• Aucun résultat trouvé

Chiffrement de contenu Web hostile over Chiffrement de contenu Web hostile over HTTPHTTP

N/A
N/A
Protected

Academic year: 2022

Partager "Chiffrement de contenu Web hostile over Chiffrement de contenu Web hostile over HTTPHTTP"

Copied!
6
0
0

Texte intégral

(1)

HERVÉ SCHAUER CONSULTANTS HERVÉ SCHAUER CONSULTANTS

Cabinet de Consultants en Sécurité Informatique Cabinet de Consultants en Sécurité Informatique depuis 1989

depuis 1989

Spécialisé sur Unix, Windows, TCP/IP et Internet Spécialisé sur Unix, Windows, TCP/IP et Internet

SSTIC – Rump Session SSTIC – Rump Session

31 mai 2007 31 mai 2007

Chiffrement de contenu Web hostile over Chiffrement de contenu Web hostile over

HTTP HTTP

Renaud Feil Renaud Feil

<renaud.feil@hsc.fr> < renaud.feil@hsc.fr>

(2)

Souviens-toi l'été dernier... à Souviens-toi l'été dernier... à

Rennes Rennes

Présentation « Vulnérabilité des postes clients » :

Démonstration d'un outil d'attaque automatisée des applications clientes, en particulier le navigateur Web.

Parmi les recommandations :

Inspection des pages Web HTTP avant leur entrée sur le réseau interne (IPS disposant d'un module d'inspection spécifique, ou autre outil comme http://search.finjan.com/search).

Restriction selon un mode liste blanche des sites accédés en HTTPS, car le chiffrement ne permet pas d'inspecter le contenu.

(3)

Copyright Hervé Schauer Consultants 2007 - Reproduction Interdite 33 / 6 / 6

Quelle efficacité pour l'analyse de Quelle efficacité pour l'analyse de

contenu Web ? contenu Web ?

Le Javascript permet de dissimuler le contenu Web pour échapper à l'inspection :

Démonstration dans MISC 28 : utilisation de la propriété

navigator.userAgent pour déchiffrer un document HTML sur le client.

Limite : Cette propriété pourrait être connue et utilisée

par un outil d'analyse de contenu Web.

(4)

Les limites des outils d'analyse Les limites des outils d'analyse

Utilisation d'une clé de déchiffrement connue du

navigateur, mais pas de l'outil d'analyse de contenu Web :

Exemple : clé construite à partir de tests de parsing sur des balises HTML mal formées (dépend de l'implémentation du navigateur Web).

(5)

Copyright Hervé Schauer Consultants 2007 - Reproduction Interdite 55 / 6 / 6

Démonstration sur Firefox 2.0

Démonstration sur Firefox 2.0

(6)

Solutions Solutions

Pour l'utilisateur :

Extensions bloquant Javascript de façon sélective (ex :

« NoScript »).

Mais fatiguant avec la multiplication des sites Web 2.0.

Pour les équipements de filtrage de contenu Web :

Intégration du moteur de parsing des navigateurs ?

Mais augmentation des risques de compromission de l'analyseur de contenu en cas de vulnérabilité dans ces moteurs :-).

Et problème des flux synchrones : ils doivent être délivrés

rapidement au client. Un attaquant peut créer une page Web qui récupère le contenu hostile lentement, après un certain délai, par petites parties, etc.

Déporter la détection des codes hostiles au plus proche du

Références

Documents relatifs

2) En utilisant l’éditeur de texte (blocnote ou sublimtext ou etc..) créer deux pages web sur un sujet de votre choix avec « image » « vidéo » et « son », une circulation

les CMS payants (et souvent très chers), très sophistiqués tels que : Documentum, Vignette, Interwoven, Tridion qui sont utilisés dans les organisations pour construire de

Appuyez sur le bouton PinP SOURCE [1] à [8] pour sélectionner la vidéo que vous souhaitez afficher dans l’écran d’incrustation.. Appuyez sur le bouton PinP 1 [PVW] pour afficher

En réalisant un clic droit, on peut modifier les cellules, les lignes, les colonnes, supprimer le tableau ou revenir aux propriétés du tableau définit précédemment.. Cliquer

Le contenu textuel doit être construit et structuré pour faciliter la lecture de l'internaute.. En rédaction web, l'auteur doit adopter un style direct

Les trois communautés ont une forme de contenu annexe pédagogique ou utilisable pour l’apprentissage, nous ne pouvons donc les séparer réellement de ce point de

The presentation is as follows: the next section gives some insights into the related work, while Section 3 explains how we acquire and utilize Web feeds to extract timely

L’application DOIT s’assurer que les algorithmes pertinents sont compatibles. C’est-à-dire qu’un attribut CEKReference seul ne peut être utilisé que lorsque l’algorithme