Bonjour,
Peut-on intégrer une balise Iframe dans la version 4.x ?
C'est sécuritaire ?
Bonjour,
Peut-on intégrer une balise Iframe dans la version 4.x ?
C'est sécuritaire ?
Je n'ai pas essayé si on peut l'intégrer ou non ; mais à première vue, ça doit être possible.
Par contre, ce n'est absolument pas sécuritaire ! De plus, Google et compagnie n'aiment absolument pas les iframe.
Miaouuu... ne me caressez pas à rebrousse-poils, ça fait de l'électricité !Aucune demande d'aide par mp ne sera prise en compte !
Merci Eve_Ra.
Pas question en effet d'autoriser les iframes 'at large' de n'importe qui... Ce serait un trop grand risque.
Mais je serais intéressé à connaître à quoi un méchant peut avoir accès avec son iframe malveillante. Mon site est relativement bien sécurisé mais avec des limites tout de même.
Je ferai une recherche sur Google.
Dernière modification par esf ; 02/01/2011 à 17h25.
Si l'iframe contient un lien vers l'extérieur de sa page (ou après un certain nombre de pages) et qu'il arrive au final sur une page (toujours dans l'iframe) qui contient du code malveillant, ça fait mal pour l'utilisateur. XSS, etc.
vBulletin Quality Assurance
Développeur en chef de Project Tools 2.1+ pour vB 4 et 2.0 pour vB 3
Restera très discret sur toutes les futures fonctionnalités de vBulletin ainsi que de vBulletin 5 Connect jusqu'à leur sortie publique ^^
Tout MP d'aide -> Supprimé
Oui l'iframe contient un lien extérieur à la page mais ce lien est toujours servi par le serveur d'un éditeur connu (adobe, google, microsoft, vbulletin par exemple) et je doute que le code malveillant demeure suffisamment longtemps sur le site de cet éditeur connu pour venir affecter un site. Ma méfiance porte alors sur l'éditeur lui-même.
Alors, dans ce cas-là,
- Quel est le risque ?
- Une iframe peut-elle être détournée ?
- L'éditeur a-t-il accès à mes pages ? A mon code ?
- A part le port 80, quel(s) autre(s) port(s) ou services a-t-il accès ?
- Avec le port 80, quelle dommage peut-il causer si les ports/services FTP, SSH, AUTH, panels sont fermés/dédiés à une seule IP ?
Alors si un expert en sécurité est en ligne... son aide serait appréciée.
En tout vas, merci Pitchoune
@+
Dernière modification par esf ; 02/01/2011 à 19h23.
J'avais vu une vidéo il y a quelques années qui montrait comment effectuer une attaque avec alert(document.cookie) à travers une iframe... Faudrait que je la retrouve
vBulletin Quality Assurance
Développeur en chef de Project Tools 2.1+ pour vB 4 et 2.0 pour vB 3
Restera très discret sur toutes les futures fonctionnalités de vBulletin ainsi que de vBulletin 5 Connect jusqu'à leur sortie publique ^^
Tout MP d'aide -> Supprimé
Il y a actuellement 1 utilisateur(s) naviguant sur cette discussion. (0 utilisateur(s) et 1 invité(s))