Liste de partage de Grorico
Je viens de découvrir un site plutôt sympa qui s’appelle W3who, qui permet de connaitre à partir d’une bête URL, les autres sites « connectés ». Quand je dis connecté, je veux parler bien sûr des sites hébergés sur le même serveur que celui dont vous avez entré l’adresse MAIS pas que ! Et c’est là qu’est la nouveauté !
En effet, W3who, permet aussi de tracer les autres sites d’un webmaster à partir du code adsense et analytics disponible dans les pages. Et comme avec Adsense, on a le droit en théorie qu’à un seul ID par personne, il devient assez rapide de « coming-outer », un peu de force j’en conviens, les webmasters du monde entier.
Bon, vous pouvez aller vérifier avec Korben.info mais comme pour le moment, je n’ai que korben et melancoly d’hébergé (pas de site de cuir-moustache secret ou de vente de viagra 
), vous n’apprendrez pas grand chose. Par contre, à titre d’exemple, si je prend le site de Perez Hilton (blog people), ça donne ça :
En 1, que ce soit Past ou Current, il s’agit du code Adsense utilisé. En cliquant sur ces liens, vous obtiendrez la liste de tous les sites qui sont sur ce même code adsense. En 2, on garde ce même principe mais cette fois avec Analytics. Et en 3, c’est du classique, avec la liste des sites hébergés sur le même serveur.
A vous d’essayer sur vos webmasters / blogueurs préférés . S’ils utilisent adsense ou analytics sur plusieurs sites, même en whois masqué et sur des serveurs différents, vous verrez rapidement qui se cache derrière quoi.
Sympa non ? Et en plus c’est gratuit. W3Who, c’est par là.
Présenté à la Toorcon et développé par Eric Butler, Firesheep est une extension pour Firefox qui permet de sniffer sur le réseau local, les sessions HTTP non chiffrées qui transitent sur le réseau, permettant ainsi aux petits malins d’accèder directement à vos comptes Google, Twitter, Facebook, Flickr, Amazon, bit.ly, Yahoo, WordPress,…etc sans avoir à se logger. Méfiance donc dans vos écoles et entreprises…
L’extension se présentant sous forme de panneau latéral dans Firefox, affiche l’avatar et le nom des gens qui se font « attraper ». En double cliquant sur cet avatar, vous êtes alors automatiquement loggé sur le compte de la personne, et vous pouvez accéder à ses informations personnelles. Rien de vraiment nouveau dans cette technique de sniffing, si ce n’est que maintenant c’est à la portée de n’importe qui.
Si vous voulez tester, Firesheep est disponible ici et pour l’utiliser convenablement sous Windows, notez qu’il vous faudra winpcap.
La faille ? La faute de tous ces sites qui ne sécurisent pas en HTTPS l’intégralité de leurs échanges, se contentant juste de chiffrer la partie de login, oubliant bêtement l’accès non chiffré au cookie.
Mais pas de panique !!! En attendant que tous ces sites corrigent cette faille, il est possible de vous protéger en forçant un chiffrement de A à Z de votre connexion avec ces sites web. Il suffit pour cela d’installer l’extension ForceTLS disponible chez Mozilla et pour Firefox. Après un peu de config pour spécifier quels sont les sites dont vous voulez forcer le passage en HTTPS, vous serez protégé !
