Cookies récupérables ailleurs ?

31 réponses

Page 1 2

Auteur	Message
Laurentv \| Membre Inscrit le : 10/05/2005	# Le 22/08/2006 à 17:39 Salut, je stocke pas mal de données par le biais de cookies. Un membre de mon site a, semble-t-il, dirigé certains visiteurs vers une page à lui. Aurait-il pu récupérer les données des cookies par ce biais là ? Si oui, comment contrer ce problème ? Merci pour votre aide. (Message édité le 22-08-2006 à 17h53 par Laurentv) Portfolio webdesign : http://www.jogg.com Site de rencontres : http://www.weekdating.com
radins \| Tobias Modérateur Inscrit le : 09/05/2005	# Le 22/08/2006 à 18:12 Impossible je crois..
Limit \| Cyril Membre Inscrit le : 11/05/2005	# Le 22/08/2006 à 18:23 un cookie est propre à un domaine, on ne peut pas y accéder autre que par ce domaine. Forum Gratuit - Blog gratuit
SquawK \| Blabla Modérateur Inscrit le : 09/05/2005	# Le 22/08/2006 à 18:28 heu oui vaut mieux d'ailleurs Comparatif pc portable
tybozz \| Thibaud Membre Inscrit le : 09/05/2005	# Le 22/08/2006 à 18:41 En fait il y a moyen ... suivant comme il redirige tes visiteurs. Hésite pas à me contacter via msn. Elevez un dragon ! avant qu'il ne fasse le casting pour la star on the net academy ou qu'il ne s'empiffre de bonbons à gogo
Geo 113 \| Geoffrey Modérateur Inscrit le : 04/05/2005	# Le 22/08/2006 à 19:00 bah explique ici si ca peut aider tout le monde Cosmix Rendez imprévisible l'Economie; Mentez aux sondages
tybozz \| Thibaud Membre Inscrit le : 09/05/2005	# Le 22/08/2006 à 19:53 Alors D'abord on clique ici pour écrire un cookie : http://www.elevezundragon.com/test_js/cookies.php Un méchant monsieur nous donne cette adresse http://www.elevezundragon.com/test_js/tunnel.php?v... (notez la redirection vers staronthenet) et récupère notre cookies sur son site. Elevez un dragon ! avant qu'il ne fasse le casting pour la star on the net academy ou qu'il ne s'empiffre de bonbons à gogo
Geo 113 \| Geoffrey Modérateur Inscrit le : 04/05/2005	# Le 22/08/2006 à 19:57 okayy pas con du tout, va falloir faire gaffe. Cosmix Rendez imprévisible l'Economie; Mentez aux sondages
Zalex14 \| Alexandre Modérateur Inscrit le : 09/05/2005	# Le 22/08/2006 à 19:58 ah ouaih quand même.. Mieux vaut s'attendre au prévisible que d'être surpris par l'inattendu.
Geo 113 \| Geoffrey Modérateur Inscrit le : 04/05/2005	# Le 22/08/2006 à 20:00 là aussi ca vaut le coup d'avoir passé les mdp en md5 Cosmix Rendez imprévisible l'Economie; Mentez aux sondages
tybozz \| Thibaud Membre Inscrit le : 09/05/2005	# Le 22/08/2006 à 20:00 d'où le "ne jamais afficher des variables sans traitement". Elevez un dragon ! avant qu'il ne fasse le casting pour la star on the net academy ou qu'il ne s'empiffre de bonbons à gogo
devtribu \| Olivier Modérateur Inscrit le : 16/06/2005	# Le 22/08/2006 à 20:01 c'est un peu tiré par les cheveux. Mais c'est interessant Si on laisse la possibilité du javascript sur un blog par exemple, on augmente vraiment les risques... Février 2019, mon futur livre Tout JavaScript chez Dunod https://amzn.to/2PoLd0f
tybozz \| Thibaud Membre Inscrit le : 09/05/2005	# Le 22/08/2006 à 20:02 Ce n'est pas vraiment tiré par les cheveux Suffit d'un site écrivant des cookies et affichant des variables sans traitements. Pour les pass sur md5(), ce n'est pas si secure que ça ... Elevez un dragon ! avant qu'il ne fasse le casting pour la star on the net academy ou qu'il ne s'empiffre de bonbons à gogo
Geo 113 \| Geoffrey Modérateur Inscrit le : 04/05/2005	# Le 22/08/2006 à 20:04 je trouve pas ca tiré par les cheveux, c'est très vite installable, merci pour l'exemple qu'y a t'il de mieux que md5, md5+ grin de sable ? Cosmix Rendez imprévisible l'Economie; Mentez aux sondages
devtribu \| Olivier Modérateur Inscrit le : 16/06/2005	# Le 22/08/2006 à 20:08 La faille d'origine vient du fait que le site autorise l'ecriture de code javascript par un quidam sur une page du site. Sans ce code js exécuté sur le domaine d'origine, le cookie n'est pas lisible. Meme en traitant les variables a afficher, on peut facilement coder du javascript qui accedera à document.cookie sans que cette chaine ne soit visible dans le code Février 2019, mon futur livre Tout JavaScript chez Dunod https://amzn.to/2PoLd0f
devtribu \| Olivier Modérateur Inscrit le : 16/06/2005	# Le 22/08/2006 à 20:10 Je m'explique alors Quand je dis "tiré par les cheveux", ca veut dire qu'il faut autoriser les visiteurs a poster du javascript... Je leur autorise meme pas une balise <b> Mais c'est tout de meme tres interessant Février 2019, mon futur livre Tout JavaScript chez Dunod https://amzn.to/2PoLd0f
tybozz \| Thibaud Membre Inscrit le : 09/05/2005	# Le 22/08/2006 à 20:13 "suffit" d'interdire la chaîne "<script" (à peu près) Elevez un dragon ! avant qu'il ne fasse le casting pour la star on the net academy ou qu'il ne s'empiffre de bonbons à gogo
Limit \| Cyril Membre Inscrit le : 11/05/2005	# Le 22/08/2006 à 21:38 euh, si tu ne traites pas les données clients, ya moyen de faire largement pire que récupérer un malheureux cookie. :/ Et avoir le cookie en md5 ne sert strictement à rien dans ce cas. Enfin juste cacher le mot de passe en clair mais ca n'empeche pas de l'utiliser. Forum Gratuit - Blog gratuit
devtribu \| Olivier Modérateur Inscrit le : 16/06/2005	# Le 22/08/2006 à 22:13 j'interdis toutes les balises html <> et j'accepte uniquement du pseudo code avec les crochets [ ] Faut aussi se méfier des liens href="javascript:" Février 2019, mon futur livre Tout JavaScript chez Dunod https://amzn.to/2PoLd0f
Laurentv \| Vaissade Membre Inscrit le : 10/05/2005	# Le 22/08/2006 à 23:28 Merci Tybozz )) Exemple très parlant... Je pense que mon problème vient de là. J'avais laissé aux chefs de clans (donc des responsables...) la liberté d'utiliser du code html, javascript etc... Jamais eu un seul problème, jusqu'à ce qu'un chef de clan se fasse pirater (pishing classique) et paf, exploitation de la faille !!! Ca doit venir de là le problème... Sans javascript, y'aurait pas un autre moyen de récupérer un cookie ??? Portfolio webdesign : http://www.jogg.com Site de rencontres : http://www.weekdating.com

Auteur

Message

Inscrit le : 10/05/2005

# Le 22/08/2006 à 17:39

Salut,

je stocke pas mal de données par le biais de cookies.
Un membre de mon site a, semble-t-il, dirigé certains visiteurs vers une page à lui.
Aurait-il pu récupérer les données des cookies par ce biais là ?
Si oui, comment contrer ce problème ?

Merci pour votre aide.

(Message édité le 22-08-2006 à 17h53 par Laurentv)

Portfolio webdesign : http://www.jogg.com
Site de rencontres : http://www.weekdating.com

radins | Tobias
Modérateur

Inscrit le : 09/05/2005

# Le 22/08/2006 à 18:12

Impossible je crois..

Limit | Cyril
Membre

Inscrit le : 11/05/2005

# Le 22/08/2006 à 18:23

un cookie est propre à un domaine, on ne peut pas y accéder autre que par ce domaine.

Forum Gratuit - Blog gratuit

SquawK | Blabla
Modérateur

Inscrit le : 09/05/2005

# Le 22/08/2006 à 18:28

heu oui vaut mieux d'ailleurs

Comparatif pc portable

tybozz | Thibaud
Membre

Inscrit le : 09/05/2005

# Le 22/08/2006 à 18:41

En fait il y a moyen ... suivant comme il redirige tes visiteurs.
Hésite pas à me contacter via msn.

Elevez un dragon ! avant qu'il ne fasse le casting pour la star on the net academy ou qu'il ne s'empiffre de bonbons à gogo

Geo 113 | Geoffrey
Modérateur

Inscrit le : 04/05/2005

# Le 22/08/2006 à 19:00

bah explique ici si ca peut aider tout le monde

Cosmix
Rendez imprévisible l'Economie; Mentez aux sondages

tybozz | Thibaud
Membre

Inscrit le : 09/05/2005

# Le 22/08/2006 à 19:53

Alors

D'abord on clique ici pour écrire un cookie :
http://www.elevezundragon.com/test_js/cookies.php

Un méchant monsieur nous donne cette adresse
http://www.elevezundragon.com/test_js/tunnel.php?v...

(notez la redirection vers staronthenet)

et récupère notre cookies sur son site.

Elevez un dragon ! avant qu'il ne fasse le casting pour la star on the net academy ou qu'il ne s'empiffre de bonbons à gogo

Geo 113 | Geoffrey
Modérateur

Inscrit le : 04/05/2005

# Le 22/08/2006 à 19:57

okayy pas con du tout, va falloir faire gaffe.

Cosmix
Rendez imprévisible l'Economie; Mentez aux sondages

Zalex14 | Alexandre
Modérateur

Inscrit le : 09/05/2005

# Le 22/08/2006 à 19:58

ah ouaih quand même..

Mieux vaut s'attendre au prévisible que d'être surpris par l'inattendu.

Geo 113 | Geoffrey
Modérateur

Inscrit le : 04/05/2005

# Le 22/08/2006 à 20:00

là aussi ca vaut le coup d'avoir passé les mdp en md5

Cosmix
Rendez imprévisible l'Economie; Mentez aux sondages

tybozz | Thibaud
Membre

Inscrit le : 09/05/2005

# Le 22/08/2006 à 20:00

d'où le "ne jamais afficher des variables sans traitement".

Elevez un dragon ! avant qu'il ne fasse le casting pour la star on the net academy ou qu'il ne s'empiffre de bonbons à gogo

devtribu | Olivier
Modérateur

Inscrit le : 16/06/2005

# Le 22/08/2006 à 20:01

c'est un peu tiré par les cheveux. Mais c'est interessant
Si on laisse la possibilité du javascript sur un blog par exemple, on augmente vraiment les risques...

Février 2019, mon futur livre Tout JavaScript chez Dunod https://amzn.to/2PoLd0f

tybozz | Thibaud
Membre

Inscrit le : 09/05/2005

# Le 22/08/2006 à 20:02

Ce n'est pas vraiment tiré par les cheveux
Suffit d'un site écrivant des cookies et affichant des variables sans traitements.

Pour les pass sur md5(), ce n'est pas si secure que ça ...

Elevez un dragon ! avant qu'il ne fasse le casting pour la star on the net academy ou qu'il ne s'empiffre de bonbons à gogo

Geo 113 | Geoffrey
Modérateur

Inscrit le : 04/05/2005

# Le 22/08/2006 à 20:04

je trouve pas ca tiré par les cheveux, c'est très vite installable, merci pour l'exemple

qu'y a t'il de mieux que md5, md5+ grin de sable ?

Cosmix
Rendez imprévisible l'Economie; Mentez aux sondages

devtribu | Olivier
Modérateur

Inscrit le : 16/06/2005

# Le 22/08/2006 à 20:08

La faille d'origine vient du fait que le site autorise l'ecriture de code javascript par un quidam sur une page du site.
Sans ce code js exécuté sur le domaine d'origine, le cookie n'est pas lisible.

Meme en traitant les variables a afficher, on peut facilement coder du javascript qui accedera à document.cookie sans que cette chaine ne soit visible dans le code

Février 2019, mon futur livre Tout JavaScript chez Dunod https://amzn.to/2PoLd0f

devtribu | Olivier
Modérateur

Inscrit le : 16/06/2005

# Le 22/08/2006 à 20:10

Je m'explique alors
Quand je dis "tiré par les cheveux", ca veut dire qu'il faut autoriser les visiteurs a poster du javascript...
Je leur autorise meme pas une balise <b>

Mais c'est tout de meme tres interessant

Février 2019, mon futur livre Tout JavaScript chez Dunod https://amzn.to/2PoLd0f

tybozz | Thibaud
Membre

Inscrit le : 09/05/2005

# Le 22/08/2006 à 20:13

"suffit" d'interdire la chaîne "<script" (à peu près)

Elevez un dragon ! avant qu'il ne fasse le casting pour la star on the net academy ou qu'il ne s'empiffre de bonbons à gogo

Limit | Cyril
Membre

Inscrit le : 11/05/2005

# Le 22/08/2006 à 21:38

euh, si tu ne traites pas les données clients, ya moyen de faire largement pire que récupérer un malheureux cookie. :/

Et avoir le cookie en md5 ne sert strictement à rien dans ce cas. Enfin juste cacher le mot de passe en clair mais ca n'empeche pas de l'utiliser.

Forum Gratuit - Blog gratuit

devtribu | Olivier
Modérateur

Inscrit le : 16/06/2005

# Le 22/08/2006 à 22:13

j'interdis toutes les balises html <> et j'accepte uniquement du pseudo code avec les crochets [ ]

Faut aussi se méfier des liens href="javascript:"

Février 2019, mon futur livre Tout JavaScript chez Dunod https://amzn.to/2PoLd0f

Laurentv | Vaissade
Membre

Inscrit le : 10/05/2005

# Le 22/08/2006 à 23:28

Merci Tybozz )) Exemple très parlant...

Je pense que mon problème vient de là.
J'avais laissé aux chefs de clans (donc des responsables...) la liberté d'utiliser du code html, javascript etc...

Jamais eu un seul problème, jusqu'à ce qu'un chef de clan se fasse pirater (pishing classique) et paf, exploitation de la faille !!!

Ca doit venir de là le problème...

Sans javascript, y'aurait pas un autre moyen de récupérer un cookie ???

Portfolio webdesign : http://www.jogg.com
Site de rencontres : http://www.weekdating.com

Page 1 2

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.