Sondage :

Votre avis sur le site

Voir les résultats
Lire les commentaires de ce sondage(41)
  Génial !(1550 votes)
  Bien(190 votes)
  Peut mieux faire(87 votes)
  Vraiment bof(122 votes)
  Avis neutre(74 votes)

Publicité




Partenaires




Jmax-Hardware

mxdev.net

627 visiteur(s) en ligne

Les services du domaine google.com victimes d'une faille

Rubrique : Sécurité informatique, écrit le 2008-04-22 09:02:52 par Troll.

Avec ses 142 services pour la plupart gratuits et très usités par le grand public, Google stocke à l'heure actuelle une masse de données immensément importantes, venant du monde entier... Cependant régulièrement, la sécurité de la plateforme est remise en cause, ainsi après la faille de Gmail dont on a toujours pas la certitude qu'elle fut fixée, ce sont maintenant tous les services rattachés à un sous domaine xxx.google.com qui seraient victimes d'une faille XSS.

C'est en effet ce que conte XSSSniper sur son blog de sécurité où il explique comment il a réussi à déjouer la sécurité de la totalité des services rattachés au domaine google.com depuis un simple "sniffing" des Content-Types, avec le navigateur Internet Explorer.

Image: spreadsheet1.JPG

En effet XSSsniper explique que comme d'autres l'avaient déjà dit avant, alors que la plupart des navigateurs comme Opera, Safari, ou Firefox, reconnaissent environs entre 5 et 10 "Content-Type" différents, Internet Explorer lui, réagirait à environs 696 en-tête différents selon les tests de Blake Frantz. Ainsi grâce au header renvoyé par le service spreadsheets.google.com, XSSSniper a réussi à modifier à sa guise le contenu du cookie de Google Tableur, et le problème intervient là également... ce cookie est utilisé sur tout le domaine google.com .

Image: spreadsheet5.JPG

Ainsi il suffit d'exploiter cette faille pour accéder à votre compte Gmail, lire tous vos documents stockés dans Google Documents, lire votre code source dans code.google.com, accéder à votres espace webmaster, et peut-être même votre compte Adwords et Adsense, s'ils sont rattachés au même compte.

Rassurez-vous cependant, s'il en existe sûrement d'autres encore non corrigées, ceelle-ci a été corrigée par l'équipe de développement de Google, normalement, cependant il n'a pas été dévioilé si le système de cookie avait été amélioré par la même occasion ou pas. Car en effet pruger les failles d'un seul service est une chose, mais s'occuper de celles de 40 services ou plus, en est une autre, qui rend très vulnérables la totalité de la plateforme Google puisqu'avec autant de services liés, il ne sera jamais possible à Google de protéger tous les services des failles...

Un épisode qui ne mettra donc pas très en confiance la plupart des utilisateurs des services de Google et qui rappelle une fois de plus les dangers qui sont liés à Google et à son omniprésence sur la toile et parmi les services au particulier ou aux entreprises... à suivre.

scoopeo    Partagez sur Yahoo! Mon Web 2.0  bookeet  pioche  Partagez sur del.icio.us  Partagez sur digg.com  Partagez sur furl.net  Add to Google spurl  simpy  Partagez sur netscape.com  Partagez sur StumbleUpon  tapemoi  Partagez sur Google Bookmarks  Partagez sur Technorati  Partagez sur blinklist  fuzz  nuouz  Partagez sur Newsvine  Partagez sur ma.gnolia 

Lire les commentaires (1)

Voir toutes les actualités



Les commentaires on été désactivés.