Cela signifie que si les propriétaires de sites Web ne modifient pas ces paramètres par défaut en modifiant le code source du CMS, la plupart des sites Web construits sur ces CMS mettent les mots de passe de l'utilisateur en danger si un pirate informatique volait la base de données du site.
Et comme la plupart des sites basés sur un CMS sont tenus par des personnes n'ayant aucun bagage technique, cela veut dire qu'une très large majorité d'entre eux stocke ses mots de passe de manière non sécurisé. C'est tout de même très problématique compte tenu qu'une très grande proportion de sites sont construits sur WordPress…
Alors que vous pensez cliquer simplement sur « oui », vous donnez en réalité accès à une application tierce à vos paramètres de publication sur Facebook.
On est donc sur une bonne grosse faille de sécu... Normalement, une app est pas censée savoir accéder à un compte sans passer par une page de Facebook pour donner son autorisation
Par défaut, Nginx et PHP sont un peu bavard et signalent au client Web leurs versions exactes. Le problème est qu'il suffit ensuite d'une petite recherche pour visualiser les failles de sécurité existantes dessus.
Cette astuce permet de demander à Nginx et à PHP de ne pas envoyer leurs numéros de version respectifs.
Moi, quand je part de chez moi je ferme tout à clé... bon je laisse une fenêtre ouverte au cas où, mais c'est que pour les gendarmes hein...
Tout est dit.
L'idée est intéressante :)
C'est assez cocasse, comme faille !
Pas considéré comme une faille critique en soi, mais peut permettre de mener des attaques dans le but de piquer des données personnelles de l'internaute, ou même intercepter ses frappes au clavier sur une page Web.
Réponse des éditeurs des navigateurs principaux :
- Google : corrigée
- Apple : corrigée
- Mozilla : pas concerné par la faille
- Microsoft : osef, c'est pas un bug mais une fonctionnalité
Je suis un peu sceptique concernant cette décision : tous les sites n'ont pas forcément besoin d'être protégés par HTTPS. Je pense notamment aux petits sites perso qui ne contiennent que quelques pages Web contenant du texte et quelques images…
Si vous avez installé le jeu colourblock (package com.colourblock.flood), il est possible que votre appareil ait été infecté.
Un article dans lequel des chercheurs montrent qu'il est possible de détecter les voix humaines et de faire de la reconnaissance vocale à l'aide du gyroscope d'un téléphone.
C'est problématique, car sur les système actuels, aucune autorisation n'est requise pour accéder à cet équipement, contrairement à l'accès au microphone (pour lequel une autorisation est demandée pendant l'exécution de l'application).
"Les permissions en question sont SYSTEM_ALERT_WINDOW et BIND_ACCESSIBILITY SERVICE. Pour rappel, la permission SYSTEM_ALERT_WINDOW permet à une application d’afficher une fenêtre pop-up par-dessus toutes les autres fenêtres. BIND_ACCESSIBILITY_SERVICE par contre est une permission qui permet à une application de rendre les dispositifs Android plus accessibles par des personnes avec des handicaps."
"Pratiquement tout y passe : l’enregistrement furtif de saisies clavier qui exploite la permission SYSTEM_ALERT_WINDOW (première démo ci-dessous), l’usage combiné des deux permissions pour installer une application bénéficiant de toutes les permissions (deuxième démo), le vol de mot de passe qui combine également les deux permissions (troisième démo), etc."
Accès au stimulateur à distance sans authentification, utilisation de systèmes obsolètes et vulnérables (Windows XP, MS-DOS, OS/2), équipement accessible au grand public pour une somme très basse…
Tout va bien…
« Après des années, il reste encore des centaines de millions de machines tournant sous les systèmes XP et Server 2003 à travers le monde. Les systèmes basés sur Windows XP représentent plus de 7 % des OS de bureau encore en utilisation aujourd’hui et l’industrie de cyber sécurité estime que plus de 600 000 machines hébergeant 175 millions de sites web, tournent toujours Windows Server 2003, soit 18 % de la part du marché global »