Comment nous avons perdu 230 euros chez CJ Affiliate (Conversant)

[accueil]  [menu]  [marions-nous !]  [chercher]


2002-09-13 20:29

Faille de CSS chez Google


Le Googles Labs (http://labs.google.com) a été mis en place par le célèbre moteur de recherche pour présenter les futures fonctionnalités du moteur. On y trouve le Google Voice Search qui, comme son nom l'indique, autorise les recherches à la voix. Ou encore le Google Glossary, un lexique en ligne permettant de trouver la définition de mots ou d'abréviations. Un de nos lecteurs, Nico, a trouvé justement une faille de type Cross Site Scritpting (CSS) dans cette page. Elle concerne la commande glossary?q, présente dans l'URL, et souffrant d'un défaut de filtrage. Ainsi, http://labs.google.com/glossary?q=securityhole[br][br][p][font%20size=81][MARQUEE]Hey!%20it's%20CSS!!%20%20%20TIENS%20,%20DU%20C.S.S.!!![/marquee][script] affichera l'image suivante : http://www.acbm.com/inedits/images/google-css.jpg. Les risques ? On peut imaginer qu'un malintentionné donne de fausses informations qui peuvent importuner le visiteur et nuire à la société Google, renvoyer quelqu'un vers un faux site ou un nouveau service derrière lequel se cache un trojan à télécharger... Google a bien entendu été alertée et a colmaté la brèche en quelques heures. La société nous a assuré que « la sécurité et le respect de la vie privée des utilisateurs sont nos plus hautes priorités ». Maintenant qu'elle sait ce qu'est le CSS, elle pourra mettre à jour son dictionnaire : la définition n'y est pas !



Vous aimez cette page ? Partagez-en le lien !

Facebook
Twitter
Google+
LinkedIn
Reddit

Vous pouvez recopier librement le contenu de cette page ailleurs (en indiquant le lien de cette page), mais sans le modifier ni en faire un usage commercial. Ce contenu est sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
Creative Commons License

[homepage] [RSS] [archives] [legal & cookies] [since 1997]