24-07-2013, 07:59 PM
Oui ok pour la banque, mais ça ne marche que pour les gens qui mettraient le même mot de passe partout, y compris entre un vieux site de crack et un site de banque. Dans ce cas effectivement c'est important. Mais si ce n'est pas le même mot de passe, il n'aura accès à rien. Et encore, même avec le même mot de passe, l'authentification ne se fait pas via ajax, ou alors avec une clé. Et encore, si la banque est pas trop conne elle bloque les referer.
Mais bon, ok, là c'est une sécurité supplémentaire. Reste que dans l'autre sens ça me paraît nécessaire.
Kylek je ne comprends pas pourquoi tu dis que les XSS sont HS. Moi je pensais dans le cadre d'un jeu web : y a plein de types ici qui codent leur propre système de chat ou de forum, un régal pour piquer facilement les identifiants de l'alliance ennemie et de leur vider leurs ressources, si on peut piquer leurs identifiants comme tu le disais dans ton premier post.
Mais bon, ok, là c'est une sécurité supplémentaire. Reste que dans l'autre sens ça me paraît nécessaire.
Kylek je ne comprends pas pourquoi tu dis que les XSS sont HS. Moi je pensais dans le cadre d'un jeu web : y a plein de types ici qui codent leur propre système de chat ou de forum, un régal pour piquer facilement les identifiants de l'alliance ennemie et de leur vider leurs ressources, si on peut piquer leurs identifiants comme tu le disais dans ton premier post.