Mercredi 27 Novembre 2024
taille du texte
   
Jeudi, 11 Novembre 2010 13:22

Une faille de sécurité XSS dans le cache de Google : info ou intox ?

Rate this item
(0 Votes)
ou intox ?" alt="Une faille de sécurité XSS dans le cache de Google : info ou intox ?">

Une faille chez Google, est-ce possible ? C’est en tout cas ce qu’aurait découvert Laurent, un lecteur, qui m’a communiqué cette information étonnante hier, que je prends au conditionnel et avec moult précautions.

Une faille de sécurité XSS dans le cache de Google : info ou intox ?

En fait la faille ne concernerait pas le domaine principal de Google mais l’url https://webcache.googleusercontent.com (qui pointe sur Google) rachetée en 2008 par Google pour stocker les pages en cache. Regardez  : quand vous faites une recherche dans le cache de Google, c’est ce domaine qui retourne le résultat, sous la forme https://webcache.googleusercontent.com/search?q=votre-requete.

C’est ce domaine qui serait concerné par une faille XSS[1] : si vous saisissez la requête qui permet de détecter les failles XSS, à savoir « Bonjour<script>alert(‘XSS’);</script> » à la suite de l’url, ce qui donne https://webcache.googleusercontent.com/search?q=Bonjour<script>alert(‘XSS’);</script>, le navigateur ouvre une fenêtre d’alerte, ce qui démontrerait la présence de la faille. J’ai testé sur quatre navigateurs (Firefox, Safari, Chrome, Internet Explorer 8 et 9) et j’obtiens une page d’erreur ou une pop-up d’alerte (dans Internet Explorer), du coup je ne suis pas très avancé.

Comme mentionné dans ce précédent billet sur les failles de Facebook, une faille XSS peut permettre à des utilisateurs malveillants de récupérer des données confidentielles via les cookies, de rediriger des visiteurs sur des pages de phishing, et autres joyeusetés du même acabit.

N’étant pas expert en sécurité informatique, j’ignore quelles peuvent être les conséquences de cette faille et si celle-ci est déjà connue, et je m’en tiendrai donc aux faits. Je laisse aux spécialistes de la question le soin de donner leur point de vue et à Google, le cas échéant, de combler cette brèche.

Cependant après des tests sur plusieurs navigateurs je constate que ceux-ci protègent les sites des scripts malveillants quand on essaie de les exécuter avec cette commande donc je reste assez dubitatif sur la réalité de cette alerte. D’autre part, j’ai également contacté un expert en sécurité informatique, qui m’indique qu’il ne peut reproduire la faille, ce qui tendrait à prouver que soit elle n’existe pas, soit elle a déjà été corrigée depuis hier, soit c’est un fake.

Qu’en pensez-vous ?

[1]pour en savoir plus sur le XSS, le mieux est encore de commencer par ce bon vieux Wikipedia : https://fr.wikipedia.org/wiki/Cross-site_scripting

Articles sur le même sujet :


Article original écrit par Eric et publié sur Presse-Citron, le 11/11/2010. | Lien direct vers cet article | © Presse-citron.net - 2010
NOUVEAU : Trouvez gratuitement un développeur / graphiste / référenceur freelance avec Codeur.com

image
image

image

Authors: Eric

pour en savoir plus...

French (Fr)English (United Kingdom)

Parmi nos clients

mobileporn