Gmail, système utilisé par la plupart des “geeks” présente une faille importante concernant le carnet d’adresses (les contacts) de ses utilisateurs. Celui-ci, une fois que vous êtes connecté, stocke vos détails personnels dans un fichier Javascript.
Jusque là ça va.
Le problème est le suivant : si vous vous connectez sur un site capable d’exploiter la faille, il peut appeler la fonction “google” et récupérer votre liste de contacts.
C’est loin d’être ce qu’on peut appeler un détail sympa :/
Les seuls parades existantes à ce jour sont : vous déconnecter systématiquement de tout site utilisant Google Accounts avant de surfer sur des sites sensibles (génial non?) ou désactiver Javascript sauf sur une liste de sites que vous autoriserez (également gênant).
Un site en parlait mais il me semble qu’il a été supprimé.
Via Engadget et Digg
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Ou autre solution :
Supprimer votre liste de contact :-p
ça ne présente pas un probléme pour moi…ma liste est vide^^ :-p
Pas de problème pour moi non plus, no-script activé par défaut.
Ah oui apparement ils ont carrément viré le site, pas cool Google 🙁
Si cool Google, ca ne sert à rien de polémiquer. Il y a un problème et il sera corrigé 😉
Perso j’utilise pas gmail, donc je me sens moins concerné :p
En plus la liste de contacts se remplie toute seule non ? Apparement en plus ce n’est pas difficile apparement (je m’y connais pas spécialement) d’exploiter cette faille vu ce que j’ai lu …
elle est un peu vieille la faille et corrigée depuis 😉
http://www.presence-pc.com/actua...
en tous cas pas de trace de nouvelle faille dans l’actu.
c con pour mes contacts:p
aljfaber, il me semble que c’est une nouvelle faille parce que beaucoup de sites se sont mis à parler du problème ce WE. A vérifier !
Aljfaber : comme l’explique NeoAngel, c’est une nouvelle faille 😉
Les sites comme présence-pc sont plus longs à relayer les infos que nous ce qui fait que pour le moment tu n’en as pas encore vu de trace 🙂
Et si tu lis correctement le lien que tu m’as donné, le problème est différent 🙂
Ils ont pas encore corrigé la faille, pour tester l’état de la vulnérabilité voyez les codes postés dans les commentaires de la news sur digg => digg.com/security/Google_…
J’espere que cela sera vite corrigé !
J’utilise GMail Lite (Glite) pour accéder à Gmail: c’est une sorte de page php "proxy" qu’on peut mettre sur n’importe quel serveur et sert d’interface avec gmail. Ca permet d’éviter les filtres anti-messagerie au boulot et le problème de carnet d’adresse ne s’y pose pas.