Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Myki

Les effets seconds du dernier patch pour Internet

Messages recommandés

Les effets seconds du dernier patch pour Internet Explorer

Par Christophe Guillemin

ZDNet France

Jeudi 5 février 2004

 

Le correctif de Microsoft pour son navigateur supprime une fonction qui permet de s'authentifier facilement sur un site à l'accès protégé. Trop peu fiable, clame l’éditeur. Les développeurs déplorent de se voir imposer des choix de sécurité sans être informés.

 

En corrigeant, mardi 2 février, une faille de sécurité du navigateur Internet Explorer au niveau du traitement des URL, Microsoft a fait un choix technique contesté puisqu'il bloque désormais l'accès à certains sites internet.

 

Dès le lendemain, des utilisateurs ont constaté qu'ils ne peuvaient plus s'identifier sur des sites à l'accès protégé. «Nous avons eu un nombre croissant d'utilisateurs se plaignant de ne plus pouvoir accéder aux contenus et aux ressources pour lesquelles ils avaient payé», explique à notre rédaction britannique un responsable d'un site pour adultes. 

 

Microsoft confirme que le correctif modifie Internet Explorer en supprimant une fonction d'authentification. «Comme cela est indiqué dans le descriptif  du patch, il supprime le support par le navigateur de certaines adresses utilisées dans les dispositifs d'authentification basiques», indique à ZDNet Cyril Voisin, chef de programme sécurité de Microsoft France.

 

Pour la sécurité de l'utilisateur, répond Microsoft

 

Concrètement, il s'agit des adresses avec la syntaxe suivante: "http(s)://nomd'utilisateur:motdepasse@server/resource.ext", peut-on lire dans le descriptif du correctif. Elles sont utilisées pour se connecter facilement à un site protégé sans avoir à entrer son mode de passe et son nom d'utilisateur; ces informations sont intégrées directement dans l'URL. Le serveur lit directement les données dans l'adresse qu'il compare avec sa base d'abonnés.

 

«Ce système est très peu utilisé et n'est pas autorisé dans les spécifications du protocole HTTP», précise le responsable de Microsoft. «Nous avons choisi de supprimer cette fonction pour améliorer la sécurité du navigateur et protéger les données personnelles de l'internaute. Ce système [d'authentification] pose en effet des problèmes de confidentialité puisqu'il laisse en clair l'identifiant et le mot de passe.»

 

Reste que les développeurs déplorent que Microsoft impose sa décision sans suffisamment prévenir l'utilisateur. «Le changement est très soudain, vous venez un jour et votre système ne fonctionne plus, uniquement parce que Microsoft a estimé qu'il n'était pas assez sécurisé», commente pour notre rédaction américaine Brad Aisa, architecte en chef d'Angus Systems, éditeur de logiciels de maintenance. «Il devrait y avoir pour cela un système d'"opt-in" (principe selon lequel l'utilisateur doit donner son consentement, Ndlr)», conclut-il.

 

Avec Munir Kotadia de ZDNet UK et Robert Lemos de CNET News.com

 

Source ZDnet

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×