NoScript de Firefox mis à jour pour bloquer le « clickjacking »
la rédaction, publié le 9 octobre 2008
Tags: sécurité, piratage, éventuelles, pirate, insu, bloquer, clickjacking, gecko
L'extension NoScript de Firefox a été mise à jour pour bloquer les éventuelles tentatives de clickjacking (ou détournement de clics) venant d'un site malveillant. D'après Giorgio Maone, l'auteur de l'extension NoScript, la version 1.8.2.1 stoppe tous les scripts pouvant permettre à un utilisateur distant de prendre le contrôle d'une machine via son navigateur web.
Rappelons que le clickjacking est une menace qui touche tous les navigateurs et qui permet à un pirate de détourner les clics de l'utilisateur d'un PC à son insu.
Baptisée Clearclick (et téléchargeable ici), cette extension est destinée à Firefox (à partir de la version 1.5.0.6) ; elle devrait aussi fonctionner avec d'autres navigateurs basés sur le moteur Gecko 1.8.0.6 et ultérieur, même si son auteur avoue ne pas les avoir tous testés. En revanche, les utilisateurs d'Internet Explorer et d'autres navigateurs web restent donc vulnérables aux tentatives de clickjacking
Par la rédaction, ZDNet France
À propos de cet article
Publié le jeudi 9 octobre 2008 dans Informatique
Tags: Sécurité, Piratage
Suivre les commentaires de cet article
Dernier commentaire: 10 octobre 2008 par pseudoooo
Réagissez
-
#1 - par alcapone342 (ajouter à mes contacts
) le 09/10/2008C'est nul ça une extension censée corriger une faille d'un navigateur ???
Donc si t'as pas l'extension tu es toujours vulnérable .. je vois pas l'interêtsignaler au modérateur répondre
-
#1.1 - par Koxinga (ajouter à mes contacts
) le 09/10/2008Faille plus facile a colmater par une extension, peut etre. Les developpeurs de NoScript ont été plus réactifs.
-
#1.2 - par geocalc (ajouter à mes contacts
) le 09/10/2008c'est nul y a rien pour ton ie cheri !
-
#1.3 - par znet.twenty.anomail@antichef.net (ajouter à mes contacts
) le 09/10/2008Évidemment ce n'est pas parfait mais je suppose que c'est en attendant mieux.
Et pour les autres navigateurs, il y a une solution, là, tout des suite, maintenant ? -
#1.4 - par Grunt (ajouter à mes contacts
) le 09/10/2008Virer Flash et désactiver les Javascript?
Ou mieux, ne pas cliquer du tout sur les pages Web. Voire ne pas surfer. -
#1.5 - par PSEUDOROHH (ajouter à mes contacts
) le 09/10/2008Franchement ... tout est relatif ...
-
#1.6 - par alcapone342 (ajouter à mes contacts
) le 09/10/2008désactiver javascript ne sert à rien et je n'utilise ie que quand je n'ai pas le choix et un navigateur n'est pas mon chéri je préfère ma copine
-
#1.7 - par Copper_pair (ajouter à mes contacts
) le 10/10/2008T'es drôle, toi.
C'est vrai, ça sert à rien de sortir des mises à jour et des patchs de sécu, étant donné que si on les applique pas ils ne servent à rien.
En m'excusant d'avance de la rustrerie du terme, mais ce que tu dis est d'une stupidité de haut niveau. -
#1.8 - par alcapone342 (ajouter à mes contacts
) le 10/10/2008En parlant de bêtise va apprendre la différence entre un patch , une mise à jour et une extension on en reparlera ensuite ....
-
-
#2 - par DBL8 (ajouter à mes contacts
) le 10/10/2008@ znet.twenty.anomail
Bien sûr qu'il y a une solution, elle est même TRÈS efficace.
Ne pas naviguer, là vous n'avez AUCUN risque !
Restez couchez EST TRÈS sécurisant, comme ça vous avez aussi BEAUCOUP moins de risque. -
#3 - par Copper_pair (ajouter à mes contacts
) le 10/10/2008Y aurait aussi la solution d'arrêter d'imposer cette solution, Flash, fermée à souhait, et de se vouger le cul pour sortir un truc équivalent en open source.
A défaut de ne pas tout solutionner, on serait pas obligé d'attendre 3 semaines pour avoir un correctif officiel.signaler au modérateur répondre
-
#3.1 - par geocalc (ajouter à mes contacts
) le 10/10/2008OUI mais non OPENSOURCE == PAS DE POTS DE VINS
-
#3.2 - par alcapone342 (ajouter à mes contacts
) le 10/10/2008Je t'en pris bouge toi le cul et développe ton truc
-
#3.3 - par Grunt (ajouter à mes contacts
) le 10/10/2008@Copper_pair:
Adobe a rendues publiques les spécifications de Flash.
Un projet existe (Gnash), ayant pour but de développer un lecteur de Flash Open Source.
ça ne marche pas trop mal. Si tu en as la possibilité, essaie "swfdec-mozilla" pour Firefox/Iceweasel, ou "swfdec-gnome" pour Epiphany: tu seras surpris des bons résultats.
Après, certaines applications Flash ne fonctionnent pas. Libre à toi d'aider le projet Gnash.
Il faudrait aussi que, dans les cas où Flash est indispensable, les webmasters prennent en compte le fait que l'implémentation de Adobe est forcément en avance sur les autres, et ne se sentent pas obligés d'utiliser les toutes dernières fonctions de Flash, qui ne marchent qu'avec le plugin d'Adobe.
C'est un discours parfaitement opposable dans le cas, par exemple, d'un site Web public offrant un service utile aux administrés: "Attendez, les spéc' viennent de sortir et le plugin d'Adobe n'est pas dispo sur toutes les plateformes."
Après, si tu râles contre Youtube (il marche avec swfdec-gnome) ou un autre site privé qui t'impose Flash.. ils font ce qu'ils veulent, c'est leur site Web non? Si j'ai envie, chez moi, de faire un site avec du Flash, du Silverlight ou va savoir quoi, je fais ce que je veux, tu n'es pas obligé de venir. Youtube et autres, c'est pareil.
-
-
#4 - par pseudoooo (ajouter à mes contacts
) le 10/10/2008Cet article induit en erreur. ClearClick n'est pas une extension supplémentaire de Firefox ni de NoScript. C'est une fonctionnalité intégrée dans la dernière mise à jour, que Firefox vous a proposé si vous avez déjà l'extension NoScript.
NoScript ne bloque pas tous les javascripts et tous les flashs mais vous permet d'en filtrer certains.
Rien de plus facile que de virer les flashs publicitaires. De bloquer les javascript qui remontent des informations vers des sociétés qui revendent les infos (double click, google, and co).
De plus, il vous prévient à chaque fois qu'il rencontre un code douteux, un risque de phishing ou autre.
Vous pouvez suivre les commentaires de cet article
Réagir
Imprimer
Envoyer
Voter (8)
Bloguer
Ecouter
Téléchargez l'article au format MP3
Tous les articles en version audio
