Amis paranos, pensez à bloquez votre Referer…

Par Korben le 29 octobre 2007

J’ai une info à vous donner qui améliorera surement votre sécurité, surtout si vous administrez un site.

Le referer, c’est une possibilité du protocole HTTP qui permet d’inclure dans un paquet l’url de la page sur laquelle vous étiez quand vous avez initialisé une connexion. En gros, si vous êtiez sur www.korben.info et que vous cliquez sur un lien extérieur, ce lien saura que vous venez de chez moi. Jusqu’ici rien de grave sauf si vous voulez garder certaines infos confidentielles lors de vos surfs.

Maintenant, si vous avez un site et que vous aimez regarder vos stats par exemple, il se peut que vous cliquiez aussi sur un lien extérieur. Dans ce cas, quelque part dans les logs de ce serveur cible sera enfouie l’adresse de votre section admin par exemple…

http://www.toto.com/admin/

Cette adresse peut donc servir à un attaquant potentiel pour localiser votre espace d’administration et potentiellement réaliser un petit piratage à base d’injection SQL ou en récupérant un numéro de session par exemple.

Bref, pour bloquer la transmission du Referer, voici 2 possibilités avec Firefox.

A la mano en tapant about:config dans la barre d’adresse et en mettant la clé network.http.sendRefererHeader à 0

Ou alors pour réaliser un filtrage un peu plus fin, vous pouvez utiliser cette extension firefox, RefControl.

A bon entendeur…

Je vous recommande aussi la lecture des sujets suivants


Faites un lien vers cette news sur votre site



11 Commentaire(s)

  1. MyAvatars 0.2

    mikeldj Reply to this comment

    ah ben je me demandais encore récemment comment faire… ben voilà.. merci Tonton

    Posté le 29 octobre 2007 à 20:11:47

  2. MyAvatars 0.2

    stagueve Reply to this comment

    Merci pour le tuyau ;)

    Posté le 29 octobre 2007 à 20:46:19

  3. MyAvatars 0.2

    casanon Reply to this comment

    Intéressant!… Merci pour l’astuce.

    Posté le 29 octobre 2007 à 22:33:44

  4. MyAvatars 0.2

    Kyro ( InfoMars.fr) Reply to this comment

    Sympa la nouvelle banière Korben :p

    Posté le 29 octobre 2007 à 22:41:53

  5. MyAvatars 0.2

    tchouf Reply to this comment

    merci pour l’astuce

    Posté le 29 octobre 2007 à 22:53:22

  6. MyAvatars 0.2

    Eric Darchis Reply to this comment

    Encore mieux, utiliser la “web developer toolbar” et cliquer, quand on le veut, disable -> referers. En plus, cette toolbar sert à un tas d’autres choses.

    Par contre, c’est vrai que les referers sont souvent étonnants. Je vois très souvent des gens venant de live2345.mail123.live.com ou autres mail.yahoo.com. Bref, des gens qui ont reçu un email les envoyant vers mon site. Parfois j’aimerais bien voir les mails qu’il y a autour…

    Posté le 29 octobre 2007 à 23:08:03

  7. MyAvatars 0.2

    Linuxian Reply to this comment

    Rien pour Opéra, dommage !

    Posté le 29 octobre 2007 à 23:37:12

  8. MyAvatars 0.2

    Angelarme Reply to this comment

    @Eric Darchis :

    Ces personnes là utilisaient juste avant le webmail associé à ces sites ; rien ne prouve que le mail en question les envoyait dessus.

    @Linuxian :

    Sur Opera l’option est disponible par défaut depuis des années… Regarde mieux dans les menus ; si je me rappelle bien la touche racourcis est une des touches F, F12 je crois ; tout en bas du menu.

    Posté le 30 octobre 2007 à 02:12:07

  9. MyAvatars 0.2

    ksnapshot Reply to this comment

    > Cette adresse peut donc servir à un attaquant potentiel pour localiser votre espace dâ??administration

    Si l’espace d’administration est protégé par mot de passe correctement, il n’y a aucun problème à ça. Et si ça pose réellement problème (genre l’adresse de la page contient des informations confidentielles), c’est à l’application de faire en sorte de ne pas transmettre les referers.

    Mais désactiver totalement le referer au niveau du navigateur tendrait à vous rendre beaucoup plus vulnérables aux attaques de type CSRF par exemple.

    C’est comme désactiver les cookies: D’un côté croit que l’on est plus en sécurité, et de l’autre ont se retrouve avec des ID de session dans l’URL, finalement beaucoup moins sécurisés que les cookies.

    Posté le 30 octobre 2007 à 05:37:40

  10. MyAvatars 0.2

    Manu1400 Reply to this comment

    @admin : Tu est plus parano que nous quand tu dis que referer peut servir à localiser un espace d’administation. J’ai pas tout compris de qu’a dis ksnapshot mais dans ce que j’ai compris, il dit des choses utiles.

    Merci ksnapshot pour ton commentaire intérressant et merci à “admin parano” pour cette astuce que je cherchais.

    @admin : change le lien de l’extention en https://addons.mozilla.org/fr/firefox/addon/953

    Posté le 30 octobre 2007 à 11:45:15

  11. MyAvatars 0.2

    Foudge Reply to this comment

    Attention aux “incompatibilités” avec certains sites qui semblent exiger un referer (ils vérifient qu’on vient de leur site et non d’un site externe ou via un lien direct).

    Posté le 31 octobre 2007 à 00:38:22

Lacher un com'

« Retour aux commentaires classiques (texte)