Scott Guthrie, le monsieur .net de Microsoft, a alerté le monde de l’ASP.Net samedi dernier.
Un oracle cryptographique provenant des pages et codes d’erreur « de base » envoyés par ASP.Net laisse échapper des messages (dans certains cas) plus précis donnant une base de déchiffrement ouvrant la voie à la possibilité de créer des cookies et viewstates et à fortiori, d’usurper une identité.
Ces mêmes messages peuvent contenir également des handlers de ressources et javascript renvoyant des messages avec des informations sur les paramètres d’administration de votre site.
Un oracle cryptographique provenant des pages et codes d’erreur « de base » envoyés par ASP.Net laisse échapper des messages (dans certains cas) plus précis donnant une base de déchiffrement ouvrant la voie à la possibilité de créer des cookies et viewstates et à fortiori, d’usurper une identité.
Ces mêmes messages peuvent contenir également des handlers de ressources et javascript renvoyant des messages avec des informations sur les paramètres d’administration de votre site.