• # Faille de sécurité corrigée

    Posté par (site web personnel) . En réponse à la dépêche KDE 3.1.3. Évalué à 10.

    Je rappelle qu'une faille de sécurité a été corrigée. Auparavant, KDE n'enlevait pas la partie username:password des URL lorsqu'il les transmettait en tant que champ Referrer: d'une requête HTTP. Bon, c'est pas tous les jours qu'on met son nom d'utilisateur et son mot de passe dans une URL, mais le scénario suivant n'a rien d'impossible :

    1. L'utilisateur visite http://username:password@www.site.fr/(...)
    2. Sur site.fr, il y a un lien vers sitexterne.fr
    3. L'utilisateur clique dessus
    4. Le webmaster de sitexterne.fr va faire un tour dans ses logs, il voit dans le champ Referrer: l'URL http://username:password@www.site.fr/(...) .

    La solution immédiate (qui ne marche pas toujours il semblerait, mais suffisamment souvent) est de ne pas mettre son nom d'utilisateur ou son mot de passe dans les URL. La seule bonne solution est de passer à KDE 3.1.3.