pour laisser activé Javascript, que bon nombre de sites web utilisent.
  - [^] # Commentaire supprimé
    
    Posté par Anonyme le 17 septembre 2002 à 21:09. Évalué à -5.
    
    Ce commentaire a été supprimé par l’équipe de modération.
# vraimment du nimp ;))

Posté par Code34 (site web personnel) le 17 septembre 2002 à 20:45. Évalué à 10.

>> le célèbre navigateur libre envoie l'URL de la page actuellement visitée au serveur web précédemment visité. tout les browsers le font ;)) Le bug, c'est que lorsqu'un java script s'execute avec un délai sur un site x, si on charge un autre site y avant que le temps de délai soit atteind, il s execute en prenant l'url du site x en référence. Alors qu'il ne devrait tout simplement pas s'executer. D'ou gros problemes de sécu ... @+ Code34
- [^] # Re: vraimment du nimp ;))
  
  Posté par Code34 (site web personnel) le 17 septembre 2002 à 20:58. Évalué à 4.
  
  >> il s execute en prenant l'url du site x en référence je me suis planté du site y en référence. Ce qui donne un unreachable pour l'exemple de l'auteur (chargement d'image). Ca va jazzer si ça s'applique à d'autres objets. @+ Code34
- [^] # Re: vraimment du nimp ;))
  
  Posté par Robert Chéramy le 18 septembre 2002 à 00:23. Évalué à 10.
  
  >> le célèbre navigateur libre envoie l'URL de la page actuellement visitée au serveur web précédemment visité.
  
  > tout les browsers le font ;))
  
  Non. Les browsers envoient l'URL de la page précédement visitée au serveur web actuellement visité en cas de lien de l'ancienne page vers la nouvelle.
  - [^] # Exact - Correction
    
    Posté par Code34 (site web personnel) le 18 septembre 2002 à 05:56. Évalué à 5.
    
    Exact, tu as bien fait de me corriger, j'avais mal lu le bug track.
    
    Pour me faire pardonner, voila la correction a appliquer pour qu'elle s'applique à tout les profils utilisateurs:
    
    editez le fichier all.js et inserez à la fin ces deux lignes:
    
    pref("network.http.sendRefererHeader", 0);
    pref("capability.policy.default.Window.onunload", "noAccess");
    
    Il y a une page de test pour valider la correction:
    
    http://www.script-source.net/km/moz_referer_bug/(...)
    
    @+
    code34
    Mes excuses à l'auteur de la news.
# demi faille

Posté par Christophe BAEGERT le 17 septembre 2002 à 22:09. Évalué à 10.

Ce n'est une faille qu'avec les applis programmées comme des porcs (avec un mot de passe en clair dans l'URL). Sinon ce n'est qu'une petite fuite d'habitudes personnelles de navigation. A corriger, mais par rapport à doubleclick, aux proxys transparents des FAI, c'est de la rigolade !
# et galeon

Posté par mxt le 17 septembre 2002 à 22:30. Évalué à 9.

c'est peut être stupide comme question mais qu'est ce qu'il en est de galeon ? il est aussi atteint ? Au passage savez vous si on peut désactiver HTTP_REFERER avec Galeon ? Merci
- [^] # Re: et galeon
  
  Posté par Netsabes le 17 septembre 2002 à 22:34. Évalué à 8.
  
  Oui, d'après http://members.ping.de/~sven/mozbug/refcook.html , Galeon est touché par cette faille, de même que tous les browsers basés sur Gecko (K-Meleon n'est pas listé sur cette page, mais il est touché aussi).
# Corrigé

Posté par zeDek le 18 septembre 2002 à 09:54. Évalué à 10.

Vu sur Newsforge, le bug semble avoir été fixé :
http://newsvac.newsforge.com/newsvac/02/09/18/0213225.shtml?tid=2(...)
# Les correctifs sont disponibles pour les branches 1.0 et 1.1

Posté par bobsinclar5 le 18 septembre 2002 à 10:29. Évalué à 4.

La faille peut être exploité en utilisant le gestionnaire JavaScript
onUnload, qui est appellé quand un visiteur quitte une page (par
exemple, en cliquant sur un lien ou en utilisant un signet).

Le referer envoyé par Mozilla (au gestionnaire onUnload) est l'URL de la
page que le visiteur va visiter, pas la page qu'il a visité
(précédement). Donc un site (implémentant un tel gestionnaire
gestionnaire onUnload) peut découvrir où vous allez quand vous sortez
du site.

Mais des correctifs existent pour les branches 1.0 et 1.1 :
http://bugzilla.mozilla.org/attachment.cgi?id=99468&action=view(...)
http://bugzilla.mozilla.org/attachment.cgi?id=99565&action=view(...)

Puisque malheureusement Mozilla et ses amis sont <b>encore<b> très peu
utilisés (face au plus de 90% de part de marché occupé par le
rouleau compresseur IE), il est peu propable que quelqu'un s'amuse
a exploiter cette faille.

Mais les parts de marché risquent de considérablement augmenter avec
l'utilisation de Gecko dans le dernier Netscape 7, Compuserve,
AOL MacOSX, le futur AOL 8, et l'intégration de Chimera dans
MacOSX ( http://www.spymac.com/comments.php?id=P216_0_5_0_C&which=main(...) )
mais grace aussi aux qualités indéniables de Mozilla :-)

"A l'heure actuelle 90% des Internautes du monde entier utilisent
Internet Explorer. Avez-vous confiance en Microsoft pour contrôler
comment chacun sur terre voit Internet ? À cet égard, auriez-vous
confiance en AOL ou une autre société ? Sur Internet, la diversité est
saine."
# Corriger la nouvelle

Posté par Xavier Poinsard le 18 septembre 2002 à 10:39. Évalué à 10.

Est-ce que le modérateur pourrait corriger la nouvelle avec les informations contenues dans les commentaires :
- Ce n'est pas un mouchard
- la description du bug est incorrecte
- les workarounds
# Ca y est c'est résolu

Posté par jojolapin le 18 septembre 2002 à 13:42. Évalué à 3.

http://bugzilla.mozilla.org/show_bug.cgi?id=145579(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.