Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Bonjour,

 

Màj NoScript pour Firefox 2.0 : V. 1.1.4.9.070623 "The XSS Punisher"

 

http://noscript.net/

 

Anti-XSS protection

 

Cross-Site Scripting (XSS) vulnerabilities are usually programming errors made by web developers, which allow an attacker to inject his own malicious code from a certain site into a different site. They can be used, for instance, to steal your authentication credentials and, more in general, to impersonate you on the victim site (e.g. your online banking or your web mail).

 

This kind of vulnerability, often overlooked, is very widespread and becoming highly popular among hackers: someone even bothered to write a JavaScript-based bot, called Jikto, turning your browser into a zombie which relentlessly sends automated XSS attacks all around. Of course this tool has been built "for research purpose", but its code unfortunately appears to be leaked in the wild, so anybody can take advantage of it, now...

...

Whenever a non-trusted site tries to inject JavaScript code inside a trusted (whitelisted and JavaScript enabled) site, NoScript filters the malicious request neutralizing its dangerous load.

http://noscript.net/features#xss

(traduction AltaVista, améliorée par mes soins)
Les vulnérabilités de Cross-Site Scripting (XSS) sont habituellement des erreurs de programmation faites par les réalisateurs de site, qui permettent à un attaquant d'injecter son propre code malveillant d'un certain site dans un site différent. Elles peuvent être employées, par exemple, pour voler vos données d'authentification et, plus en général, pour vous personnifier sur l'emplacement de victime (par exemple vos opérations bancaires en ligne ou votre courrier mail).

 

Ce genre de vulnérabilité, souvent négligé, est très répandu et devenant fortement populaire parmi les hacker : quelqu'un même pris la peine pour écrire un BOT Javascript-basé, appelé Jikto, transformant votre navigateur en PC zombie qui lance ensuite de lui-même des attaques XSS automatisé. Naturellement cet outil a été construit "pour le but de recherches", mais son code semble malheureusement s'être perdu dans la nature, ainsi quiconque peut tirer profit de lui, maintenant...

...

Chaque fois qu'un site de "non-confiance" essaye d'injecter le code de Javascript à l'intérieur (liste blanche et Javascript activés) d'un site de confiance, NoScript filtre la demande malveillante neutralisant la tentative d'injection.

...

http://www.babelfish.altavista.com/tr

Amicalement.

Posté(e) (modifié)
:P horus.
:P Salut Vercingétorix II !

 

Va demander à Pirlouy sur Geckzone ce qu'il pense de NoScript, il te dira que, pour un débutant, NoScript peut être "plus dangereux qu'un spyware" (?? J'ai recherché le post ou il me semble que Pirlouy avait écrit cela, presque une heure de recherche sans rien retrouver, je suis persuadé d'avoir lu cela, mais j'en douterais presque maintenant :P ) ...:P Dommage que sur Geck il ne semble guère apprécier la sécurité, j'ai eu droit à quelques bonnes branlées, mais, t'inquiète, je ne me soumets pas :P Dommage pour un site entièrement dédié aux produits de la fondation Mozilla !

 

Amicalement.

Modifié par horus agressor
Posté(e)

Dommage, je trouve aussi NoScript très utile, et elle est installé depuis un moment sur mon Firefox de service.

Un débutant sachant lire un mini tuto saura l'utiliser et piger son fonctionnement en 2 minutes, ce n'est pas sorcier, par défaut on bloque tout au début. Reste à autoriser les sites de confiance (ou qui ont besoin du javascript, et c'est là qu'est le problème en fait, il ne faut pas finir par tout autoriser), et utiliser l'autorisation temporaire pour des consultations ponctuelles.

 

Pour les youtube et autres sites à flash, javascript est utilisé pour détecter la version du plugin flash. Aussi agaçant qu'un spyware... :P

Posté(e)
Va demander à Pirlouy sur Geckzone ce qu'il pense de NoScript, il te dira que, pour un débutant, NoScript peut être "plus dangereux qu'un spyware" (dixit) .

 

 

Noooon!!

 

Mets le lien vers son post STP!

 

Merci Horus!

Posté(e) (modifié)
Noooon!!

 

Mets le lien vers son post STP!

Salut Ogu !

 

J'ai rectifié mon post précédent en y rajoutant : (?? J'ai recherché le post où il me semble que Pirlouy avait écrit cela, presque une heure de recherche sans rien retrouver, je suis persuadé d'avoir lu cela, mais j'en douterais presque maintenant :P )...

 

Sinon, il y cela à te mettre sous la dent. Excellent de voir Pirlouy lutter seul contre presque tous les modo(e)s de Geck :

 

NoScript, réservé aux paranoïaques ? http://www.geckozone.org/forum/viewtopic.php?t=52751 par Pirlouy qui essaie de casser la baraque NoScript...

et

NoScript c'est bien mais... http://www.geckozone.org/forum/viewtopic.php?t=36398 , entre autre...

 

Amicalement.

Modifié par horus agressor
Posté(e)

Salut horus,

Intéressant tes liens :P

Je ne change pas d'avis concernant NoScript. Son utilisation n'est quand même pas si compliquée.

Amicalement.

Posté(e)
...Je ne change pas d'avis concernant NoScript. Son utilisation n'est quand même pas si compliquée...
Salut Sage Gaulois !

 

Demande à Pirlouy sur Geck si tu veux en savoir plus sur NoScript ! :P

 

Amicalement.

  • 6 mois après...
Posté(e) (modifié)

Bonjour !

 

Nouvelle màj de NoScript, "Merry XssMas" :P :

 

noscriptmjchristmaswe3.jpg

( http://noscript.net/ )

 

Celle-ci sont assez fréquentes et le temps de réaction est excellent par rapport à l'évolution des vulnérabilités sous Firefox.

 

Extension indispensable à mon avis !

 

Pensez à faire Outils, Modules Complémentaires, Recherche de Mises à Jour et relancer Firefox une fois les màj effectuées ! Utiles pour mettre à jour toutes vos extensions.

 

Voir aussi, dans les Options de NoScript (clique-droit sur l'icône en bas à droite de Firefox), l'onglet Greffons :

 

20071225210905ek2.jpg

 

Sacles en parlait dans un de ses post récents :P

 

Amicalement et Joyeux Noël !

Modifié par horus agressor
  • 2 semaines après...

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...