[gull] messages en format texte svp
Marc Mongenet
Marc.Mongenet at freesurf.ch
Wed Jan 12 13:00:04 CET 2005
Marc SCHAEFER wrote:
> On Wed, Jan 12, 2005 at 10:21:38AM +0100, Marc Mongenet wrote:
>
>>Oui mais comme je disais, si le cookie n'est pas envoyé (au serveur
>>Webmin), alors l'attaque ne fonctionne pas.
>
>
> Et qu'en est-il de auth/basic ?
Bonne question. :-)
Il me semble que la restriction dont nous discutons à propos des cookies
a surtout été implémentée pour empêcher (en fait ça ne fait que géner,
un peu) l'espionnage par des sites tiers (publicitaires).
Or auth/basic ne semble pas utilisable pour ce genre d'espionnage, sauf
à demander à chaque visiteur d'entrer un nom et un mot de passe...
Donc je pense que les données d'identification auth/basic sont toujours
envoyées avec les requêtes. Donc exploitables par ce genre d'attaque.
En tout cas je n'ai jamais lu de considérations sur ce problème de
sécurité avec auth/basic. J'ai regardé le RFC 2617, ce problème semble
également avoir été ignoré (il faut dire qu'il est de plus haut niveau
que HTTP).
Marc Mongenet
More information about the gull
mailing list