#1 Le 20/05/2014, à 15:45
- b.jones42-69
[résolu] xss noscript firefox & gmx.com
Bonjour.
je ne sais pas si je suis sur le bon forum mais j'aimerai votre avis sur la question.
la semaine passée il n'y avait aucun problème mais depuis 2 jours ( date qui comme par hasard coïncide avec le changement de mouture de gmx caramail)(je ne sais pas si il y un rapport :-)je n'arrive plus à me connecter normalement à ma boite mail.
noscript me sort la phrase suivante : "noscript a filtré une tentative de script entre sites (XXS)de gmx.com.
les détails ont été inscrits dans la console.." et dans la console je lis
"L'utilisation de « getPreventDefault() » est obsolète. Utiliser « defaultPrevented » à la place"plus tard, je me suis connecté via un live cd sans noscript et ça a marché..je ne sais plus trop quoi faire..je ne connais absolument rien à ces histoires de console...
selon vous doit-je passer outre cet avertissement ? je suis un peu perdu là...merci.
.
Dernière modification par b.jones42-69 (Le 22/05/2014, à 11:46)
Hors ligne
#2 Le 20/05/2014, à 20:08
- compte supprimé
Re : [résolu] xss noscript firefox & gmx.com
... je me suis connecté via un live cd sans noscript et ça a marché.....
Bonjour, oui c'est normal que cela ait fonctionné avec le live-cd, à cause de l'absence de Noscript sur ce live-cd justement, car Noscript qui est présent sur votre Firefox sur votre disque dur, sert de filtrage ! ! Du fait qu'il filtre correctement la page sur gmx.com signifie qu'il fait bien son travail, mais le problème est que vous ne pouvez pas accéder à votre boîte email !!
Donc il faut autoriser (sur la page de gmx seulement) le truc bizarre que Noscript détecte, sinon pas possible de relever ses emails ! le fait est qu'en faisant comme cela, on se rend compte que l'on transgresse une règle de sécurité qui peut être importante...
Comme cela correspond avec la mise en place de la nouvelle interface, cela est donc lié ! J'utilise aussi gmx.com et là depuis hier, pas moyen de me connecter à mon compte, j'ai essayé de toutes les façons sauf en enlevant le filtrage attribué à Noscript cela dit, mais par contre j'ai essayé de créer une nouvelle adresse email avec gmx.com, tout s'est bien passé, sauf qu'en voulant relever mes emails de bienvenue sur cette nouvelle adresse, le message d'erreur est lancé, et je ne peux pas les relever !! J'abandonne ce support, Laposte.net vient de changer d'interface et eux au moins, ne plantent jamais !
donc solution :
désactiver noscript sur la page de gmx.com seulement
attendre que gmx.com publie le correctif
changer de fournisseur Mail
Dernière modification par -pascal34- (Le 20/05/2014, à 20:18)
#3 Le 20/05/2014, à 20:40
- b.jones42-69
Re : [résolu] xss noscript firefox & gmx.com
merci pascal !
sinon j'avais évidemment compris que le fait d'avoir pu ( à mes risques et périls ) accéder à ma boite mail était du à l'absence de noscript sur le live cd :-)
(j'aurais aussi bien pu me connecter normalement en désactivant noscript ou en décochant la case XXS)(ce que j'ai d'ailleurs fait ce soir en utilisant
mon navigateur sans no script)...ce qui m'a permis d’accéder à mes mails...j'espère que les conséquences ne me seront pas fatales :-)
Autrement, le problème que vous avez est aussi lié à un XXS ?
Dernière modification par b.jones42-69 (Le 20/05/2014, à 20:42)
Hors ligne
#4 Le 20/05/2014, à 21:02
- compte supprimé
Re : [résolu] xss noscript firefox & gmx.com
De rien et Oui oui cela vient de XXS !! Mais là je n'ai pas bien compris si le fait que vous ayez décocher la case de XXS va servir seulement au site GMX.com ou bien si le fait de faire cela va s'appliquer à tous les sites internets qui auront XXS svp ?? (je dis cela car je sais que l'on peut créer des règles pour chaque site avec Noscript).
Là où vous avez fait fort quand même, c'est d'avoir testé via Live CD, c'est vraiment pas con car ça permet de ne pas compromettre "toute la machine" en cas de problème via GMX.com !!!! Je garde cette solution pour plus tard, merci de votre reflex de survie en milieu informatique !!
à +
Dernière modification par -pascal34- (Le 20/05/2014, à 21:03)
#5 Le 20/05/2014, à 21:41
- b.jones42-69
Re : [résolu] xss noscript firefox & gmx.com
En fait,ce soir, lors de ma connexion à mon gmx, j'avais carrément désactivé noscript.
cela dit, j'aurai aussi bien pu le laisser activé et passer outre l'avertissement ou décocher la case XSS.
(j'ai en quelque sorte cassé provisoirement mon thermomètre qui m'indiquait une température anormalement élevée) lol.
Concernant noscript, il me semble comme vous le notez, qu'on peut soit :
1 : décocher xxs dans l'onglet "notification" (ce qui aura pour conséquence (dangereuse selon moi ) d'ignorer toutes les tentatives de script entre sites) (xxs)
2 : onglet "avancé" puis onglet "xxs" et entrer des exceptions de protections anti xxs
( chose qui me parait un peu compliqué vu la multitude de petits signes [^"<>\?%]+$ auxquels je ne comprends pas grand chose :-)
Mais comme vous me le suggérez,je vais attendre un peu pour voir si gmx publie un correctif..
Hors ligne
#6 Le 20/05/2014, à 22:16
- compte supprimé
Re : [résolu] xss noscript firefox & gmx.com
Oui le correctif devrait arriver vite, en fait je viens de tenter de rentrer des adresses dans la partie concernée à XSS dans no-script, j'ai réussie à insérer deux adresses, du coup je peux taper mon mot de passe (et mon identifiant bien sûr ! ! ) et accéder à ma boite mail, mais quand je veux ouvrir un email c'est mort !! le bug reprend de plus belle !!! Donc pas d'autres choix que l'attente.... Si vous le pouvez, envoyez leur un email pour demander la date prévue de remise en service du service email. S'ils disent que pour eux tout est bon (et que cela déconne enbcore), ça posera problème c'est sûr, mais vous serez fixé ! @ bientôt...
#7 Le 21/05/2014, à 21:13
- wizard974
Re : [résolu] xss noscript firefox & gmx.com
Bonjour,
Le correctif est arrivé pour gmx.com avec la version 2.6.8.25 de NoScript (info ici)
Main good news
. Fixed XSS false positive on the new gmx.com webmail login.
Une demande a été faite pour l'ajout de gmx.fr et autres dérivées.
SInon contournement temporaire le temps qu'ils voient ça, en ajoutant:
^@https?://(?:(?:www\.)?gmx|s\.uicdn)\.fr/
Dans la liste des exceptions de protection anti-XSS (qui pourra être enlevé une fois que le nouveau correctif sera sorti).
Dernière modification par wizard974 (Le 21/05/2014, à 21:18)
Hors ligne
#8 Le 21/05/2014, à 21:48
- compte supprimé
Re : [résolu] xss noscript firefox & gmx.com
Bonjour ! Merci pour les news, j'en connais qui vont être heureux ! Et l'ajout de cette ligne aux symboles nombreux correspond bien à gmx et aussi à uicdn, du coup plus de dangers de faire de fausses manips quelle bonne nouvelle !!!!
#9 Le 22/05/2014, à 11:45
- b.jones42-69
Re : [résolu] xss noscript firefox & gmx.com
Merci pour la news et la ligne d’exception wizard974 !
heureusement qu'il s'agissait d'un faux positif :-)
salutations à pascal34 (qui était comme moi à deux doigts de passer chez la concurrence) :-)
Hors ligne
#10 Le 24/05/2014, à 07:00
- delasmurielle
Re : [résolu] xss noscript firefox & gmx.com
Bonjour,
Moi aussi, depuis lundi 19 mai et l'arrivée de la nouvelle interface, je ne peux plus me loguer à mon compte gmx.fr
Pour moi, c'est la vraie tuile. Je travaille avec et j'ai perdu tous mes contacts.
Au vu des messages sur le compte Facebook de la marque, nous sommes nombreux à galérer et le silence des responsables est inadmissible.
Je vois que vous avez trouvé une solution mais je ne suis pas du tout de la partie et je ne comprends pas comment faire la manipulation décrite.
Pouvez vous m'aider ?
Merci beaucoup d'avance.
Murielle
Hors ligne
#11 Le 24/05/2014, à 08:06
- compte supprimé
Re : [résolu] xss noscript firefox & gmx.com
Bonjour, oui nous pouvons t'aider je pense, tu utilises Firefox stp ?
#12 Le 24/05/2014, à 08:29
- compte supprimé
Re : [résolu] xss noscript firefox & gmx.com
Je vais partir du principe que tu utilises bien Firefox. Il faut faire ceci avec NoScript via Firefox :
_Ouvrir Firefox
_Passer la souris au dessus de l'icône Noscript, là un menu déroulant s'ouvre (il faudra peut-être que tu cliques "pour de vrai" sur l'icône Noscript) aucune importance.
_Là tu cliques sur Options (dans le menu déroulant de Noscript)
_Une fenêtre rectangulaire de taille moyenne s'affiche avec plusieurs options.
_Tu cliques sur l'onglet "Avancé" sur celle-ci.
_Tu à d'autres onglets qui se sont ouverts en dessous.
_Tu cliques sur celui qui s'appelle XSS
_Tu devrais avoir de coché les deux seules cases de cet onglet, et en dessous dans une petite fenêtre blanche, plusieurs liens avec plein de signes qui commencent tous par : ^https......etc.......etc...
_En dessous de cette petite fenêtre blanche tu as une ligne qui s'appelle : Exemple de motif :
_À sa droite tu as cette ligne : htt://www.google.com/search?q=test
_Tu effaces cette ligne qui parle de Google et tu copies-colles celle du dessous (que je vais faire s'afficher en lettres blanches sur fond noir) à la place de celle de Google que tu viens d'effacer.
_Ne pas faire d'erreur, bien voir que l'on a sélectionné tous les caractères avant de copier coller, sans y insérer d'espace en début ou en fin de ligne avant de la copier coller.
_Là tu cliques sur le bouton "OK" (en dessous à droite de la ligne que tu viens de copier coller).
_Tu redémarres Firefox.
Voilà, tu peux de nouveau utiliser le site. Cette manipulation ne sera effective que pour la page de GMX, ce que l'on vient de faire ne sera pas appliqué aux autres pages Internet. La ligne à copier coller (comme expliqué au dessus) est celle-ci :
^@https?://(?:(?:www\.)?gmx|s\.uicdn)\.fr/
Dernière modification par -pascal34- (Le 24/05/2014, à 08:37)
#13 Le 24/05/2014, à 08:37
- delasmurielle
Re : [résolu] xss noscript firefox & gmx.com
Bonjour et merci beaucoup de votre aide !
En fait, dès le départ de la manip, je bloque.
En général, j'utilise Google Chrome mais j'ai Firefox et je peux passer par là si vous voulez.
Je ne sais pas ce que c'est que l'icone Noscript et où je le trouve...
Désolée, oui, y'a du boulot !
Hors ligne
#14 Le 24/05/2014, à 08:38
- compte supprimé
Re : [résolu] xss noscript firefox & gmx.com
Je suis en train de vous faire une copie d'écran pour que vous voyez à quoi ressemble l'icone de Noscript, j'arrive...
#15 Le 24/05/2014, à 08:44
- compte supprimé
Re : [résolu] xss noscript firefox & gmx.com
Voilà à quoi ressemble plusieurs icônes Noscript que vous pouvez chercher sur Firefox (perso il est à côté de la barre d'adresse des sites Internet, chez vous il pourra être en bas à droite de Firefox, ou à gauche, ou bien comme moi près de la barre d'adresse des sites (à gauche ou à droite). Sur l'image qui suit, j'ai passé la souris dessus et un petit menu déroulant s'est ouvert, vous y verrez (en dessous du pointeur de ma souris qui est visible sur cette photo, à quoi peuvent ressembler les autres icônes de Noscript).
L'image :
#16 Le 24/05/2014, à 08:50
- delasmurielle
Re : [résolu] xss noscript firefox & gmx.com
Bon, écoutez, ne vous embêtez pas, je ne trouve pas cette icone, ma page ne ressemble pas du tout à la votre. Et si je bloque à la première étape, vous allez y passer la matinée...
Merci beaucoup quand même de votre aide.
Bon week-end.
Murielle
Hors ligne
#17 Le 24/05/2014, à 08:54
- compte supprimé
Re : [résolu] xss noscript firefox & gmx.com
Pas du tout je peux vous aider dans la seconde qui suit j'avais déjà prévu cela. C'est comme vous le sentez, je ne veux pas non plus vous forcer.
#18 Le 24/05/2014, à 09:02
- delasmurielle
Re : [résolu] xss noscript firefox & gmx.com
J'apprécie mais je viens de faire une capture de mon écran mais je ne sais même pas vous l'envoyer...
Hors ligne
#19 Le 24/05/2014, à 09:05
- compte supprimé
Re : [résolu] xss noscript firefox & gmx.com
Nul besoin de copie d’écran de votre part.
En haut de Firefox vous avez plusieurs choix de menus déroulant, il s'appellent dans l'ordre :
Fichier Édition Affichage Historique Marque-pages Outils Aide
J'ai mis le mot "Outils" en GRAS car c'est celui qui nous intéresse, vous cliquez dessus et vous choisissez Modules complémentaires. (une nouvelle fenêtre ou bien un nouvel onglet est apparu). Vous vous y rendez et vous cliquez à gauche sur Extensions. De là vous cherchez dans cette liste l'application qui s'appelle Noscript. Et sur la ligne de Noscript, vous cliquez sur Préférences. Cela va afficher la fenêtre dont je vous parlais au dessus.
Alors vous reprenez les étapes suivants :
_Vous cliquez sur l'onglet "Avancé" sur celle-ci.
_Dès que vous aurez basculé sur "Avancé" alors d'autres onglets se seront ouverts en dessous.
_Vous cliquez sur celui qui s'appelle XSS
_Vous devriez avoir les deux cases cochées de cet onglet, et en dessous d'elles, dans une petite fenêtre blanche, plusieurs liens avec plein de signes qui commencent tous par : ^https......etc.......etc...
_En dessous de cette petite fenêtre blanche vous aurez une ligne qui s'appelle : Exemple de motif :
_À sa droite vous aurez cette ligne : htt://www.google.com/search?q=test
_Vous effacez cette ligne (qui parle de Google) et vous la remplacez par celle que je vais donner en dessous (que je vais faire s'afficher en lettres blanches sur fond noir).
_Ne pas faire d'erreur, bien voir que l'on a sélectionné tous les caractères avant de copier coller, sans y insérer d'espace en début ou en fin de ligne avant de la copier coller.
_Une fois fait vous cliquez sur le bouton "OK".
_Vous redémarrez Firefox.
Voilà,vous pouvez de nouveau utiliser le site. Cette manipulation ne sera effective que pour la page de GMX, ce que l'on vient de faire ne sera pas appliqué aux autres pages Internet. La ligne à copier coller (comme expliqué au dessus) est celle-ci :
^@https?://(?:(?:www\.)?gmx|s\.uicdn)\.fr/
Dernière modification par -pascal34- (Le 24/05/2014, à 09:41)
#20 Le 24/05/2014, à 09:35
- delasmurielle
Re : [résolu] xss noscript firefox & gmx.com
Merci beaucoup de ces détails.
J'ai bien suivi les instructions (j'ai longuement cherché puis modifié la ligne en question, fermé et réouvert Firefox, tenté la connexion à gmx, changé le mot de passe, retenté la connexion) mais toujours le même message... Connexion impossible.
Hors ligne
#21 Le 24/05/2014, à 09:40
- compte supprimé
Re : [résolu] xss noscript firefox & gmx.com
Dans ce cas là, il faut revoir les étapes, et voir si vous n'avez pas fait d'erreur. Mais là je vous lis et je pense que vous ne vous êtes pas trompée. Mais avez-vous au moins autorisé le javascript à se lancer pour le site de GMX svp ? Si vous n'avez pas autorisé ce javascript (via Noscript) c'est normal que vous ayez toujours cette erreur.
Savez-vous comment vérifier que le site de GMX est bien autorisé dans Noscript svp ? Si vous me répondez NON, hé bien nous allons le faire ensemble...
#22 Le 24/05/2014, à 09:57
- delasmurielle
Re : [résolu] xss noscript firefox & gmx.com
Je vois sur la page d'accueil de gmx l'icone Noscript marqué autorisé. Si je passe la souris sur l'icone, je peux choisir d'interdire gmx.
Le problème nouveau est que l'icone connexion est désormais inactif.
Dernière modification par delasmurielle (Le 24/05/2014, à 10:01)
Hors ligne
#23 Le 24/05/2014, à 10:02
- compte supprimé
Re : [résolu] xss noscript firefox & gmx.com
Bon, alors allons activer le Javascript pour le site de GMX et sa dépendance, GMX fonctionne avec un autre site, donc il faut autoriser les dépendance de GMX sinon cela ne fonctionnera pas.
Comme tout à l'heure, vous cliquez en haut de Firefox sur Outils. Ensuite vous cliquez sur Modules complémentaires (là une nouvelle fenêtre ou un nouvel onglet est apparu), vous vous y rendez et vous cliquez à gauche sur Extensions. Maintenant, comme tout à l'heure vous vous rendez à la ligne de Noscript, et vous cliquez, à la même faon que tout à l'heure aussi, sur Préférences.
Et c'est là que cela change (il vous a donc ouvert une nouvelle fenêtre rectangulaire).
_Vous cliquez alors sur l'onglet appelé : Liste blanche.
_Là vous avez une case où il est écrit : Adresse du site web
_Dans cette case vous entrer les sites que vous voulez laisser en liste blanche ! (évidemment il faut y mettre GMX et ses dépendances, sinon vous ne pourrez pas accéder à votre boîte mail).
_Donc dans : Adresse du site web vous écrivez ceci : gmx.fr
_Vous l'avez sûrement remarqué, mais maintenant un bouton est apparu à droite de cette ligne et qui s'appelle "Autoriser", vous cliquez dessus (mais nous n'avons pas fini, vous ne venez de valider pour Noscript, que le site gmx.fr, ce la n'est pas suffisant).
_Vous revenez à la case où vous venez de mettre gmx.fr, et vous mettez : gmx.com et vous cliquez bien sûr sur : Autoriser.
_Vous revenez là où vous venez de mettre gmx.com, pour mettre sa dépendance, donc vous tapez : uicdn.com et vous cliquez encore sur Autoriser en fin de ligne.
_Nous avons presque fini, vous cliquez maintenant en bas de cette petite fenêtre rectangulaire, sur le bouton : OK.
_Vous redémarrez Firefox, vous pouvez maintenant entrer vos identifiants et mot de passe sans problème.
Si cela déconne alors ce n'est pas normale, il vous faudra redémarrer Ubuntu et lancer un LIVE-CD (c'est à dire que vous ne redémarrerez pas sur votre version d'Ubuntu habituelle, mais vous redémarrerez sur la version d'Ubuntu qu'il y a sur le LIVE-CD), et une fois fait, vous lancerai un Firefox depuis ce Live-CD, vous irez sur gmx.fr y mettre vos identifiants et mot de passe. Si là ça ne marche pas, il faudra contacter gmx.com pour demander de l'aide ou bien déjà voir sur leur site si vous pouvez réinitialiser votre mot de passe.
Honnêtement, vous pouvez désormais changer de fournisseur d'adresse email, GMX ne sont plus sérieux, prenez une adresse mail à laposte.net, au moins eux ne déconne jamais. Bon courage.
Qu'est-ce que vous appelez l'icône connexion ? C'est une icône dans Firefox ou sur Ubuntu svp ?
Dernière modification par -pascal34- (Le 24/05/2014, à 10:03)
#24 Le 24/05/2014, à 10:14
- delasmurielle
Re : [résolu] xss noscript firefox & gmx.com
Je viens de faire tout ce que vous avez dit. L'icone connexion à GMX est à nouveau active, j'ai fermé, changé le mot de passe... Et toujours pareil, je ne peux pas rentrer dans mon compte...
Changer de boite mail pourquoi pas mais j'ai besoin de récupérer les mails que je n'ai pas lus et mon carnet d'adresses !
Bon j'arrête, j'ai le repas à préparer.
Merci beaucoup de votre aide.
Hors ligne
#25 Le 24/05/2014, à 10:24
- compte supprimé
Re : [résolu] xss noscript firefox & gmx.com
Je vous en prie, n'hésitez pas à revenir vers le forum pour d'autres questions. Mais si là ça ne marche pas c'est bizarre oui. Il faut contacter le site gmx.com, voir si vous aviez "assuré" vos arrières en indiquant un email de secours où vous auriez pu en cas de soucis récupérer votre mot de passe ou bien réinitialiser celui-ci, aussi, vous avez peut-être une questions secrète à indiquer. Mais j'y pense, prenez bien ce dernier conseil en compte svp :
Gmx, depuis son changement est très instable, et tout ce que nous avons fait dans Firefox aujourd'hui peut très bien fonctionner demain ou dans deux jours (ou plus, il faut leur laisser le temps de régler leur soucis). Ne tirez pas une croix dessus tout de suite, patientez et tester des connexions chaque jour au moins pendant une bonne semaine, là si rien ne fonctionne, il faudra soit les contacter, soit voir ce que j'ai dit au dessus au sujet de la question secrète, de l'email de secours pour récupérer votre mot de passe etc...
Si après tout ce que j'ai mis en italique au dessus, rien ne bouge, mmmmm ça sentira à ce moment là, vraiment le brûlé
@ bientôt
Dernière modification par -pascal34- (Le 24/05/2014, à 11:54)