Skip to content
mars 14, 2019 18:00:00

Pourquoi à l’ère de l’ « https everywhere », on inclut (même dans les pages qui se vantent d’être sécurisées) des espaces de noms en http ?

Pourquoi les espaces de nom XML sont-ils cassés ? OpenGraph
Pourquoi les espaces de nom XML sont-ils cassés ? OpenGraph.
mars 14, 2019 18:00:10

En continuant mes développements, j’ai retrouvé ces en-têtes dans des flux RSS (donc en pur xml), et, toujours la même chose, pas de « s ».

mars 14, 2019 18:00:20

J’ai constaté, en suivant ces liens, que je ne tombais, en plus, pas sur des fichiers XSD, des fichiers de définitions xml.

mars 14, 2019 18:00:30

Par exemple, en suivant Purl on tombe sur un beau 404, alors que cet espace de nom est utilisé.

Pourquoi les espaces de nom XML sont-ils cassés, purl
Pourquoi les espaces de nom XML sont-ils cassés, purl.
mars 14, 2019 18:00:40

En fait, actuellement, les espaces de noms en xml et html sont utilisés comme des identifiants de définitions que les lecteurs (navigateurs…) de la ressource ont déjà inclus.

mars 14, 2019 18:00:50

Ça me dérange à plusieurs niveaux. Le principe des espaces de noms en xml était de fournir la définition des balises du document directement depuis celui-ci, ce qui permettait une grande flexibilité.

mars 14, 2019 18:01:00

Ce principe est mort. Maintenant, les espaces de noms sont juste des indicateurs de définitions que les lecteurs (navigateurs…) ont inclus dans leurs bases. Comme expliqué ici (en anglais) Stackoverflow

mars 14, 2019 18:01:10

Comme les définitions ne sont même plus accessibles, un nouveau lecteur (navigateur…) ne peut plus apprendre ces définitions facilement et il est obligé de se reposer sur la doc (parfois mal conçue, cf : Opengraph) des fournisseurs de définitions.

Modifié le

Un chercheur turc a trouvé une faille permettant d’accéder au compte root sans mot de passe sur MacOS High Sierra.

Cette faille est extrêmement critique car facilement exécutable. Elle peut être utilisée localement ou à distance si l’appareil a un protocole VNC actif (partage d’écran activé). De plus, cette faille donne accès à toutes les permissions de l’appareil. L’attaquant peut faire absolument ce qu’il veut.

Surface d’attaque

Il suffit d’avoir accès au panneau d’authentification qui permet de taper le mot de passe administrateur. Ce panneau est accessible depuis n’importe quel compte sur l’appareil (en local ou à distance avec des protocoles de prise en charge comme VNC).

La faille provient de l’activation par erreur du compte root sur la version MacOS High Sierra. Ce compte root est un héritage du système UNIX sur lequel MacOS est développé. Il est présent et utilisé dans le monde Linux mais est normalement désactivé (présent mais désactivé) sur Mac au profit de comptes administrateurs spécifiques qui ne peuvent pas changer les fichiers du système.

Comment se protéger

Il suffit de donner un mot de passe à ce compte root. Ne perdez pas ce mot de passe.

En lignes de commandes depuis n’importe quel compte administrateur de l’appareil

Modifié le
Cette semaine des chercheurs belges ont publié un moyen de percer la protection offerte par WPA2, le protocole ...
Modifié le
Nous suivre
© 2019 Coppint Market Place Ltd, All rights reserved.