Mozilla a reçu une plainte inattendue concernant une fonctionnalité de Firefox : le navigateur signalait qu’une page de connexion non sécurisée était ? non sécurisée. La plainte a été déposée par l’administrateur d’un portail d’information spécialisé dans le gaz et le pétrole, qui a affirmé que l’avertissement de sécurité avait été placé “sans autorisation” dans le système de gestion du contenu du site.
Il y a tellement de choses qui ne vont pas que je ne sais même pas par où commencer.
Chaque fois qu’une personne entrait dans le formulaire de connexion de Oil and Gas International, Firefox affichait un avertissement sous le champ du mot de passe : “Cette connexion n’est pas sécurisée. Les identifiants saisis ici peuvent être compromis. Il ne s’agit évidemment pas d’un bug : Chrome affiche également un avertissement plus discret dans la barre d’adresse lorsque des champs de mot de passe ou de cartes de crédit se trouvent sur une page sans HTTPS.
La plainte a déjà été retirée du système de bogue de Mozilla, mais o Ars Technica a reçu le message suivant Votre avis de mot de passe et/ou de connexion non sécurisé apparaissant automatiquement sur mon site, Oil and Gas International, est indésirable et y a été placé sans notre autorisation. Veuillez le retirer immédiatement. Nous avons notre propre système de sécurité et il n’a jamais été violé en plus de 15 ans. Votre avis suscite-t-il des inquiétudes chez nos abonnés et nuit-il à notre activité ?
Bien sûr, l’histoire ne s’arrête pas là : la page d’abonnement au site d’information a qui demande le numéro de carte de crédit de l’utilisateur, son code de sécurité et sa validité, n’est pas HTTPS. Toutes ces informations sensibles sont transmises sur le réseau sans cryptage et peuvent être volées par une personne interceptant la connexion.
Il y a plus: Reddit utilisateurs ont découvert que le portail était vulnérable aux attaques par injection SQL. Il leur suffisait d’insérer un simple guillemet dans l’un des champs et une erreur ASP.NET détaillée apparaissait, révélant une partie de la structure du site. Au moment de la rédaction de ce paragraphe, any login attempt donne lieu à un message d’erreur de la base de données, indiquant que quelqu’un a peut-être supprimé la table d’utilisateurs du site.
Je pense que le compteur de 15 ans a été remis à zéro.
