On Wed, Oct 15, 2014 at 09:38:13AM +0200, Pierre Schweitzer <pie...@reactos.org> wrote a message of 61 lines which said:
> Cela veut dire que ça marche sur d'autres protocoles verbeux, type > IRC (pour récupérer le mot de passe). Pas encore prouvé : il faut en effet pouvoir injecter des paquets contenant le contenu estimé. Trivial en Javascript avec CSRF+cookies mais moins en IRC. Nous sommes toutefois d'accord qu'il *faut* débrayer SSL v3, sans attendre que quelqu'un de plus astucieux trouve une exploitation non-Javascript. > Un client n'est vulnérable que si on est capable de sniffer ses > paquets, donc wifi, MITM, etc. Même pas. Pour l'attaque active, il suffit de pouvoir injecter des paquets (tout le monde filtre ses propres adresses sources en entrée ?) --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
