Faille XSS sur Hadopi.fr, une négligence caractérisée bientôt corrigée
Faye
Une première faille vient d’être trouvée sur le site d’Hadopi.fr. « Le site Hadopi.fr étant sorti depuis quelques jours (enfin !) il était trop tentant de ne pas essayer de réitérer le message en cherchant de petites choses sur un site relativement bien sécurisé parce que tout en statique ! » explique Paul da Silva, nouveau...Une première faille vient d’être trouvée sur le site d’Hadopi.fr. « Le site Hadopi.fr étant sorti depuis quelques jours (enfin !) il était trop tentant de ne pas essayer de réitérer le message en cherchant de petites choses sur un site relativement bien sécurisé parce que tout en statique ! » explique Paul da Silva, nouveau représentant du Parti Pirate, pour qui « la négligence caractérisée est une belle fumisterie impossible, même pour une société comme Extelia », l'éditeur d'Hadopi.fr
L’intéressé pointe du coup une faille XSS (cross-site scripting) qui se nichait dans le formulaire de contact. Une faille « à peine exploitable » concède Paul da Silva qui permettait cependant de déclencher une alerte Javascipt. « En soi, ça ne présente aucun intérêt, mais il est possible de remplacer le code alert(1) par quelque chose de plus agressif (comme les fameux XSS de twitter il y a quelques jours) ». Conformément aux règles de l’art, la Hadopi a été avertie de cette « négligence caractérisée » et Hadopi a pris les devants pour corriger la faille : « on en revient donc à la solution ultime : pour sécuriser votre connexion débranchez votre box ! » (un conseil donné par le secrétaire général de l'autorité)
L’intéressé pointe du coup une faille XSS (cross-site scripting) qui se nichait dans le formulaire de contact. Une faille « à peine exploitable » concède Paul da Silva qui permettait cependant de déclencher une alerte Javascipt. « En soi, ça ne présente aucun intérêt, mais il est possible de remplacer le code alert(1) par quelque chose de plus agressif (comme les fameux XSS de twitter il y a quelques jours) ». Conformément aux règles de l’art, la Hadopi a été avertie de cette « négligence caractérisée » et Hadopi a pris les devants pour corriger la faille : « on en revient donc à la solution ultime : pour sécuriser votre connexion débranchez votre box ! » (un conseil donné par le secrétaire général de l'autorité)
Le 4 octobre 2010 à 10:51
(31 215
lectures)
Soutenez l'indépendance de PC INpact en devenant Premium
- Tout le contenu de PC INpact sans pub
- Et bien plus encore...
Il y a 76 commentaires
INpactien
Hadopi et ses menbres 
INpactien
cid_Dileezer_geek
Le lundi 4 octobre 2010 à 10:55:27
#2
Inscrit
le lundi 16 mars 09
-
10312
commentaires
Y a pas à dire, l'Hadopi c'est vraiment, mais vraiment sécurisant.... 
INpactien
Ils s'en foutent, ils sont très bien payés et indéboulonnables.
INpactien
Une petite faille pour l'Hadopi et un grand pas pour l'Etat.
INpactien
Mais, débranchez les 
INpactien
ils vont recevoir un mail ADO_PIE pour ne pas avoir sécuriser leurs formulaire 
INpactien
Je vais les aider, faut utiliser la fonction htmlentities
INpactien
barbapoupa
Le lundi 4 octobre 2010 à 11:22:17
#8
Inscrit
le mercredi 11 juillet 07
-
1355
commentaires
INpactien
La "négligence caractérisée" c'est en FAIT le fait d'être visible de TMG et donc de la halte au pis.
Vous n'êtes pas visible, vous êtes protégé !
Sortez couvert !
db
Vous n'êtes pas visible, vous êtes protégé !
Sortez couvert !
db
INpactien
Chiche, on leur coupe leur hébergement pour négligence caractérisée! 
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Insolite : un designer fâché par le diaporama hideux de PRISM
(42)
Leçon de présentation -
L'agent Ma-Config mis à jour pour se débarrasser de certains soucis
(14)
Fini les blocages avec certains antivirus -
Paul Thurrott affirme que Windows 8.1 sera disponible le 1er août
(12)
Un bêta test qui serait donc très court -
iTunes 11.0.4 remet à l'honneur les pochettes d'albums
(7)
Fini les demandes intempestives...
Comment profiter du nouveau Google Maps sans invitation
Les chats gouvernent Internet, cela passe donc par les cookies
-
99,90 € pour un disque dur Toshiba de 3 To en S-ATA 6 Gb/s
Valable jusqu'au 20 juin -
Une GeForce GTX 680 avec le jeu Metro Last Light pour 299,90 €
Valable jusqu'au 21 juin -
Un iPad 2 blanc de 16 Go pour 349 €
Valable jusqu'au 23 juin -
DVD, Blu-ray et série TV : 45 € de réduction à partir de 90 € d'achat
Valable jusqu'au 14 juillet
