Note : Firefox, WOT et about:config

Ou comment passer par là pour voler des sessions.

Exemple avec la session du module WOT :
Dans un Firefox où vous êtes connectés à WOT, recopiez la valeur des 4 clés : weboftrust.status_level, weboftrust.extension_id, weboftrust.witness_id, weboftrust.witness_key.

Ensuite, mettez ces clés dans un navigateur qui a WOT mais non encore configuré.
Bravo, vous êtes connectés à MyWot.com !
MyWot.com utilise-t-il directement les données stockées dans about:config ? Passe-t-il par des cookies fait par le module Wot ?
D’autres sites peuvent-il aussi stocker des informations dans about:config ?

Je ne connais pas le fonctionnement interne de Firefox et les droits qu’on les modules, mais ça me semble assez fragile. À confirme et surveiller.

===========

Au passage, toutes les clés de about:config dans dans un seul fichier « prefs.js » dans le dossier du profile de Firefox.

Quelle surprise eu-je en y trouvant des informations de vieux modules, y compris des mots de passes en clair. C’est du sérieux.

BTW, ça serait pas mal que Firefox retire de ce fichier les informations des modules qu’on a supprimé.
J’ai fait le ménage manuellement : le fichier est passé de 300 ko à 110 ko.

(par exemple en donnant à chaque module un nom (comme ça semble se faire : nom.clé), et quand le module de nom « nom » est supprimé, il retire aussi toutes les clés correspondantes.)