Question sécurité, phishing

[Warluck]

Bonjour à tous, j'ai une question qui me turlupine depuis un bout de temps et je crois que vous, professionnel du Web, pourrez me répondre correctement.

Est-il possible qu'en cliquant sur un lien, le distinataire (site au bout du lien) puisse acquérir des données sensibles contenue dans ma session active.

Je donne un exemple, je suis sur un forum où j'ai du me connecter en utilisant un nom d'usager et un mot de passe. Dans l'un des fils de discussion un utilisateur met un lien vers un site malveillant. Est-il possible pour se site malveillant d'obtenir des données sensibles comme mon nom d'utilisateur, mot de passe ou autre me concernant (concernant plutôt ma connexion actuelle et celles utilisées dans le site de départ), évidemment sans que j'aie à les entrées?

Merci de m'éclairer sur ce point.

[Nheo_]

Je ne crois pas que se soit possible, tout du moins j'espère. Je ne vois pas comment il pourrait récupérer ton login et mdp.

Enfin, propos à confirmer, je ne suis absolument pas certains de ce que j'avance.

[tho.feron]

Bonjour,

Quand on s'identifie sur un site web, on récupère un ID de session et c'est la seule chose qui reste stockée sur son ordinateur (dans un cookie). Les cookies ne sont accessibles SEULEMENT par les domaines les ayant créés (et leurs sous-domaines sauf si le champ domain ou path est activé, ce qui est le cas pour les sessions de PHP ou encore de Rails).

Donc aucun risque que ce site malveillant accède à quoi que ce soit.

Par contre, certains sites renvoient l'ID de session dans l'URL (par exemple /page.php?PHPSESSID=54dsd56sdsds96dssd56sq, ce qui (je suppose) est renvoyé dans le header HTTP Referer vers le "site de destination". Dans ce cas-ci, le site malveillant pourrait utiliser la session tant qu'elle est encore active.

Néanmoins, peu de sites utilisent les sessions de la sorte et il faudrait vérifier que les navigateurs renvoient ces valeurs dans le Referer. Peut-être existent-ils des protections pour des noms connus tels que PHPSESSID.

Pas trop de soucis à se faire donc.

Cordialement,
Thomas Feron de Backsmash.

[Warluck]

Je te remercie beaucoup pour cette réponse qui correspond pas mal à ce que je cherchais. En fait, je voulais savoir si le simple fait de clicker sur lien qui mène à un site du genre "phishing" pouvait te compromettre. Il semble que ce ne soit pas le cas et j'en suis bien heureux.

Merci encore.

[Elwyn]

Ce sujet a déja été traité à cette adresse : http://www.developez.net/forums/d108...urite/hacking/

Merci de publier vos demandes/réponses sur celui-ci

Voici un exemple de phishing qui peut réellement arriver, puisque comme dit plus haut, non le site ne pourra pas récupérer ton couple login/mdp.
En revanche en cliquant sur ce lien (bon là il ne doit pas marcher) tu arrives sur un faux site (il manque un p à developpez.net).

Tu veux publier un commentaire, bizarrement tu dois te connecter, et hop !

[Nheo_]

Citation:

Envoyé par Elwyn

(bon là il ne doit pas marcher)!

Si il marche .

[Elwyn]

Citation:

Envoyé par Nheo_

Si il marche .

Damn it !

[10_GOTO_10]

Citation:

Envoyé par Nheo_

Je ne crois pas que se soit possible, tout du moins j'espère. Je ne vois pas comment il pourrait récupérer ton login et mdp.

Il est parfois possible (avec JavaScript) de récupérer les cookies, donc le login et le mot de passe s'il est stocké en clair dedans, ou au moins assez d'informations pour continuer une session ouverte.

Voir explications ici: http://fr.wikipedia.org/wiki/Cookie_...#Vol_de_cookie

[tho.feron]

Citation:

Envoyé par 10_GOTO_10

Il est parfois possible (avec JavaScript) de récupérer les cookies, donc le login et le mot de passe s'il est stocké en clair dedans, ou au moins assez d'informations pour continuer une session ouverte.

Voir explications ici: http://fr.wikipedia.org/wiki/Cookie_...#Vol_de_cookie

Encore faut-il qu'il y ait une faille XSS ou CSRF sur le site en question, ce qui peut aller beaucoup plus loin qu'un simple vol de session d'ailleurs.

Cordialement,
Thomas Feron de Backsmash.