Scott Guthrie, le monsieur .net de Microsoft, a alerté le monde de l’ASP.Net samedi dernier.
Un oracle cryptographique provenant des pages et codes d’erreur « de base » envoyés par ASP.Net laisse échapper des messages (dans certains cas) plus précis donnant une base de déchiffrement ouvrant la voie à la possibilité de créer des cookies et viewstates et à fortiori, d’usurper une identité.
Ces mêmes messages peuvent contenir également des handlers de ressources et javascript renvoyant des messages avec des informations sur les paramètres d’administration de votre site.
Pour se protéger, la solution est simple : Supprimer ces messages d’erreur basiques et les remplacer à votre convenance.
Pour plus d’infos (en anglais) : http://weblogs.asp.net/scottgu/
Un oracle cryptographique provenant des pages et codes d’erreur « de base » envoyés par ASP.Net laisse échapper des messages (dans certains cas) plus précis donnant une base de déchiffrement ouvrant la voie à la possibilité de créer des cookies et viewstates et à fortiori, d’usurper une identité.
Ces mêmes messages peuvent contenir également des handlers de ressources et javascript renvoyant des messages avec des informations sur les paramètres d’administration de votre site.
Pour se protéger, la solution est simple : Supprimer ces messages d’erreur basiques et les remplacer à votre convenance.
Pour plus d’infos (en anglais) : http://weblogs.asp.net/scottgu/
Visitez 
Naxos
Markethings
DataTourisme
Ajouter un commentaire