[gull] messages en format texte svp
Félix Hauri
felix at f-hauri.ch
Thu Jan 13 22:34:01 CET 2005
On Wed, Jan 12, 2005 at 11:18:48AM +0100, Leopoldo Ghielmetti wrote:
> > >...
> > > L'attaquant n'a aucun besoin du cookie!
> ...
> Au fond un cookie est envoyé (ou reçu) si quelqu'un en fait la requête,
> et même en les limitant à leurs sites créateurs ça n'empêcherait pas à
> webmin d'en faire la requête et de l'obtenir en tant que cookie valide
> (puisqu'il serait validé car généré par le site webmin lui même).
>
> Si j'ai bien compris les opérations sont les suivantes:
> - accès au webmin local
> - webmin stocke un coockie local
> - accès au site "pirate"
Stop non! Justement, il était question simplement d'ouvrir un mail html
avec un outil ``jumellé'' au navigateur web précédement utilisé et encore
ouvert.
> - le site "pirate" inclut un lien sur le webmin local
Et donc, le mail html contient un lien...
> - le brower envoie la requête au webmin
> - le webmin demande le cookie
> - le browser controle que le site demandeur (webmin) à bien le droit de
> lire le cookie (généré par webmin lui même). réponse: Oui
> - le browser envoie le cookie au webmin
Le reste colle ;-)
> La seule solution serait de fermer le browser pour invalider le cookie
> (en supposant que le cookie lui même soit invalidé par la fermeture du
> browser).
Oui, cela signifie ``fermer le navigateur AVANT de *recevoir* un mail''
Autant dire impossible sans renoncer à un certain confort installé ;-)
> P.S.: je ne suis pas un expert du web,
Pour être ``expert'', il te suffit d'en connaitre 5% de plus
que ton interlocuteur direct;-)
> celles que j'ai fait ici sont uniquement des suppositions logiques basées sur ce
> que je sais sur le fonctionnement du web et des browsers.
C'est comme cela qu'on progresse!
Pour ma part, j'utilise ``mutt'' (qui remplace ``pine'' depuis peu) pour manipuler
mes mails. Il m'arrive même d'utiliser ``mail'' dans certains cas. D'ailleur les
couriels qui me parviennent en html uniquement me sont pénible à lire, je ne les
lis qu'exceptionnellement, parfois à travers ``html2text'' ou ``lynx -dump'' si
vraiement ils me paraissent intéressant (très rare).
--
Félix Hauri - <felix at f-hauri.ch> - http://www.f-hauri.ch
More information about the gull
mailing list