Index du Forum




 FAQFAQ   RechercherRechercher   MembresMembres   GroupesGroupes   S’enregistrerS’enregistrer 
 ProfilProfil   Se connecter pour vérifier ses messages privésSe connecter pour vérifier ses messages privés   ConnexionConnexion 

les petits bisqcuits....

 
Poster un nouveau sujet   Répondre au sujet     Index du Forum -> LES DISCUSSIONS -> les articles de presse
Sujet précédent :: Sujet suivant  
Auteur Message
Duret


Hors ligne

Inscrit le: 07 Sep 2012
Messages: 383
moto: 125 shadow
Masculin

MessagePosté le: Mer 4 Déc - 08:41 (2013)    Sujet du message: les petits bisqcuits.... Répondre en citant

Les cookies et le protocole web HTTP et HTTPS.
Je vais donc commencer par expliquer plus longuement ce qu'est cette technologie, la faille qui peut être exploitée et comment s'en protéger.

Lorsque vous accédez à un site web, à la base, il n'est pas possible pour le serveur de vous distinguer d'un autre utilisateur. Vous ne pouvez pas sauvegarder vos préférences, votre panier d'achats, etc. C'est pour cela que les cookies existent.
Ces derniers sont des valeurs qui sont enregistrées dans votre navigateur et qui sont envoyées au serveur web à chaque requête. Ainsi, il est possible d'enregistrer des paramètres tels: langue = français, couleur_thème = bleu, articles_panier = chaussettes, etc.
Par contre, en temps normal, la majorité des informations vous concernant sont enregistrées dans la base de données du service que vous utilisez. C'est pourquoi qu'en pratique, lorsque vous entrez votre nom d'utilisateur et votre mot de passe, un seul cookie sera créé dans votre navigateur et il ressemblera à session = 847f664873.
En envoyant cet identifiant de session à chacune de vos requêtes, le serveur sait
qui vous êtes et tout ce qui vous appartient.
De plus, les cookies ne sont envoyés qu'au serveur qui les a émis. Il n'est donc pas possible pour Google de connaitre vos cookies Facebook et vice-versa.
Le problème ici, c'est que la valeur est envoyée à chaque requête au serveur et que si la connexion n'est pas cryptée par HTTPS et que votre réseau n'est pas sécuritaire  alors cette valeur de session peut être copiée sur le navigateur de l'attaquant et il aura accès au site en tant que vous sans avoir à connaitre votre nom d'utilisateur et mot de passe. C'est autant plus déconcertant dans le cas de sites très connus qui laissent les utilisateurs s'authentifier via HTTPS, mais qu'ensuite sont renvoyés sur HTTP avec un simple cookie de session.

Si vous désirez voir à quel point il peut être simple de voler ces cookies, allez voir l'extension Firefox du nom de Firesheep qui permet de capturer tous les cookies vus sur le réseau.

La seule méthode pour se protéger ne dépend malheureusement pas seulement des utilisateurs, mais plutôt des serveurs web puisqu'ils doivent activer le protocole HTTPS pas seulement lors de la connexion, mais durant toute la durée de l'utilisation. D'ailleurs, récemment, plusieurs gros acteurs tels Facebook et Twitter ont modifié leur service pour être utilisés entièrement sur HTTPS. C'est donc un bon pas en avant pour contrer ce type d'attaque.

vu sur la toile
Revenir en haut
Publicité






MessagePosté le: Mer 4 Déc - 08:41 (2013)    Sujet du message: Publicité

PublicitéSupprimer les publicités ?
Revenir en haut
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet     Index du Forum -> LES DISCUSSIONS -> les articles de presse Toutes les heures sont au format GMT + 1 Heure
Page 1 sur 1

 
Sauter vers:  

Index | Creer un forum | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Powered by phpBB © 2001, 2005 phpBB Group
Traduction par : phpBB-fr.com