[gull] messages en format texte svp
Marc Mongenet
Marc.Mongenet at freesurf.ch
Wed Jan 12 10:22:03 CET 2005
Félix Hauri wrote:
> On Tue, Jan 11, 2005 at 03:03:53PM +0100, Marc Mongenet wrote:
>
>>Mais je ne parlais que du cookie. Si le cookie n'est pas envoyé avec la
>>requête, le truc présenté par Marc Schaefer ne fonctionne pas.
>>
>
> Si!
>
> L'attaquant n'a aucun besoin du cookie!
>
> Le cookie n'est pas envoyé à un autre site que celui pour lequel il est prévu (le
> serveur webmin).
>
> C'est le bon navigateur, qui s'adresse au bon site!!!
>
> Le seul truc, c'est que l'initiateur de la requete n'est pas l'utilisateur mais
> une image cachée dans le code html qui déclanchera la requete à l'insu du plein
> gré de l'utilisateur!!!
>
> :-\
>
Oui mais comme je disais, si le cookie n'est pas envoyé (au serveur
Webmin), alors l'attaque ne fonctionne pas.
J'espère que les navigateurs n'envoient pas le cookie dans ce cas
(requête initiée par un document ne venant pas du serveur d'origine),
mais je n'en sais rien.
Marc Mongenet
More information about the gull
mailing list