2010
Wargan Solutions: Dossier: Facebook - Multiples vulnérabilités au sein du réseau social
...ou comment deux failles sur Facebook permettaient de récupérer l’intégralité des données personnelles des utilisateurs mais également de modifier et de détruire leur profil. Facebook souffrait jusqu’à la semaine dernière d’une série de failles de type XSS et CSRF découvertes par notre équipe. Situées pour la plupart sur les versions mobiles de Facebook (m.facebook.com et touch.facebook.com), ces failles pouvaient être utilisées pour lancer des attaques extrêmement dangereuses pour les données des utilisateurs. Nous avons élaboré un scénario au cours duquel un attaquant pouvait, au moyen d’une simple application Facebook, créer un véritable ver tirant partie de ces failles pour se propager et causer des dégâts importants sur les comptes des utilisateurs
2009
Mozilla demande aux développeurs de participer à la protection du web - Alsacréations
by 1 other (via)La Content Security Policy (CSP) consiste en une en-tête HTTP nommée X-Content-Security-Policy renvoyé par le serveur et pouvant accepter différentes valeurs. Le but étant d'empêcher le chargement d'image, de script distant non-autorisé ou l'exécution de certaines fonctions JavaScript. Tout un panel d'options est disponible dans le cahier des spécifications des SCP (en). Ce système n'affectera pas les navigateurs ne supportant pas la directive X-Content-Security-Policy.
Carrefour, client d'Extelia, victime collatérale de l'Hadopi - Numerama
by 1 otherIl ne fait pas bon être prestataire autour de l'Hadopi. L'hébergeur du site de propagande du ministère de la culture s'en souvient encore. La société Extelia, filiale de la Poste choisie par le ministère de la Culture pour mettre en oeuvre la gestion des avertissements et sanctions de l'Hadopi, fait le bonheur des hackers en herbe. Elle a dû ajouter en urgence quelques rustines à son site Internet mercredi, après que des failles de sécurité ont été dévoilées qui permettaient d'accéder notamment au fichier d'abonnés de la newsletter d'Extelia ou de modifier ses pages. Des failles particulièrement risibles lorsque l'on sait que l'Hadopi devra sanctionner les abonnés à Internet qui ne sécurisent pas suffisamment bien leur accès à Internet. Ou effrayantes lorsque l'on voit que la société gère aussi des services de vote électronique.
