PUBLIC MARKS with tag https

Set-Cookie Secure, Set-Cookie HttpOnly, X-Content-Type-Options, X-Frame-Options, X-XSS-Protection

Présenté à la Toorcon et développé par Eric Butler, Firesheep est une extension pour Firefox qui permet de sniffer sur le réseau local, les sessions HTTP non chiffrées qui transitent sur le réseau, permettant ainsi aux petits malins d’accèder directement à vos comptes Google, Twitter, Facebook, Flickr, Amazon, bit.ly, Yahoo, WordPress,…etc sans avoir à se logger. Méfiance donc dans vos écoles et entreprises… La faute de tous ces sites qui ne sécurisent pas en HTTPS l’intégralité de leurs échanges, se contentant juste de chiffrer la partie de login, oubliant bêtement l’accès non chiffré au cookie. Mais pas de panique !!! Il est possible de vous protéger en forçant un chiffrement de A à Z de votre connexion avec ces sites web : Installer l’extension ForceTLS disponible chez Mozilla et pour Firefox. Après un peu de config pour spécifier quels sont les sites dont vous voulez forcer le passage en HTTPS, vous serez protégé !

Explication d'un problème de sécurité : un CA racine peut distribuer des certificats intermédiaires permettant aux organisations de substituer les certificats et déchiffrer le traffic HTTPS. La solution pour le détecter : utiliser des extensions comme CertPatrol.

Pour cela l’extension va contrôler la validité des certificats lors de la connexion à une page HTTPS. Lorsque Perspectives détecte un certificat auto-signé, une alerte est aussitôt émise afin d’éviter à l’internaute de saisir des données. Des pirates peuvent toutefois abuser des autorités de certification. Le plugin peut dans certains cas détecter ces malveillances ou des situations suspicieuses.

"an extension to the popular Firefox browser that contacts network notaries whenever your browser connects an HTTPS website"

To move forward, we first need to acknowledge that the current HTTPS SSL mechanism is completely broken.

Permet de voir toutes les requêtes HTTP/HTTPS envoyées par votre navigateur (y compris par les plugins comme Flash)__How to hack a final price and pay what you want for a product __To view and modify HTTP/HTTPS headers and post parameters. Trace and time http response/requests___How do you use tamper data on AW surveys without getting flagged?__To hack flash game scores Video on AOL Video - This is a video tutorial explaining how to__Observing Live Response Headers with TamperData.