Oui mais pour qu'il y ait ce genre de manip, il faut qu'il y ait déjà une faille du genre cross-site scripting, ou bien que l'OS ou le navigateur soit infecté par un programme qui injecte du javascript dans les pages du navigateur. Le second cas est déjà mal barré puisqu'un key logger fera bien plus de dégats et plus facile à mettre en oeuvre…
Ensuite dans le cas du Cross-site scripting ou de d'une attaque similaire à distance, il faut qu'il y ait un proxy qui calcule la taille des paquets compressés… une sorte de man in the middle mais qui ne touche pas au contenu généré.
Donc ce genre d'attaque ne sera exploitable que sur des réseaux sur lesquels on n'a aucune confiance comme un réseau wifi.
[^] # Re: Réponse
Posté par ecyrbe . En réponse au journal La fin du monde est (une fois de plus) pour demain : SSL crime. Évalué à 2.
Oui mais pour qu'il y ait ce genre de manip, il faut qu'il y ait déjà une faille du genre cross-site scripting, ou bien que l'OS ou le navigateur soit infecté par un programme qui injecte du javascript dans les pages du navigateur. Le second cas est déjà mal barré puisqu'un key logger fera bien plus de dégats et plus facile à mettre en oeuvre…
Ensuite dans le cas du Cross-site scripting ou de d'une attaque similaire à distance, il faut qu'il y ait un proxy qui calcule la taille des paquets compressés… une sorte de man in the middle mais qui ne touche pas au contenu généré.
Donc ce genre d'attaque ne sera exploitable que sur des réseaux sur lesquels on n'a aucune confiance comme un réseau wifi.