S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Faille XSS sur Hadopi.fr, une négligence caractérisée bientôt corrigée

Faye

Une première faille vient d’être trouvée sur le site d’Hadopi.fr. « Le site Hadopi.fr étant sorti depuis quelques jours (enfin !) il était trop tentant de ne pas essayer de réitérer le message en cherchant de petites choses sur un site relativement bien sécurisé parce que tout en statique ! » explique Paul da Silva, nouveau représentant du Parti Pirate, pour qui  « la négligence caractérisée est une belle fumisterie impossible, même pour une société comme Extelia  », l'éditeur d'Hadopi.fr

hadopi

L’intéressé pointe du coup une faille XSS (cross-site scripting) qui se nichait dans le formulaire de contact. Une faille « à peine exploitable » concède Paul da Silva qui permettait cependant de déclencher une alerte Javascipt. « En soi, ça ne présente aucun intérêt, mais il est possible de remplacer le code alert(1) par quelque chose de plus agressif (comme les fameux XSS de twitter il y a quelques jours) ». Conformément aux règles de l’art, la Hadopi a été avertie de cette « négligence caractérisée » et Hadopi a pris les devants pour corriger la faille : « on en revient donc à la solution ultime : pour sécuriser votre connexion débranchez votre box ! » (un conseil donné par le secrétaire général de l'autorité)

hadopi formulaire 

Marc Rees

Journaliste, rédacteur en chef

Publiée le 04/10/2010 à 10:51

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 76 commentaires

Avatar de DocMaboul INpactien
DocMaboul Le lundi 4 octobre 2010 à 10:54:13
Inscrit le mardi 3 août 10 - 1282 commentaires
Hadopi et ses menbres bouletdujour.gif
Avatar de cid_Dileezer_geek INpactien
cid_Dileezer_geek Le lundi 4 octobre 2010 à 10:55:27
Inscrit le lundi 16 mars 09 - 11557 commentaires
Y a pas à dire, l'Hadopi c'est vraiment, mais vraiment sécurisant....
Avatar de hophop1 INpactien
hophop1 Le lundi 4 octobre 2010 à 11:02:11
Inscrit le lundi 17 mai 10 - 3 commentaires
Ils s'en foutent, ils sont très bien payés et indéboulonnables.
Avatar de mgt76 INpactien
mgt76 Le lundi 4 octobre 2010 à 11:07:03
Inscrit le jeudi 22 avril 10 - 13 commentaires
Une petite faille pour l'Hadopi et un grand pas pour l'Etat.
Avatar de Pinkers INpactien
Pinkers Le lundi 4 octobre 2010 à 11:07:31
Inscrit le jeudi 12 juin 08 - 123 commentaires
Mais, débranchez les
Avatar de Manu114 INpactien
Manu114 Le lundi 4 octobre 2010 à 11:07:54
Inscrit le lundi 3 mai 10 - 603 commentaires
ils vont recevoir un mail ADO_PIE pour ne pas avoir sécuriser leurs formulaire
Avatar de Ar-no INpactien
Ar-no Le lundi 4 octobre 2010 à 11:21:32
Inscrit le lundi 12 mai 08 - 840 commentaires
Je vais les aider, faut utiliser la fonction htmlentities
Avatar de barbapoupa INpactien
barbapoupa Le lundi 4 octobre 2010 à 11:22:17
Inscrit le mercredi 11 juillet 07 - 1355 commentaires
Avatar de Gourmet INpactien
Gourmet Le lundi 4 octobre 2010 à 11:24:01
Inscrit le mercredi 22 février 06 - 1363 commentaires
La "négligence caractérisée" c'est en FAIT le fait d'être visible de TMG et donc de la halte au pis.
Vous n'êtes pas visible, vous êtes protégé !
Sortez couvert !

db
Avatar de Penegal INpactien
Penegal Le lundi 4 octobre 2010 à 11:26:05
Inscrit le mercredi 1 avril 09 - 288 commentaires
Chiche, on leur coupe leur hébergement pour négligence caractérisée! devil.gif
;