Pour info j'ai posté un message sur le forum XenForo et à l'équipe à l'origine de cet article pour mieux comprendre. En espérant avoir rapidement une réponse pertinente...
Wait & see...
David
Wait & see...
David
[ALERTE SECURITE] Avec d'autres sites, XLD impacté par ce problème
- Initiateur de la discussion Staple1600
- Date de début
Staple1600
XLDnaute Barbatruc
Bonjour David
Merci pour ton retour.
En espérant que tu trouveras une solution afin qu'on puisse naviguer sur XLD sans devoir désactiver javascript
(car à l'usage, c'est pas une partie de plaisir)
NB: D'après ce que j'ai compris de l'article, le script n'est pas forcément dans le code source de tes pages
mais appelé par un script présent lui dans tes pages.
Et apparemment toujours si j'ai bien compris, ce n'est évident pour l'éditeur du site de trouver où se cache ce script.
Voir ce chapitre dans le lien du message#6
How did we get here?
Merci pour ton retour.
En espérant que tu trouveras une solution afin qu'on puisse naviguer sur XLD sans devoir désactiver javascript
(car à l'usage, c'est pas une partie de plaisir)
NB: D'après ce que j'ai compris de l'article, le script n'est pas forcément dans le code source de tes pages
mais appelé par un script présent lui dans tes pages.
Et apparemment toujours si j'ai bien compris, ce n'est évident pour l'éditeur du site de trouver où se cache ce script.
Voir ce chapitre dans le lien du message#6
How did we get here?
Dernière édition:
Calvus
XLDnaute Barbatruc
JBARBE
XLDnaute Barbatruc
Bonjour à tous,
En réponse au post #6 de staple et à la réponse de HZ du site :
https://freedom-to-tinker.com/2017/...kers-exploit-browser-login-managers/#comments
I’ve tried the demo, but after sending the fake e-mail/password I’ve got an error page (404) only…
At the next try it was working, but the result is two question marks
(I use Firefox with NoScript addon)
But you’re right, if I allow running JS from rawgit, then it can steal my e-mail-password couple.
It is a little bit scarie…
J'ai firefox et comme il est dit " il est effrayant " de constater que l'on peut récupérer les mots de passe des sites concernés !
Seule un utilisateur avisé peut empêcher son navigateur de récupérer ces mots de passe !
pourquoi cette option existe t'elle dans Firefox ?
Bonne soirée !
En réponse au post #6 de staple et à la réponse de HZ du site :
https://freedom-to-tinker.com/2017/...kers-exploit-browser-login-managers/#comments
I’ve tried the demo, but after sending the fake e-mail/password I’ve got an error page (404) only…
At the next try it was working, but the result is two question marks
(I use Firefox with NoScript addon)
But you’re right, if I allow running JS from rawgit, then it can steal my e-mail-password couple.
It is a little bit scarie…
J'ai firefox et comme il est dit " il est effrayant " de constater que l'on peut récupérer les mots de passe des sites concernés !
Seule un utilisateur avisé peut empêcher son navigateur de récupérer ces mots de passe !
pourquoi cette option existe t'elle dans Firefox ?
Bonne soirée !
Staple1600
XLDnaute Barbatruc
Bonsoir le fil, le forum
@JBARBE
Il n'y a pas que Firefox qui soit concerné.
La plupart des navigateurs sont aussi concernés.
(voir l'article du premier message ou l'article en français de numerama)
C'est un bug (vieux de 11 ans!) du gestionnaire de mots de passe qui est exploité par ces scripts de tracking.
La protection la plus sûre est de désactiver javascript
(soit de manière générale ou site par site)
Sauf que peu de navigateurs récents permettent cette option en natif.
Une autre solution (si on veut éviter les add-on antipub), c'est d'utiliser le fichier hosts.
La solution la moins contraignante c'est que l'éditeur des sites de la liste mettent en place les contre-mesures évoqués dans l'article.
NB: Dans l'article, il est précisé que l'adresse mail qui est récupéré pas les mots de passe
@JBARBE
Il n'y a pas que Firefox qui soit concerné.
La plupart des navigateurs sont aussi concernés.
(voir l'article du premier message ou l'article en français de numerama)
C'est un bug (vieux de 11 ans!) du gestionnaire de mots de passe qui est exploité par ces scripts de tracking.
La protection la plus sûre est de désactiver javascript
(soit de manière générale ou site par site)
Sauf que peu de navigateurs récents permettent cette option en natif.
Une autre solution (si on veut éviter les add-on antipub), c'est d'utiliser le fichier hosts.
La solution la moins contraignante c'est que l'éditeur des sites de la liste mettent en place les contre-mesures évoqués dans l'article.
NB: Dans l'article, il est précisé que l'adresse mail qui est récupéré pas les mots de passe
Mais cela reste une extraction de données personnelles à l'insu de son plein gré.
Dernière édition:
JBARBE
XLDnaute Barbatruc
Re,
Mais Google ne stock t-il pas dans ces énormes DD ou serveurs tout ce que l'on fait !
Le piratage de données n'est pas d'aujourd'hui !
Je crois que l'UE veux y mettre un terme !
Mais bon, on connais leurs réactivités !
Et il rapporte gros !
Bonne soirée !
Mais Google ne stock t-il pas dans ces énormes DD ou serveurs tout ce que l'on fait !
Le piratage de données n'est pas d'aujourd'hui !
Je crois que l'UE veux y mettre un terme !
Mais bon, on connais leurs réactivités !
Et il rapporte gros !
Bonne soirée !
Dernière édition:
eriiic
XLDnaute Barbatruc
Bonjour à tous,
Je viens d'aller sur la page de test avec Chrome Version 63.0.3239.132 (Build officiel) (64 bits), rien de récupéré.
J'ai ré-activé java pour voir et même résultat.
Entre 2 j'ai installé la dernière version (Version 63.0.3239.132 (Build officiel) (64 bits)), et désactivé uBlock Origin et Ghostery : toujours rien.
Chrome semble insensible
eric
Je viens d'aller sur la page de test avec Chrome Version 63.0.3239.132 (Build officiel) (64 bits), rien de récupéré.
J'ai ré-activé java pour voir et même résultat.
Entre 2 j'ai installé la dernière version (Version 63.0.3239.132 (Build officiel) (64 bits)), et désactivé uBlock Origin et Ghostery : toujours rien.
Chrome semble insensible
eric
Staple1600
XLDnaute Barbatruc
Bonsoir eriiiic
Tu parles de java ou de javascript?
Tu n'utilises pas de fichier hosts personnalisé?
Dans les notes en bas de page, ils indiquent pourtant
Tu parles de java ou de javascript?
Tu n'utilises pas de fichier hosts personnalisé?
Dans les notes en bas de page, ils indiquent pourtant
Staple1600
XLDnaute Barbatruc
Re
@eriiiic
Même avec javascript désactivé, ceci apparaît dans mon navigateur
(sur la page de test)
Et si je clique dessus, j'accède bien au gestionnaire de mots de passe
Ça ne se produit pas avec Chrome?
Edition: Pour Chrome il est précisé:
https://senglehardt.com/demo/no_boundaries/loginmanager/sniff.html
@eriiiic
Même avec javascript désactivé, ceci apparaît dans mon navigateur
(sur la page de test)
Et si je clique dessus, j'accède bien au gestionnaire de mots de passe
Ça ne se produit pas avec Chrome?
Edition: Pour Chrome il est précisé:
Ci-dessous le lien de la page final du test où était indiqué cette précision.
https://senglehardt.com/demo/no_boundaries/loginmanager/sniff.html
Dernière édition:
eriiic
XLDnaute Barbatruc
*javascript mea-culpa
Si, ça s'affiche. C'est désactivable sur Chrome, je suppose sur firefox également.
Et il faut bien que ce soit actif et le mail soit enregistré pour le test, sinon il n'y a pas de donnée à voler.
L'enregistrement des id et pw est indépendant de javascript, c'est une fonctionnalité du navigateur.
Pour les tests je cliquait bien n'importe où avant de cliquer sur le lien pour révéler. Mais nada.
Oui j'ai un fichier host personnalisé, mais pour d'autres choses. La plus longue liste est pour unchecky mais les sites ne recoupent pas ces adresses.
Par contre je viens de refaire les tests en relançant Chrome à chaque fois.
Maintenant le mail ressort, même en ayant ré-activés un par un uBlock Origine et Ghostery.
Du coup dans la foulée j'ai désactivé javascript et le mail est toujours récupéré.
Et en refaisant une série de test maintenant c'est mail ET mdp qui sont récupérés, toujours avec javascript désactivé donc il n'est pas en cause si la page de test est fiable.
Donc vaut mieux contrôler qu'il n'y ait pas de données sensibles d'enregistrées.
eric
PS : je me demande finalement si l'option désactive totalement javascript ou seulement une partie (?)
Latest stable JavaScript features
Some web pages use legacy or non-standard JavaScript extensions that may conflict with the latest JavaScript features. This flag allows disabling support of those features for compatibility with such pages. Mac, Windows, Linux, Chrome OS, Android
Edit 2 : effectivement je n'allais pas au bon endroit.
Avec javascript désactivé je n'accède plus du tout à la page : Page Not found
Du coup je ne sais quoi en penser, si c'est dès le submit qu'on est bloqué le test ne peut pas être fait...
Désolé pour les ajustements et la longueur
edit 3 : du coup j'ai ajouté les 2 adresses audienceinsights.net et behavioralengine.com aux sites bloqués javavascript et à uBlock Origin pour faire bonne mesure. Pas sûr du résultat et demain ça sera d'autres adresses mais bon
Si, ça s'affiche. C'est désactivable sur Chrome, je suppose sur firefox également.
Et il faut bien que ce soit actif et le mail soit enregistré pour le test, sinon il n'y a pas de donnée à voler.
L'enregistrement des id et pw est indépendant de javascript, c'est une fonctionnalité du navigateur.
Pour les tests je cliquait bien n'importe où avant de cliquer sur le lien pour révéler. Mais nada.
Oui j'ai un fichier host personnalisé, mais pour d'autres choses. La plus longue liste est pour unchecky mais les sites ne recoupent pas ces adresses.
Par contre je viens de refaire les tests en relançant Chrome à chaque fois.
Maintenant le mail ressort, même en ayant ré-activés un par un uBlock Origine et Ghostery.
Du coup dans la foulée j'ai désactivé javascript et le mail est toujours récupéré.
Et en refaisant une série de test maintenant c'est mail ET mdp qui sont récupérés, toujours avec javascript désactivé donc il n'est pas en cause si la page de test est fiable.
Donc vaut mieux contrôler qu'il n'y ait pas de données sensibles d'enregistrées.
eric
PS : je me demande finalement si l'option désactive totalement javascript ou seulement une partie (?)
Latest stable JavaScript features
Some web pages use legacy or non-standard JavaScript extensions that may conflict with the latest JavaScript features. This flag allows disabling support of those features for compatibility with such pages. Mac, Windows, Linux, Chrome OS, Android
Edit 2 : effectivement je n'allais pas au bon endroit.
Avec javascript désactivé je n'accède plus du tout à la page : Page Not found
Du coup je ne sais quoi en penser, si c'est dès le submit qu'on est bloqué le test ne peut pas être fait...
Désolé pour les ajustements et la longueur
edit 3 : du coup j'ai ajouté les 2 adresses audienceinsights.net et behavioralengine.com aux sites bloqués javavascript et à uBlock Origin pour faire bonne mesure. Pas sûr du résultat et demain ça sera d'autres adresses mais bon
Dernière édition:
Staple1600
XLDnaute Barbatruc
Bonsoir le fil, le forum
@eriiiic
Tu bloques javascript par défaut pour tous les sites (ou site par site)
Ci-dessous mon paramétrage actuel pour XLD
Puisqu'on parle de script en théorie, si on désactive javascript, ce genre de script ne peut s’exécuter, non?
Ou cela veut dire d'après tes observations que le script s’exécute sur le site distant?
@eriiiic
Tu bloques javascript par défaut pour tous les sites (ou site par site)
Ci-dessous mon paramétrage actuel pour XLD
Puisqu'on parle de script en théorie, si on désactive javascript, ce genre de script ne peut s’exécuter, non?
Ou cela veut dire d'après tes observations que le script s’exécute sur le site distant?
eriiic
XLDnaute Barbatruc
Bonjour Staple,
sur Chrome tu autorises/bloques tout, mais complété par des listes noire et blanche tu fais donc ce que tu veux.
Pour le reste je n'y connais rien aux scripts
Mais oui, si c'est un javascript il ne sera pas exécuté. Mais c'est dit clairement nulle part, ils parlent de script... Je suppose juste qu'il n'y a pas des tonnes de possibilité de type de script et que ça doit être ça.
sur Chrome tu autorises/bloques tout, mais complété par des listes noire et blanche tu fais donc ce que tu veux.
Pour le reste je n'y connais rien aux scripts
Mais oui, si c'est un javascript il ne sera pas exécuté. Mais c'est dit clairement nulle part, ils parlent de script... Je suppose juste qu'il n'y a pas des tonnes de possibilité de type de script et que ça doit être ça.
Staple1600
XLDnaute Barbatruc
Bonsoir eriiiiic
Mon navigateur est basé sur Chromium (donc Chrome en partie)
Sur Chrome, comment tu fais pour facilement accéder à cette page de paramétrage?
Donc d'après toi en mettant ces deux domaines dans le hosts puis en les mettant dans la liste des sites bloqués au niveau de javascript, on est tiré d'affaire ?
Mon navigateur est basé sur Chromium (donc Chrome en partie)
Sur Chrome, comment tu fais pour facilement accéder à cette page de paramétrage?
Donc d'après toi en mettant ces deux domaines dans le hosts puis en les mettant dans la liste des sites bloqués au niveau de javascript, on est tiré d'affaire ?
eriiic
XLDnaute Barbatruc
J'ouvre la page des paramètres,
en bas Paramètres avancés,
dans 'Confidentialité et sécurité' j'ai :
'Paramètres du contenu
Contrôler les informations que les sites Web peuvent utiliser et le contenu qu'ils peuvent afficher'
Et là j'ai une listes de contenus dont javascript, qui mène à son paramétrage.
Houla, je n'irai pas jusque là en étant affirmatif
Comme la page de test ne nous redirige pas vers ces adresses (heureusement) pas moyen de tester l'efficacité.
Mais comme ça ne mangeait pas de pain de les ajouter au passage, je ne me suis pas retenu.
Par contre je n'avais pas pensé au hosts, je vais les y ajouter. Ca ne sera pas pire que de ne rien mettre de toute façon.
Avec le temps on trouvera peut-être LA solution validée quelque part, ou une évolution des navigateurs. Ils doivent travailler dessus.
eric
Staple1600
XLDnaute Barbatruc
Re
La solution peut aussi venir des éditeurs des sites si j'ai bien compris ce passage.
La solution peut aussi venir des éditeurs des sites si j'ai bien compris ce passage.
