Commentaires sur : La loi Hadopi mise à mal par freewifi ? http://blog.jesuislibre.org/2009/06/la-loi-hadopi-mise-a-mal-par-freewifi/ Une famille complètement geek Fri, 04 Nov 2011 11:16:42 +0000 hourly 1 Par : bluetouff http://blog.jesuislibre.org/2009/06/la-loi-hadopi-mise-a-mal-par-freewifi/comment-page-1/#comment-26 bluetouff Mon, 29 Jun 2009 22:11:01 +0000 http://blog.jesuislibre.org/?p=275#comment-26 <a href="#comment-22" rel="nofollow">@moule</a> Arp Poisonning avec Ettercap par exemple. Le concept est d'envoyer un faux certificat (très facile de l'accepter quand on a un navigateur de merde comme 65% des internautes et qu'on est un peu distrait comme 99% des internautes) ... c'est une technique très efficace et peu de gens font gaffe à voir si le certificat est signé par un tiers de confiance. @moule
Arp Poisonning avec Ettercap par exemple.
Le concept est d’envoyer un faux certificat (très facile de l’accepter quand on a un navigateur de merde comme 65% des internautes et qu’on est un peu distrait comme 99% des internautes) … c’est une technique très efficace et peu de gens font gaffe à voir si le certificat est signé par un tiers de confiance.

]]> Par : b_adele http://blog.jesuislibre.org/2009/06/la-loi-hadopi-mise-a-mal-par-freewifi/comment-page-1/#comment-25 b_adele Fri, 05 Jun 2009 17:30:26 +0000 http://blog.jesuislibre.org/?p=275#comment-25 <a href="#comment-23" rel="nofollow">@nyquist</a> C'est justement le problème avec le https, c'est qu'on lui fait trop confiance, car il est juste la pour crypter et certifier que la page n'a pas été altérée entre le serveur et le client, mais si on arrive à faire du XSS, cette page sera considéré comme valide. Voici un exemple de XSS avec le site paypal, l'attaquant est arrivé à afficher un message javascript et pourtant le site est considéré comme sûr ( barre d'adresse verte + cadenas). http://news.netcraft.com/archives/2008/05/16/paypal_xss_vulnerability_undermines_ev_ssl_security.html Un autre lien http://www.nexen.net/actualites/securite/18147-ssl_ne_peut_rien_contre_les_xss.php @nyquist
C’est justement le problème avec le https, c’est qu’on lui fait trop confiance, car il est juste la pour crypter et certifier que la page n’a pas été altérée entre le serveur et le client, mais si on arrive à faire du XSS, cette page sera considéré comme valide.

Voici un exemple de XSS avec le site paypal, l’attaquant est arrivé à afficher un message javascript et pourtant le site est considéré comme sûr ( barre d’adresse verte + cadenas).

http://news.netcraft.com/archives/2008/05/16/paypal_xss_vulnerability_undermines_ev_ssl_security.html

Un autre lien
http://www.nexen.net/actualites/securite/18147-ssl_ne_peut_rien_contre_les_xss.php

]]> Par : nyquist http://blog.jesuislibre.org/2009/06/la-loi-hadopi-mise-a-mal-par-freewifi/comment-page-1/#comment-23 nyquist Fri, 05 Jun 2009 14:58:39 +0000 http://blog.jesuislibre.org/?p=275#comment-23 J'espère quand même que le site de free sera en https et signé par un certificat validé par une autorité reconnu. Je ne connais pas la technique du Cross Site Scripting (XSS) + iframe. Mais j'espere que la méthode certificat + https n'est pas sensible a ce genre d'attaque. J’espère quand même que le site de free sera en https et signé par un certificat validé par une autorité reconnu.
Je ne connais pas la technique du Cross Site Scripting (XSS) + iframe. Mais j’espere que la méthode certificat + https n’est pas sensible a ce genre d’attaque.

]]> Par : moule http://blog.jesuislibre.org/2009/06/la-loi-hadopi-mise-a-mal-par-freewifi/comment-page-1/#comment-22 moule Fri, 05 Jun 2009 14:10:30 +0000 http://blog.jesuislibre.org/?p=275#comment-22 Faudra m'expliquer comment tu fais pour avoir le certificat privé de free pour faire du man-in-the-middle avec https Faudra m’expliquer comment tu fais pour avoir le certificat privé de free pour faire du man-in-the-middle avec https

]]>