Active Scripting
Une technologie, Active Scripting, et des failles de sécurité
|
||||
| |
Active Scripting (formellement : ActiveX Scripting)
Implémentation choisie par Microsoft de la technologie de scripts basée sur des composants ré-utilisables (partagés - au même titre que les DLLs). Elle est basée sur COM (Component Object Model aussi appelé ActiveX) et, plus précisemment, prolonge et remplace l'ancienne technologie appelée "automatisation OLE" - Object Linking and Embedding (un sous-ensemble de COM) - qui elle-même prolongeait et remplaçait une technologie encore plus ancienne : DDE - Dynamic Data Exchange). Elle permet l'installation de moteurs de scripts grâce au modèle client / serveur dans lequel une application (appelée le "client") peut prendre le contrôle d'une autre application (appelée le "serveur") en communiquant avec elle car Active Scripting (et ses prédécesseurs) défini un format de communication inter-processus pour des applications qui utilisent des format normalement divergents et incompatibles. Active Scripting est donc, entre autres, un protocole de communication.
Les applications les plus connues basées en tout ou partie sur Active Scripting sont ASP (Active Server Pages - écriture de scripts côté serveur pour des sites générant leurs pages dynamiquement - le suffixe des pages est alors .asp, Internet Explorer bien sûr avec ActiveX ou encore le WSH de Windows (Windows Script Host) qui doit être vu comme le pendant Windosien du Shell du noyau Linux (par exemple le Bourne shell)).
Active Scripting représente donc un risque sécuritaire lorsqu'une URL piégée ou un site piégé exploite cette technologie. Il convient donc de :
Si les technologies sont développées dans des langages évolués comme C++ ou C# etc. ..., l'écriture des scripts faisant appel à ces technologies, elle, est simplifiée et fait appel à des langages de développement de scripts comme Visual Basic pour Script (VBScript) ou Java pour Script (JScript)... Ces deux langages de scripts sont livrés en standard dans les produits Microsoft mais il en existe de nombreux autres, alternatifs, commerciaux ou gratuits (Perl, Python, Tcl, Tk...)
Microsoft tend à remplacer à nouveau cette technologie par une nouvelle : ".net Framework". Les langages commes VBScript ou JScript ne connaîtrons pas de nouvelle évolution ou mise à jour.
Faille de sécurité avec Active Scripting
Une faille dans TOUTES LES VERSIONS d'Internet Explorer permet à un attaquant, non seulement de voir le contenu des cookies (qui peuvent contenir des informations extrêmement sensibles comme des numéros de compte et des mots de passe faciles à cracker) mais aussi d'en modifier le contenu !!!
En écrivant des URL d'une certaine manière, un attaquant peut accéder aux cookies d'autres sites que le sien (normalement, les sites (un domaine) ne peuvent manipuler (lire, créer, modifier) que les cookies attachés à leur propre domaine (site)) sur votre ordinateur et injecter un script qui permet d'en éditer (modifier) le contenu. Il suffit que vous tombiez sur certaines pages de sites piégés (trapped) ou que vous ouvriez un e-mail contenant un tel type d'URL. Cette vulnérabilité est classée en sévérité élevée par Microsoft.
Pour vous prémunir contre ce risque et, plus généralement, pour protéger vos données et "durcir" votre sécurité, vous devez désactiver Active Scripting. Voir la contre-mesure Anti-Active Scripting.
Implémentation choisie par Microsoft de la technologie de scripts basée sur des composants ré-utilisables (partagés - au même titre que les DLLs). Elle est basée sur COM (Component Object Model aussi appelé ActiveX) et, plus précisemment, prolonge et remplace l'ancienne technologie appelée "automatisation OLE" - Object Linking and Embedding (un sous-ensemble de COM) - qui elle-même prolongeait et remplaçait une technologie encore plus ancienne : DDE - Dynamic Data Exchange). Elle permet l'installation de moteurs de scripts grâce au modèle client / serveur dans lequel une application (appelée le "client") peut prendre le contrôle d'une autre application (appelée le "serveur") en communiquant avec elle car Active Scripting (et ses prédécesseurs) défini un format de communication inter-processus pour des applications qui utilisent des format normalement divergents et incompatibles. Active Scripting est donc, entre autres, un protocole de communication.
Les applications les plus connues basées en tout ou partie sur Active Scripting sont ASP (Active Server Pages - écriture de scripts côté serveur pour des sites générant leurs pages dynamiquement - le suffixe des pages est alors .asp, Internet Explorer bien sûr avec ActiveX ou encore le WSH de Windows (Windows Script Host) qui doit être vu comme le pendant Windosien du Shell du noyau Linux (par exemple le Bourne shell)).
Active Scripting représente donc un risque sécuritaire lorsqu'une URL piégée ou un site piégé exploite cette technologie. Il convient donc de :
Si les technologies sont développées dans des langages évolués comme C++ ou C# etc. ..., l'écriture des scripts faisant appel à ces technologies, elle, est simplifiée et fait appel à des langages de développement de scripts comme Visual Basic pour Script (VBScript) ou Java pour Script (JScript)... Ces deux langages de scripts sont livrés en standard dans les produits Microsoft mais il en existe de nombreux autres, alternatifs, commerciaux ou gratuits (Perl, Python, Tcl, Tk...)
Microsoft tend à remplacer à nouveau cette technologie par une nouvelle : ".net Framework". Les langages commes VBScript ou JScript ne connaîtrons pas de nouvelle évolution ou mise à jour.
Faille de sécurité avec Active Scripting
Une faille dans TOUTES LES VERSIONS d'Internet Explorer permet à un attaquant, non seulement de voir le contenu des cookies (qui peuvent contenir des informations extrêmement sensibles comme des numéros de compte et des mots de passe faciles à cracker) mais aussi d'en modifier le contenu !!!
En écrivant des URL d'une certaine manière, un attaquant peut accéder aux cookies d'autres sites que le sien (normalement, les sites (un domaine) ne peuvent manipuler (lire, créer, modifier) que les cookies attachés à leur propre domaine (site)) sur votre ordinateur et injecter un script qui permet d'en éditer (modifier) le contenu. Il suffit que vous tombiez sur certaines pages de sites piégés (trapped) ou que vous ouvriez un e-mail contenant un tel type d'URL. Cette vulnérabilité est classée en sévérité élevée par Microsoft.
Pour vous prémunir contre ce risque et, plus généralement, pour protéger vos données et "durcir" votre sécurité, vous devez désactiver Active Scripting. Voir la contre-mesure Anti-Active Scripting.
| Historique des révisions de ce document : |
|
23.04.2005 |
Rédigé en écoutant :
Music
Music