NPDS : Gestion de contenu et de communauté
Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
38 visiteur(s) et 0 membre(s) en ligne.
Autres infos
Activité du Site
Pages vues depuis 25/05/2001 : 108 399 213
- Nb. de membres 8 693
- Nb. d'articles 1 695
- Nb. de forums 26
- Nb. de sujets 8
- Nb. de critiques 92
Index du forum »» Sécurité »» [Résolu] - Une modif de microsoft sur IE6 lourde de conséquence HELP !
[Résolu] - Une modif de microsoft sur IE6 lourde de conséquence HELP !#10509
5Contributeur(s)
3 Modérateur(s)
PSTL
Au chapitre du "je suis le roi je fais ce que je veux sans me concerter avec personne ormis moi-même" :
microsoft dans sa dernière mise à jour d'IE6 vient de réserver une surprise bien désagréable pour pas mal de Webmaster !
En effet la possibilité qui existait d'avoir une URL du type
http://login:password@www.nomdusite.com
pour accéder directement à des pages en renseignant le login, vient ni plus ni moins d'être supprimée aboutissant ainsi à une jolie page "Action annulée" !
Bien sur sans information préalable tous les sites qui pour une raison ou une autre utilisaient cette possibilité pour accéder à d'autres ressources (dans mon cas il s'agit d'un autre serveur dont j'ai la gestionpour une base de données externe) se retrouvent coincés !
HELP si vous avez une info, une parade ou un moment pour chercher une solution à un endroit dont vous avez idée GRAND MERCI de venir à mon secours
Grrr Microsoft me gonfle par moment ! :paf
microsoft dans sa dernière mise à jour d'IE6 vient de réserver une surprise bien désagréable pour pas mal de Webmaster !
En effet la possibilité qui existait d'avoir une URL du type
http://login:password@www.nomdusite.com
pour accéder directement à des pages en renseignant le login, vient ni plus ni moins d'être supprimée aboutissant ainsi à une jolie page "Action annulée" !
Bien sur sans information préalable tous les sites qui pour une raison ou une autre utilisaient cette possibilité pour accéder à d'autres ressources (dans mon cas il s'agit d'un autre serveur dont j'ai la gestionpour une base de données externe) se retrouvent coincés !
HELP si vous avez une info, une parade ou un moment pour chercher une solution à un endroit dont vous avez idée GRAND MERCI de venir à mon secours
Grrr Microsoft me gonfle par moment ! :paf
axel
ben vi pas que on pouvait berner les gens avec une url du type :
http://www.visa.fr@http://www.gros_arnaque_au_pigeon.com
http://www.visa.fr@http://www.gros_arnaque_au_pigeon.com
PSTL
non désolé cette syntaxe ne fonctionne ni avec IE5 ni avec mozilla
http://login:password@www.nomdusite.com permet de répondre direct au deux champs d'accès a saisir sur l'url www.nomdusite.com quand celui-ci nécessite un login
pour en revenir au problème quelqu'un a une info ?
http://login:password@www.nomdusite.com permet de répondre direct au deux champs d'accès a saisir sur l'url www.nomdusite.com quand celui-ci nécessite un login
pour en revenir au problème quelqu'un a une info ?
axel
http://www.zdnet.fr/actualites/technologie/0,39020809,39134664,00.htm
Usurper l'identité des URL affichées dans la barre d'adresse
La faille a été détectée au niveau de l'affichage des URL dans la barre d'adresse d'Internet Explorer. Elle concerne les versions 5.01, 5.5 et 6.
Une erreur d'interprétation fait que l'URL affichée n'est pas obligatoirement celle du nom de domaine exact où se trouve l'ordinateur victime de cette usurpation. Il suffit ainsi d'insérer, dans l'énoncé d'une adresse, les séries de caractères "%01", "%00" et "@", ainsi qu'une seconde URL, expliquent les "débuggers indépendants" d'Openwares.org. Le navigateur affichera alors la première, mais pointera sur la seconde URL. De quoi duper les internautes qui croiront être, par exemple, sur un site officiel en se référant à l'URL affichée, alors qu'ils pourront être en réalité n'importe où ailleurs.
«Nous n'estimons pas qu'il s'agit d'une faille critique, car la manipulation ne fonctionne pas avec des adresses de type "https", c'est-à-dire avec des pages sécurisées. Il n'y a donc pas d'arnaque bancaire en perspective ce qui aurait été le principal risque», précise le responsable de Microsoft. En attendant de se décider sur l'opportunité d'un correctif, l'éditeur fournit des conseils pour se prémunir d'éventuels actes de malveillance exploitant cette faille sans pour autant la résorber.
faut toujours qu'on me contredise :-( :-D
Usurper l'identité des URL affichées dans la barre d'adresse
La faille a été détectée au niveau de l'affichage des URL dans la barre d'adresse d'Internet Explorer. Elle concerne les versions 5.01, 5.5 et 6.
Une erreur d'interprétation fait que l'URL affichée n'est pas obligatoirement celle du nom de domaine exact où se trouve l'ordinateur victime de cette usurpation. Il suffit ainsi d'insérer, dans l'énoncé d'une adresse, les séries de caractères "%01", "%00" et "@", ainsi qu'une seconde URL, expliquent les "débuggers indépendants" d'Openwares.org. Le navigateur affichera alors la première, mais pointera sur la seconde URL. De quoi duper les internautes qui croiront être, par exemple, sur un site officiel en se référant à l'URL affichée, alors qu'ils pourront être en réalité n'importe où ailleurs.
«Nous n'estimons pas qu'il s'agit d'une faille critique, car la manipulation ne fonctionne pas avec des adresses de type "https", c'est-à-dire avec des pages sécurisées. Il n'y a donc pas d'arnaque bancaire en perspective ce qui aurait été le principal risque», précise le responsable de Microsoft. En attendant de se décider sur l'opportunité d'un correctif, l'éditeur fournit des conseils pour se prémunir d'éventuels actes de malveillance exploitant cette faille sans pour autant la résorber.
faut toujours qu'on me contredise :-( :-D
PSTL
Dans ton exemple et l'ennoncé de cet article ils précisent bien avec des "%01", "%00"
Il semblerait que le correctif ai été mis en place sans dicernement aucun
Résultat les url de type login:password@mondomaine.com ne passent plus non plus !! :-(
Donc je suis toujours à la recherche d'une solution je suppose comme des milliers d'autres webmaster
Grrrrrr microsoft !!
HELP ne m'oubliez pas si vous tombez sur une info solutionnant le problème
Merci d'avance :-)
Il semblerait que le correctif ai été mis en place sans dicernement aucun
Résultat les url de type login:password@mondomaine.com ne passent plus non plus !! :-(
Donc je suis toujours à la recherche d'une solution je suppose comme des milliers d'autres webmaster
Grrrrrr microsoft !!
HELP ne m'oubliez pas si vous tombez sur une info solutionnant le problème
Merci d'avance :-)
webservor
jai une solution > http://www.mozilla.org/products/firefox
;-)
;-)
webservor
et joublais
pour IE > panneau de configuration > ajout/suppression de programmes > Internet Explorer > Supprimer
:-)
pour IE > panneau de configuration > ajout/suppression de programmes > Internet Explorer > Supprimer
:-)
PSTL
Je te remercie Webservor mais j'ai une peu plus de 2000 utilisateurs sur le site où la modif de microsoft me pose probleme et je me vois mal en train de faire le tri de leurs divers naviguateur pour dire à ceux qui ont le correctif de microsoft qui les bloquent de migrer vers un autre butineur ... d'autant plus que ce ne sont pas des informaticiens mais des professions libérales :-(
GiamDoc
La solution !
restaures une sauvegarde Win antérieure à la mise à jour de ton IE 6!
ou alors, c'est quand même mieux:
Comment désactiver le nouveau comportement par défaut pour la gestion des informations utilisateur dans les URL HTTP ou HTTPS
Pour désactiver le nouveau comportement par défaut dans l'Explorateur Windows et dans Internet Explorer, créez les valeurs DWORD iexplore.exe et explorer.exe dans l'une des clés de Registre suivantes et définissez leurs données de valeur sur 0.
Pour tous les utilisateurs du programme, définissez la valeur dans la clé de Registre suivante :
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Pour l'utilisateur actuel du programme uniquement, définissez la valeur dans la clé de Registre suivante :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
[ Message édité par : GiamDoc : 13-03-2004 10:54 ]
restaures une sauvegarde Win antérieure à la mise à jour de ton IE 6!
ou alors, c'est quand même mieux:
Comment désactiver le nouveau comportement par défaut pour la gestion des informations utilisateur dans les URL HTTP ou HTTPS
Pour désactiver le nouveau comportement par défaut dans l'Explorateur Windows et dans Internet Explorer, créez les valeurs DWORD iexplore.exe et explorer.exe dans l'une des clés de Registre suivantes et définissez leurs données de valeur sur 0.
Pour tous les utilisateurs du programme, définissez la valeur dans la clé de Registre suivante :
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Pour l'utilisateur actuel du programme uniquement, définissez la valeur dans la clé de Registre suivante :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
[ Message édité par : GiamDoc : 13-03-2004 10:54 ]
PSTL
Merci Giamdoc pour cette solution concrête (la première à ma connaissance)
:-)
Cependant j'en frémis d'avance à l'idée de devoir expliquer le modus operandi pour tous les utilisateurs non informaticiens susceptibles d'avoir ce problème avec leur navigateur sur notre site ! :-(
:-)
Cependant j'en frémis d'avance à l'idée de devoir expliquer le modus operandi pour tous les utilisateurs non informaticiens susceptibles d'avoir ce problème avec leur navigateur sur notre site ! :-(
GiamDoc
Si tu leur expliques que cette correction à pour but d'empêcher de se faire arnaquer par des pseudos Ebay &Co. (je cite E-Bay parce qu'une amie a failli se faire avoir, mais elle a fait un mail chez Ebay qui lui a confirmé qu'il ne faisait jamais de mail pour vérification de validité de CB!) , cela vaut quand même le coup de mettre les mains dans le cambouis
PSTL
ok je fais un .reg que je met en lien dans ma page ou apparait le "action annulée" à cause de cette modif
Merci :-)
Merci :-)
Tito
Euh... rassurez-moi (bien que mon site parle de Linux :-D)
NPDS n'utilise pas ce système ? (J'en suis quasi certain mais comme le sujet semble important...)
NPDS n'utilise pas ce système ? (J'en suis quasi certain mais comme le sujet semble important...)
axel
faudrait m'attacher sur une croix et me flageller pendant 40 jours et 37 nuits pour que j'execute un .reg choppé sur un site internet !!!
je dis ca, je dis rien !
je dis ca, je dis rien !
PSTL
question de crédibilité du webmaster du site en question et du rapport de confiance entre lui et ses visiteurs potentiels.
Pour ma part sur le site concerné ca ne pose pas le moindre problème et j'ai même droit à la clef à des mails de félicitation :-)
Pour ma part sur le site concerné ca ne pose pas le moindre problème et j'ai même droit à la clef à des mails de félicitation :-)