Ceux qui croient encore que l'ajout d'un certificat SSL va les protéger efficacement vont devoir revoir leur copie. Les XSS (et surtout les CSRF), sont parfaitement capables d'utiliser le navigateur pour passer sur une liaison SSL et causer des dommages importants.
Le problème des SSL est le même que celui qui revient à limiter l'accès à l'administration d'un site à une IP unique (ou un accès VPN). A l'aide d'une XSS, on réalise une injection dans le site, et on attire un administrateur, qui lui, possède les bons droits : hop, le tour est joué.
- Extended Validation certificates and XSS considered harmful
Le problème des SSL est le même que celui qui revient à limiter l'accès à l'administration d'un site à une IP unique (ou un accès VPN). A l'aide d'une XSS, on réalise une injection dans le site, et on attire un administrateur, qui lui, possède les bons droits : hop, le tour est joué.
- Extended Validation certificates and XSS considered harmful
-
Auteur
-
Origine
