C'est dommage que l'article de Korben ne reprenne pas l'information que ça fonctionne sur les sous-domaines d'un domaine qu'on a déjà dans son gestionnaire de mots de passe.
Par exemple, pour aspirer les identifiants de toto.example.com, il faut que le gestionnaire ait une entrée en example.com. Et donc pour choper des identifiants du type Google, il faut que l'attaquant maîtrise accounts.google.com ou un de ses sous-domaines.
Ce n'est donc pas exploitable pour "n'importe quel site" mais pour un site offre des sous-domaines. Est-ce que ça fonctionnerait sur site comme unblogquiparledecrayonsdecouleurs.wordpress.com ?
# Il manque un détail
Posté par cg . Évalué à 5 (+3/-0).
C'est dommage que l'article de Korben ne reprenne pas l'information que ça fonctionne sur les sous-domaines d'un domaine qu'on a déjà dans son gestionnaire de mots de passe.
Par exemple, pour aspirer les identifiants de toto.example.com, il faut que le gestionnaire ait une entrée en example.com. Et donc pour choper des identifiants du type Google, il faut que l'attaquant maîtrise accounts.google.com ou un de ses sous-domaines.
Ce n'est donc pas exploitable pour "n'importe quel site" mais pour un site offre des sous-domaines. Est-ce que ça fonctionnerait sur site comme unblogquiparledecrayonsdecouleurs.wordpress.com ?
Ceci étant, ça reste très grave :(.
[^] # Re: Il manque un détail
Posté par mahikeulbody . Évalué à 3 (+1/-0).
Tout comme le désintérêt apparent des entreprises concernées (à part Bitwarden).
[^] # Re: Il manque un détail
Posté par cg . Évalué à 2 (+0/-0).
J'ai lu trop vite, en fait il y a plusieurs attaques, elles restent très surprenantes.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.