Marc SCHAEFER wrote:
On Wed, Jan 12, 2005 at 10:21:38AM +0100, Marc Mongenet wrote:
Oui mais comme je disais, si le cookie n'est pas envoy� (au serveur
Webmin), alors l'attaque ne fonctionne pas.
Et qu'en est-il de auth/basic ?
Bonne question. :-)
Il me semble que la restriction dont nous discutons � propos des cookies
a surtout �t� impl�ment�e pour emp�cher (en fait �a ne fait que g�ner,
un peu) l'espionnage par des sites tiers (publicitaires).
Or auth/basic ne semble pas utilisable pour ce genre d'espionnage, sauf
� demander � chaque visiteur d'entrer un nom et un mot de passe...
Donc je pense que les donn�es d'identification auth/basic sont toujours
envoy�es avec les requ�tes. Donc exploitables par ce genre d'attaque.
En tout cas je n'ai jamais lu de consid�rations sur ce probl�me de
s�curit� avec auth/basic. J'ai regard� le RFC 2617, ce probl�me semble
�galement avoir �t� ignor� (il faut dire qu'il est de plus haut niveau
que HTTP).
Marc Mongenet
_______________________________________________
gull mailing list
[email protected]
http://lists.alphanet.ch/mailman/listinfo/gull
