#6767 - Note : Firefox, WOT et about:config
http://lehollandaisvolant.net/?mode=links&id=20130726192633
Ou comment passer par là pour voler des sessions.
Exemple avec la session du module WOT :
Dans un Firefox où vous êtes connectés à WOT, recopiez la valeur des 4 clés : weboftrust.status_level, weboftrust.extension_id, weboftrust.witness_id, weboftrust.witness_key.
Ensuite, mettez ces clés dans un navigateur qui a WOT mais non encore configuré.
Bravo, vous êtes connectés à MyWot.com !
MyWot.com utilise-t-il directement les données stockées dans about:config ? Passe-t-il par des cookies fait par le module Wot ?
D’autres sites peuvent-il aussi stocker des informations dans about:config ?
Je ne connais pas le fonctionnement interne de Firefox et les droits qu’on les modules, mais ça me semble assez fragile. À confirme et surveiller.
===========
Au passage, toutes les clés de about:config dans dans un seul fichier « prefs.js » dans le dossier du profile de Firefox.
Quelle surprise eu-je en y trouvant des informations de vieux modules, y compris des mots de passes en clair. C’est du sérieux.
BTW, ça serait pas mal que Firefox retire de ce fichier les informations des modules qu’on a supprimé.
J’ai fait le ménage manuellement : le fichier est passé de 300 ko à 110 ko.
(par exemple en donnant à chaque module un nom (comme ça semble se faire : nom.clé), et quand le module de nom « nom » est supprimé, il retire aussi toutes les clés correspondantes.)
Exemple avec la session du module WOT :
Dans un Firefox où vous êtes connectés à WOT, recopiez la valeur des 4 clés : weboftrust.status_level, weboftrust.extension_id, weboftrust.witness_id, weboftrust.witness_key.
Ensuite, mettez ces clés dans un navigateur qui a WOT mais non encore configuré.
Bravo, vous êtes connectés à MyWot.com !
MyWot.com utilise-t-il directement les données stockées dans about:config ? Passe-t-il par des cookies fait par le module Wot ?
D’autres sites peuvent-il aussi stocker des informations dans about:config ?
Je ne connais pas le fonctionnement interne de Firefox et les droits qu’on les modules, mais ça me semble assez fragile. À confirme et surveiller.
===========
Au passage, toutes les clés de about:config dans dans un seul fichier « prefs.js » dans le dossier du profile de Firefox.
Quelle surprise eu-je en y trouvant des informations de vieux modules, y compris des mots de passes en clair. C’est du sérieux.
BTW, ça serait pas mal que Firefox retire de ce fichier les informations des modules qu’on a supprimé.
J’ai fait le ménage manuellement : le fichier est passé de 300 ko à 110 ko.
(par exemple en donnant à chaque module un nom (comme ça semble se faire : nom.clé), et quand le module de nom « nom » est supprimé, il retire aussi toutes les clés correspondantes.)