Le principe Noemi concept
Astuces informatiques
Webbuzz & Tech info
Noemi météo
Notions de Météo
Animation satellite
Mesure du taux radiation
NC Communication & Design
News Département Com
Portfolio
NC Print et Event
NC Video
Le département Edition
Les coups de coeur de Noemi
News Grande Région
News Finance France
Glance.lu
Une faille chez Google, est-ce possible ? C’est en tout cas ce qu’aurait découvert Laurent, un lecteur, qui m’a communiqué cette information étonnante hier, que je prends au conditionnel et avec moult précautions.
Sur le même sujet
Faille de sécurité Internet Explorer : quand l’Etat s’en mêle
Faille de sécurité sur Internet Explorer : Microsoft publie un patch plus vite que prévu
En fait la faille ne concernerait pas le domaine principal de Google mais l’url https://webcache.googleusercontent.com (qui pointe sur Google) rachetée en 2008 par Google pour stocker les pages en cache. Regardez : quand vous faites une recherche dans le cache de Google, c’est ce domaine qui retourne le résultat, sous la forme https://webcache.googleusercontent.com/search?q=votre-requete.
C’est ce domaine qui serait concerné par une faille XSS[1] : si vous saisissez la requête qui permet de détecter les failles XSS, à savoir « Bonjour<script>alert(‘XSS’);</script> » à la suite de l’url, ce qui donne https://webcache.googleusercontent.com/search?q=Bonjour<script>alert(‘XSS’);</script>, le navigateur ouvre une fenêtre d’alerte, ce qui démontrerait la présence de la faille. J’ai testé sur quatre navigateurs (Firefox, Safari, Chrome, Internet Explorer 8 et 9) et j’obtiens une page d’erreur ou une pop-up d’alerte (dans Internet Explorer), du coup je ne suis pas très avancé.
Comme mentionné dans ce précédent billet sur les failles de Facebook, une faille XSS peut permettre à des utilisateurs malveillants de récupérer des données confidentielles via les cookies, de rediriger des visiteurs sur des pages de phishing, et autres joyeusetés du même acabit.
N’étant pas expert en sécurité informatique, j’ignore quelles peuvent être les conséquences de cette faille et si celle-ci est déjà connue, et je m’en tiendrai donc aux faits. Je laisse aux spécialistes de la question le soin de donner leur point de vue et à Google, le cas échéant, de combler cette brèche.
Cependant après des tests sur plusieurs navigateurs je constate que ceux-ci protègent les sites des scripts malveillants quand on essaie de les exécuter avec cette commande donc je reste assez dubitatif sur la réalité de cette alerte. D’autre part, j’ai également contacté un expert en sécurité informatique, qui m’indique qu’il ne peut reproduire la faille, ce qui tendrait à prouver que soit elle n’existe pas, soit elle a déjà été corrigée depuis hier, soit c’est un fake.
Qu’en pensez-vous ?
[1]pour en savoir plus sur le XSS, le mieux est encore de commencer par ce bon vieux Wikipedia : https://fr.wikipedia.org/wiki/Cross-site_scripting
Articles sur le même sujet :
Article original écrit par Eric et publié sur Presse-Citron, le 11/11/2010. |
Lien direct vers cet article | © Presse-citron.net - 2010
NOUVEAU : Trouvez gratuitement un développeur / graphiste / référenceur freelance avec Codeur.com
Authors: Eric
mobileporn