Un mouchard dans Mozilla

Posté par . Modéré par Fabien Penso.
Tags :
0
17
sept.
2002
Mozilla
Un bug affecte probablement toutes les versions de Mozilla : le célèbre navigateur libre envoie l'URL de la page actuellement visitée au serveur web précédemment visité. Ceci ne concerne pas seulement les liens hypertextes. Comme aucun correctif n'est actuellement disponible, il est recommandé de désactiver l'option "Javascript".

Aller plus loin

  • # Un autre...

    Posté par . Évalué à 10.

    Y a carrément un trou de sécu aussi : http://bugzilla.mozilla.org/show_bug.cgi?id=166218
  • # Solution pas top

    Posté par (page perso) . Évalué à 10.

    C'est quand meme tres restrictif comme solution... J'espere qu'une nouvelle version va arriver tres vite, parce que ca doit rentre un certain nombre de sites inutilisable :-(
    • [^] # Commentaire supprimé

      Posté par . Évalué à 10.

      Ce commentaire a été supprimé par l'équipe de modération.

    • [^] # Re: Solution pas top

      Posté par . Évalué à 10.

      > C'est quand meme tres restrictif comme solution... Il y a mieux, mais faut mettre les mains dans le cambouis: http://members.ping.de/~sven/mozbug/refcook.html * Create a file user.js in your profile folder (the one with the prefs.js file). o For UNIX, it's $HOME/.mozilla/default. o For Windows 98/Me users, the path is probably something like C:\WINDOWS\Application Data\Mozilla\Profiles\Default User\f9a1239a.slt. o For W2K users, the path will be something like C:\Documents and Settings\<user_name>\Application Data\Mozilla\Profiles\Default\<some_random_string>.slt o For Mac OS X, it's $HOME/Library/Mozilla/Profiles/default/<random string>.slt Put the following line in the file to disable the HTTP_REFERER header completely: user_pref("network.http.sendRefererHeader", 0);
    • [^] # Re: Solution pas top

      Posté par . Évalué à 10.

      Il suffit de rajouter: user_pref("capability.policy.default.Window.onunload", "noAccess"); dans ton user.js (ou de le creer si il existe pas) 2 remarques: - je trouve que le terme de mouchard est un peu fort, parce qu'il s'agit d'un bug et pas d'un spyware intentionnel. - pour ceux qui ne sont pas au courant, quand on clicke sur un lien, le site sur lequel on arrive peut déterminer le site d'où l'on vient (referrer). Ce n'est pas si éloigné et ce n'est pas considéré comme un bug. Pour les paranoiaques (et / ou ceux qui n'aiment pas les pubs), je vous conseille de jeter un oeil sur privoxy (http://www.privoxy.org) qui permet de filtrer automatiquement les javascript onunload (la fameuse commande qui permet d'exploiter ce bug de mozilla ou d'ouvrir des popups de pub quand vous quittez un site).
    • [^] # Re: Solution pas top

      Posté par (page perso) . Évalué à 8.

      Il y a moins bourrin que cela: Sur le site de bugzilla (http://bugzilla.mozilla.org/show_bug.cgi?id=145579), il est indiqué d'autres méthodes pour contrer ce bug, et notamment en rajoutant une option au fichier "user.js", afin de désactivé le HTTP_REFERER. Le site http://members.ping.de/~sven/mozbug/refcook.html détaille bien la procédure à utiliser. Ou sinon, il suffit d'utiliser un "proxy utilisateur", comme http://www.privoxy.org/ (issus de http://www.junkbuster.com/) ou http://proxomitron.org/ (connais pas) ... Bref, tout ce qu'il faut pour laisser activé Javascript, que bon nombre de sites web utilisent.
  • # vraimment du nimp ;))

    Posté par (page perso) . Évalué à 10.

    >> le célèbre navigateur libre envoie l'URL de la page actuellement visitée au serveur web précédemment visité. tout les browsers le font ;)) Le bug, c'est que lorsqu'un java script s'execute avec un délai sur un site x, si on charge un autre site y avant que le temps de délai soit atteind, il s execute en prenant l'url du site x en référence. Alors qu'il ne devrait tout simplement pas s'executer. D'ou gros problemes de sécu ... @+ Code34
    • [^] # Re: vraimment du nimp ;))

      Posté par (page perso) . Évalué à 4.

      >> il s execute en prenant l'url du site x en référence je me suis planté du site y en référence. Ce qui donne un unreachable pour l'exemple de l'auteur (chargement d'image). Ca va jazzer si ça s'applique à d'autres objets. @+ Code34
    • [^] # Re: vraimment du nimp ;))

      Posté par . Évalué à 10.

      >> le célèbre navigateur libre envoie l'URL de la page actuellement visitée au serveur web précédemment visité.

      > tout les browsers le font ;))

      Non. Les browsers envoient l'URL de la page précédement visitée au serveur web actuellement visité en cas de lien de l'ancienne page vers la nouvelle.
      • [^] # Exact - Correction

        Posté par (page perso) . Évalué à 5.

        Exact, tu as bien fait de me corriger, j'avais mal lu le bug track.

        Pour me faire pardonner, voila la correction a appliquer pour qu'elle s'applique à tout les profils utilisateurs:

        editez le fichier all.js et inserez à la fin ces deux lignes:

        pref("network.http.sendRefererHeader", 0);
        pref("capability.policy.default.Window.onunload", "noAccess");

        Il y a une page de test pour valider la correction:

        http://www.script-source.net/km/moz_referer_bug/(...)

        @+
        code34
        Mes excuses à l'auteur de la news.
  • # demi faille

    Posté par . Évalué à 10.

    Ce n'est une faille qu'avec les applis programmées comme des porcs (avec un mot de passe en clair dans l'URL). Sinon ce n'est qu'une petite fuite d'habitudes personnelles de navigation. A corriger, mais par rapport à doubleclick, aux proxys transparents des FAI, c'est de la rigolade !
  • # et galeon

    Posté par . Évalué à 9.

    c'est peut être stupide comme question mais qu'est ce qu'il en est de galeon ? il est aussi atteint ? Au passage savez vous si on peut désactiver HTTP_REFERER avec Galeon ? Merci
    • [^] # Re: et galeon

      Posté par . Évalué à 8.

      Oui, d'après http://members.ping.de/~sven/mozbug/refcook.html , Galeon est touché par cette faille, de même que tous les browsers basés sur Gecko (K-Meleon n'est pas listé sur cette page, mais il est touché aussi).
  • # Corrigé

    Posté par . Évalué à 10.

    Vu sur Newsforge, le bug semble avoir été fixé :
    http://newsvac.newsforge.com/newsvac/02/09/18/0213225.shtml?tid=2(...)
  • # Les correctifs sont disponibles pour les branches 1.0 et 1.1

    Posté par . Évalué à 4.

    La faille peut être exploité en utilisant le gestionnaire JavaScript
    onUnload, qui est appellé quand un visiteur quitte une page (par
    exemple, en cliquant sur un lien ou en utilisant un signet).

    Le referer envoyé par Mozilla (au gestionnaire onUnload) est l'URL de la
    page que le visiteur va visiter, pas la page qu'il a visité
    (précédement). Donc un site (implémentant un tel gestionnaire
    gestionnaire onUnload) peut découvrir où vous allez quand vous sortez
    du site.

    Mais des correctifs existent pour les branches 1.0 et 1.1 :
    http://bugzilla.mozilla.org/attachment.cgi?id=99468&action=view(...)
    http://bugzilla.mozilla.org/attachment.cgi?id=99565&action=view(...)

    Puisque malheureusement Mozilla et ses amis sont <b>encore<b> très peu
    utilisés (face au plus de 90% de part de marché occupé par le
    rouleau compresseur IE), il est peu propable que quelqu'un s'amuse
    a exploiter cette faille.

    Mais les parts de marché risquent de considérablement augmenter avec
    l'utilisation de Gecko dans le dernier Netscape 7, Compuserve,
    AOL MacOSX, le futur AOL 8, et l'intégration de Chimera dans
    MacOSX ( http://www.spymac.com/comments.php?id=P216_0_5_0_C&which=main(...) )
    mais grace aussi aux qualités indéniables de Mozilla :-)

    "A l'heure actuelle 90% des Internautes du monde entier utilisent
    Internet Explorer. Avez-vous confiance en Microsoft pour contrôler
    comment chacun sur terre voit Internet ? À cet égard, auriez-vous
    confiance en AOL ou une autre société ? Sur Internet, la diversité est
    saine."
  • # Corriger la nouvelle

    Posté par . Évalué à 10.

    Est-ce que le modérateur pourrait corriger la nouvelle avec les informations contenues dans les commentaires :
    - Ce n'est pas un mouchard
    - la description du bug est incorrecte
    - les workarounds
  • # Ca y est c'est résolu

    Posté par . Évalué à 3.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.