public marks

PUBLIC MARKS from decembre with tags securite & dev

2017

FIR 57 - CSP - Mozilla a silencieusement déployé la fonctionnalité First Party Isolation empruntée à Tor, pour endiguer le profilage des régies publicitaires

by 1 other (via)
Le 21 novembre 2017, par Stéphane le calme, Chroniqueur Actualités Firefox a embarqué silencieusement une autre fonctionnalité empruntée au navigateur Tor dans sa version 55 qui a été déployée en août dernier : First Party Isolation (FPI). FPI fonctionne en séparant les cookies par domaine. Ceci est important, car la plupart des annonceurs en ligne déposent un cookie sur l'ordinateur de l'utilisateur pour chaque site visité par l'utilisateur puis ils chargent une annonce. Lorsque FPI est activé, l'outil de suivi des annonces ne peut pas voir tous les cookies qu'il a déposés sur le PC de cet utilisateur, mais seulement le cookie créé pour le domaine que l'utilisateur est en train de consulter. Cela forcera l'outil de suivi des annonces à créer un nouveau profil d'utilisateur pour chaque site visité par l'utilisateur et l'annonceur ne pourra pas agréger ces cookies et l'historique de navigation de l'internaute en un seul gros profil. Cette fonctionnalité était déjà déployée dans le navigateur Tor et avait le nom de Cross-Origin Identifier Unlinkability. Sur la page du projet Tor, il est expliqué que « L'exigence de conception du Cross-Origin Identifier Unlinkability est satisfaite par l'isolement de première instance de toutes les sources d'identificateur de navigateur. L'isolement de première instance signifie que toutes les sources d'identificateur et de l'état du navigateur sont limités (isolés) en utilisant le domaine de la barre d'URL. Cette portée est réalisée en combinaison avec toute portée tierce supplémentaire. Lorsque l'isolation de première instance est utilisée avec un stockage d'identificateur explicite qui a déjà une portée tierce contrainte (tels que les cookies et le stockage DOM), cette approche est appelée “double-keying”. « L'avantage de cette approche ne vient pas seulement sous la forme d'une liaison réduite, mais aussi en termes d'interface utilisateur simplifiée. Si tous les états et toutes les autorisations du navigateur sont associés à l'origine de la barre d'URL, les six ou sept différentes interfaces utilisateur de confidentialité qui régissent ces identifiants et autorisations peuvent devenir une seule interface utilisateur. Par exemple, une fenêtre qui répertorie l'origine de la barre d'URL pour quel état du navigateur existe, éventuellement avec une option de menu contextuel permettant d'accéder à des types d'état ou d'autorisations spécifiques. »

2014

FIR XPI - DEV - Force CORS Firefox Extension

a very simple extension for Firefox that adds the Cross Origin Resource Sharing (CORS) Access-Control- HTTP headers to all responses before they're processed by the browser. This essentially disables the browser's same origin policy and allows cross domain calls even if the web server does not support CORS. The default setting adds the following headers to every response:

2013

2010

Blogsecurity.net : Presentation du livre blanc sur la securisation des blog Wordpress

Petit dossier d’une dizaine de pages (il s’agit ici d’une version 1.0 du petit livre blanc) rien que pour nous. C’est en anglais bien sûr mais ça reste très compréhensible pour tout le monde je pense. Ce que j’aime bien dans la démarche c’est que l’ordre dans lequel les diverses astuces sont présentées suit la démarche d’installation d’un blog. Donc si vous démarrez une nouvelle installation il vous suffira de faire les choses dans l’ordre. Alors autant certaines astuces sont « connues » (retirer les notes de version du blog dans le header, installer un fichier index.html dans son répertoire de plugin, etc…) autant pour d’autres c’est très utile. Saviez-vous qu’il était possible de modifier votre pseudo de connexion (admin) très simplement ? Ou qu’il est très facile (grâce à un plugin) de modifier le préfixe de vos tables SQL pour compliquer un peu la tâche des hackeurs ?

2009

HackBar :: Modules pour Firefox

This toolbar will help you in testing sql injections, XSS holes and site security. It is NOT a tool for executing standard exploits and it will NOT teach you how to hack a site. Its main purpose is to help a developer do security audits on his code. If you know what your doing, this toolbar will help you do it faster. If you want to learn to find security holes, you can also use this toolbar, but you will probably also need a book, and a lot of google :)

Curiosity is bliss: XMLHttpRequest - Security Bypass

While trying to help Dare make his MovieFinder page run in Firefox, I ran into an issue that can make developing AJAX applications a pain: when testing your pages, you need to host them in the same domain as your services. I explain the details of the problem and how the "XMLHttpRequest - Bypass Security" Greasemonkey user script solves it. Note: this script is meant for development only, as it gives the page access to a potentially dangerous API. The default @include is "file:///*", but feel free to restrict it even further to the path for the pages you're trying to tweak. You should never have to @include an http ur