Cookies

Cette analyse de Kaspersky (securelist) examine en profondeur le rôle des cookies de navigateur comme composants de sécurité et montre comment les cookies de session contenant des Session IDs deviennent des cibles majeures. Le contenu couvre les types de cookies, les exigences de conformité (GDPR, CCPA, LGPD), et comment une mauvaise gestion peut exposer des identifiants d’authentification et des données personnelles. L’étude détaille plusieurs vecteurs d’attaque : session hijacking, XSS, CSRF, et man-in-the-middle. Sur le plan technique, elle décrit la capture de session via HTTP non chiffré, le vol de cookies par injection JavaScript malveillante (XSS), la session fixation avec des Session IDs prédéfinis, ainsi que le cookie tossing exploitant des vulnérabilités de sous-domaine. ...

Brave, le navigateur web axé sur la confidentialité, a open-sourcé un nouvel outil appelé ‘Cookiecrumbler’. Cet outil utilise les grands modèles de langage (LLMs) pour détecter les avis de consentement de cookies sur les sites web. Une fois détectés, Cookiecrumbler utilise des revues communautaires pour bloquer ces avis qui ne cassent pas la fonctionnalité du site. Cela marque une étape importante dans la lutte pour la confidentialité en ligne, car les cookies sont souvent utilisés pour suivre les utilisateurs à travers le web. En bloquant ces avis de consentement, Brave espère rendre le web plus privé et sécurisé pour ses utilisateurs. ...

Un ensemble de 57 extensions Chrome, utilisées par environ 6 millions d’internautes, a été découvert avec des capacités très risquées. Ces extensions sont capables de surveiller le comportement de navigation des utilisateurs, d’accéder aux cookies des domaines et potentiellement d’exécuter des scripts distants. Ces actions peuvent entraîner des violations de la confidentialité des utilisateurs et potentiellement permettre aux acteurs malveillants d’accéder à des informations sensibles. Il n’est pas clair qui est derrière ces extensions malveillantes, mais elles représentent un risque significatif pour la cybersécurité. Les utilisateurs de Chrome sont encouragés à vérifier et à supprimer toute extension suspecte. Google a été informé de ces extensions et travaille probablement à leur suppression du Chrome Web Store. ...