[accueil]
Faille de CSS chez Google
Le Googles Labs (http://labs.google.com) a été mis en place par le célèbre moteur de recherche pour présenter les futures fonctionnalités du moteur. On y trouve le Google Voice Search qui, comme son nom l'indique, autorise les recherches à la voix. Ou encore le Google Glossary, un lexique en ligne permettant de trouver la définition de mots ou d'abréviations. Un de nos lecteurs, Nico, a trouvé justement une faille de type Cross Site Scritpting (CSS) dans cette page. Elle concerne la commande glossary?q, présente dans l'URL, et souffrant d'un défaut de filtrage. Ainsi, http://labs.google.com/glossary?q=securityhole[br][br][p][font%20size=81][MARQUEE]Hey!%20it's%20CSS!!%20%20%20TIENS%20,%20DU%20C.S.S.!!![/marquee][script] affichera l'image suivante : http://www.acbm.com/inedits/images/google-css.jpg. Les risques ? On peut imaginer qu'un malintentionné donne de fausses informations qui peuvent importuner le visiteur et nuire à la société Google, renvoyer quelqu'un vers un faux site ou un nouveau service derrière lequel se cache un trojan à télécharger... Google a bien entendu été alertée et a colmaté la brèche en quelques heures. La société nous a assuré que « la sécurité et le respect de la vie privée des utilisateurs sont nos plus hautes priorités ». Maintenant qu'elle sait ce qu'est le CSS, elle pourra mettre à jour son dictionnaire : la définition n'y est pas !
Vous voulez soutenir une information indépendante ? Rejoignez notre Club privé !
Vous pouvez recopier librement le contenu de cette page ailleurs (en indiquant le lien de cette page), mais sans le modifier ni en faire un usage commercial. Ce contenu est sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
[contact & legal & cookies] [since 1997]