Robert Chapin, président de Chapin information Services, a découvert une faille de sécurité concernant principalement Firefox, Internet Explorer étant lui aussi concerné mais à moindre mesure.
Cette faille concerne les identifants et les mots de passe conservés par le navigateur pour la saisie semi-automatique.
Ainsi en utilisant une fausse page web demandant un identifiant et un mot de passe, Robert Chapin a démontré que via une requête de type RCSR (Reverse Cross-Site Request), il pouvait pousser le navigateur à lui fournir identifiant et mot de passe, tout cela bien entendu sans que l’utilisateur ne se doute de quoi que soit.
Pour le moment, aucune correction n’a été apporté par les developpeurs d’IE7, ni de Firefox, mais il y a fort à parier que leur réaction ne tardera pas. En tout cas, en attendant il est plus malin de désactiver la fonction concernée dans les options du navigateur.
Pour IE7, cliquez sur Outils > Options Internet > Contenu > saisie semi-automatique : décochez la case concernant la retenue des noms d’utilisateurs et des mots de passe.
Pour Firefox, cliquez sur Outils / options > sécurité > décochez la case concernant l’enregistrement des mots de passe.
Source : Chapin Information Service