flash magazine en parle ici http://www.flashmagazine.com/news/detail/clickjacking_the_new_privacy_game/
annoncé par le PSIRT ici (c'est marrant spirt comme nom on dirait un nom de soda) http://blogs.adobe.com/psirt/2008/10/clickjacking_security_advisory.html l'advisory est là http://www.adobe.com/support/security/advisories/apsa08-08.html alors l'histoire a d'abord été annoncé ici http://ha.ckers.org/blog/20080915/clickjacking/ puis mentioné par le spirt (en gros ils disent "merci d'attendre le temps qu'on patch") http://blogs.adobe.com/psirt/2008/09/thanks_to_jeremiah_grossman_an.html et la suite de l'histoire (celle qui fait la news) ici http://ha.ckers.org/blog/20081007/clickjacking-details/ alors bon c'est quoi ce clickjacking ? c'est le nouveau terme a la mode (apres XSS, CSRF, etc.) en gros ca fonctionne comme un "man in the middle" (qui forcément se retrouve traduit en MITM, oui dire "MITM" ca fait plus pro apparemment) donc, je disais, ah oui, ca fonctionne comme un "man in the middle" mais coté client sur votre écran petite explication: un classique "man in the middle" c'est lorsque qlqn va se mettre au milieu d'une connection, cad A --- parle avec ---> B se tranforme en A ---> le mec au milieu ---> B plus de details ici: http://en.wikipedia.org/wiki/Man-in-the-middle_attack bref, le gars au milieu il détourne/vole (hijack) la conversation entre A et B et d'où pourquoi ils appelent ca un clickjacking, parce que ca se met au milieu de votre souris et du lien que vous clickez, oui ca hijack le click de la souris, bref clickjack. pourquoi ils en parlent relié à flash ? et bien tout "simplement" quand vous connaissez un peu comment la sécurité de flash fonctionne, par ex au pif "oui il faut que l'utilisateur click 'oui' pour que je puisse utiliser sa webcam", et que en plus vous pouvez intercepter les clicks de souris de l'utilisateur, bah en gros vous pouvez loader cette page http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager06.html sans la montrer a l'utilisateur et intelligement faire cliquer l'utilisateur au bon endroit et boom sans le savoir l'utilisateur autorise la cam demonstration et video ici http://blog.guya.net/2008/10/07/malicious-camera-spying-using-clickjacking/ le truc c'est que c'est technique de hijack du click de la souris c'est vieux comme le monde, presque aussi vieux que le man in the middle et c'est exactement ce que Adobe essaye d'empecher en n'autorisant pas certaines touches de clavier en mode fullscreen ;p (enfin ils veullent empecher que les dev flash avec juste flash puissent le faire, ca n'empeche pas de le faire autrement...) bref ca fait surtout la news parce que comme le flash player est distribué à 90%+ et ce cross-platform, ca fait qd meme une belle grosse cible pour les crackers (non je n'utiliserait pas le mot hacker!!!) en fait, habituez vous tout de suite à updater le flash player encore plus souvent, pour cause de sécurité, car avec la popularité du flash player, il va (ou il est deja) la cible de choix à pirater, plus que windows, plus que mac, etc. et ce clickjacking ce n'est que le petit bout visible de l'iceberg un autre exemple "live" http://blog.guya.net/2008/09/14/encapsulating-csrf-attacks-inside-massively-distributed-flash-movies-real-world-example/ --~--~---------~--~----~------------~-------~--~----~ Vous avez reçu ce message, car vous êtes abonné au groupe Groupe "FCNG" de Google Groupes. Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse [email protected] Pour résilier votre abonnement à ce groupe, envoyez un e-mail à l'adresse [EMAIL PROTECTED] Pour afficher d'autres options, visitez ce groupe à l'adresse http://groups.google.com/group/FCNG?hl=fr -~----------~----~----~----~------~----~------~--~---
