Note de l'auteur :
Un ingénieur en sécurité informatique vient de trouver une faille qui touche tous les services de Google accessibles via un sous-domaine de google.com (c'est-à-dire un grand nombre). Google aurait trouvé une parade...
Billy (BK) Rios explique sur son blog bien mieux que moi en quoi consiste cette faille. En résumé, il a pu exploiter une faille au niveau du content-type retourné par le tableur de Google situé sur spreadsheets.google.com. Etant donné que les cookies de Google sont valables pour tous les sous-domaines de google.com, sa technique lui permettait de lire le courrier Gmail d'un tiers, d'accéder aux documents hébergés par Google Docs ou les programmes stockés dans Google Code, ou plein d'autres choses...
Après l'épisode concernant mon nom de domaine webrankinfo.com, qui était dû au piratage de mon compte Gmail, j'avoue que cet article ne me rassure pas vraiment. Certes, l'auteur précise que Google a trouvé une parade à cette faille XSS mais tout de même, je crois comprendre qu'il n'est lui même pas très rassuré. D'ailleurs il invite ses lecteurs à lire un autre article sur ce sujet. A vrai dire, je ne sais pas si cette faille est récente ou pas, elle ressemble à celle révélée fin septembre à propos de Gmail.
Un ingénieur en sécurité informatique vient de trouver une faille qui touche tous les services de Google accessibles via un sous-domaine de google.com (c'est-à-dire un grand nombre). Google aurait trouvé une parade...
Billy (BK) Rios explique sur son blog bien mieux que moi en quoi consiste cette faille. En résumé, il a pu exploiter une faille au niveau du content-type retourné par le tableur de Google situé sur spreadsheets.google.com. Etant donné que les cookies de Google sont valables pour tous les sous-domaines de google.com, sa technique lui permettait de lire le courrier Gmail d'un tiers, d'accéder aux documents hébergés par Google Docs ou les programmes stockés dans Google Code, ou plein d'autres choses...
Après l'épisode concernant mon nom de domaine webrankinfo.com, qui était dû au piratage de mon compte Gmail, j'avoue que cet article ne me rassure pas vraiment. Certes, l'auteur précise que Google a trouvé une parade à cette faille XSS mais tout de même, je crois comprendre qu'il n'est lui même pas très rassuré. D'ailleurs il invite ses lecteurs à lire un autre article sur ce sujet. A vrai dire, je ne sais pas si cette faille est récente ou pas, elle ressemble à celle révélée fin septembre à propos de Gmail.
-
Auteur
-
Origine
