noscript a filtre une tentative de script entre sites cross

Modérateur: Modérateurs et Modératrices

noscript a filtre une tentative de script entre sites cross

Messagede marco polo » 24 11 2016

bonjour,
noscript a filtre une tentative de script entre sites cross-site scripting xss de https www laposte net
j'ai un gros souci pour accéder aux boîtes mail de la poste.net depuis le 23 11 16

navigateur sous linux debian-mate 8.6 firefox esr 45.5.0, blocage par noscript
ci-dessous les addons mozilla installés

addetector-0.20-fx.xpi

au_revoir_utm-0.3.1-fx.xpi

bluhell_firewall-2.5.2-sm+tb+fx+an+fn.xpi

certificate_patrol-2.0.14-tb+sb+fx+sm.xpi

certificate_watch-1.1-fx.xpi

change_referer_button-0.44-fx+tb.xpi

decentraleyes-1.3.5-fx+an+sm.xpi

disable_add_on_compatibility_checks-1.3-fx+fn+sm+tb.xpi

disable_webrtc-1.0.11-fx+an.xpi

disconnect-3.15.3-fx.xpi

facebook_disconnect-2.1.3-fx.xpi

google_disconnect-2.4.2-fx.xpi

google_privacy-0.2.4-sm+fx.xpi

google_redirects_fixer_tracking_remover-2.1.0-fx.xpi

https_everywhere-5.1.10-tb+fx+an+sm.xpi

lightbeam_for_firefox-1.3.1-fx.xpi

mf-dnssec-tlsa-validator-2.2.0.2-linux.xpi

netcraft_toolbar-1.10.1-fx.xpi

noscript_security_suite-2.9.0.2-sm+fx+fn.xpi

pure_url-1.2.4-fx.xpi

refcontrol-0.8.17-sm+fx.xpi

referrer_control-0.4.6-fx.xpi

remove_google_tracking-1.10-fx.xpi

requestpolicy-0.5.28-sm+fx.xpi

requestpolicy_sync-0.1.6-fx+sm.xpi

Self-Destructing Cookies

sharemenot-2.3.3-fx.xpi

ssleuth-0.4.5-fx.xpi

trustwave_securebrowsing-3.722-fx.xpi

twitter_disconnect-2.1.2-fx.xpi

ublock ou ublock_origin-1.5.5-sm+tb+an+fx.xpi

umatrix-0.9.3.6-sm+fx.xpi

*****************************************************
Message enregistre dans la console

Using //@ to indicate sourceMappingURL pragmas is deprecated. Use //# instead jquery.js:1:0
mutating the [[Prototype]] of an object will cause your code to run very slowly; instead create the object with the correct initial [[Prototype]] value using Object.create d3.js:540:5
flags argument of String.prototype.{search,match,replace} is deprecated overlay.js:32:14
gprivacy: AddonManager returned null for installed addon 'firebug@software.joehewitt.com'. Disabled? Compatibility checks not added! <inconnu>
sharemenot:TypeError: tabs.activeTab is undefined
Trace de la pile :
initialize@resource://gre/modules/commonjs/toolkit/loader.js -> resource://sharemenot-at-franziroesner- ... er.js:68:2
exports.main@resource://gre/modules/commonjs/toolkit/loader.js -> resource://sharemenot-at-franziroesner- ... in.js:85:2
run@resource://gre/modules/commonjs/toolkit/loader.js -> resource://gre/modules/commonjs/sdk/add ... r.js:153:1
startup/</<@resource://gre/modules/commonjs/toolkit/loader.js -> resource://gre/modules/commonjs/sdk/add ... er.js:87:9
Handler.prototype.process@resource://gre/modules/Promise.jsm -> resource://gre/modules/Promise-backend.js:933:23
this.PromiseWalker.walkerLoop@resource://gre/modules/Promise.jsm -> resource://gre/modules/Promise-backend.js:812:7
this.PromiseWalker.scheduleWalkerLoop/<@resource://gre/modules/Promise.jsm -> resource://gre/modules/Promise-backend.js:746:1
runner.js:166
sharemenot:TypeError: tabs.activeTab is undefined
Trace de la pile :
initialize@resource://gre/modules/commonjs/toolkit/loader.js -> resource://sharemenot-at-franziroesner- ... er.js:68:2
exports.main@resource://gre/modules/commonjs/toolkit/loader.js -> resource://sharemenot-at-franziroesner- ... in.js:85:2
run@resource://gre/modules/commonjs/toolkit/loader.js -> resource://gre/modules/commonjs/sdk/add ... r.js:153:1
startup/</<@resource://gre/modules/commonjs/toolkit/loader.js -> resource://gre/modules/commonjs/sdk/add ... er.js:87:9
Handler.prototype.process@resource://gre/modules/Promise.jsm -> resource://gre/modules/Promise-backend.js:933:23
this.PromiseWalker.walkerLoop@resource://gre/modules/Promise.jsm -> resource://gre/modules/Promise-backend.js:812:7
this.PromiseWalker.scheduleWalkerLoop/<@resource://gre/modules/Promise.jsm -> resource://gre/modules/Promise-backend.js:746:1
Promise-backend.js:936
1479996515979 Services.HealthReport.HealthReporter WARN Saved state file does not exist.
DEPRECATION WARNING: _getTabForBrowser` is now deprecated, please use `getTabForBrowser
You may find more details about this deprecation at: https://developer.mozilla.org/docs/Mozi ... ForBrowser
chrome://browser/content/tabbrowser.xml 426 _getTabForBrowser
chrome://ublock/content/js/vapi-background.js 388 getTabForBrowser
chrome://ublock/content/js/vapi-background.js 509 vAPI.tabs.getTabId
chrome://ublock/content/js/vapi-background.js 1366 vAPI.net.registerListeners/locationChangedListener
Deprecated.jsm:79:0
flags argument of String.prototype.{search,match,replace} is deprecated ssl-observatory.js:328:13
L'évènement « key » n'est pas disponible pour certaines dispositions de clavier : key="c" modifiers="accel,alt" browser.xul
L'évènement « key » n'est pas disponible pour certaines dispositions de clavier : key="i" modifiers="accel,alt,shift" browser.xul
[NoScript XSS] Nettoyé téléversement suspicieux vers [https://compte.laposte.net/login.do] depuis [https://www.laposte.net/accueil] : transformé en une simple requête de téléchargement GET.
La méthode « nsIJSON.encode » est obsolète. Veuillez utiliser la méthode « JSON.stringify » à la place. ssl-observatory.js:625:31
1479996563348 Toolkit.Telemetry WARN TelemetryStorage::_scanArchive - have seen this id before: 56f733d8-66c3-4e23-b8f3-e650be43e044, overwrite: false
aucun élément trouvé data::1:1
1479996565578 addons.productaddons ERROR Request failed certificate checks: [Exception... "SSL is required and URI scheme is not https." nsresult: "0x8000ffff (NS_ERROR_UNEXPECTED)" location: "JS frame :: resource://gre/modules/CertUtils.jsm :: checkCert :: line 145" data: no] Log.jsm:751:0
1479996565579 Toolkit.GMP ERROR GMPInstallManager.simpleCheckAndInstall Could not check for addons: [Exception... "SSL is required and URI scheme is not https." nsresult: "0x8000ffff (NS_ERROR_UNEXPECTED)" location: "JS frame :: resource://gre/modules/CertUtils.jsm :: checkCert :: line 145" data: no] Stack trace: checkCert()@resource://gre/modules/CertUtils.jsm:145 < downloadXML/</success()@resource://gre/modules/addons/ProductAddonChecker.jsm:113 Log.jsm:751:0

***************************************************************
j'ai essayé d'accéder au site webmail de la poste par l'intermédiaire de tor, j'ai le même avertissement, j'ai également rebooté la box, j'ai appelé
plus de dix fois les services de la poste, pour eux pas de soucis, mais la veille comme par hasard ils en avaient, j'ai également fait addon par addon, réinitialisé firefox voilà je ne sais plus que faire si vous avez une idée je suis preneur,
encore merci
marco polo
mepis +mandriva+suse+ win xp home de tant en tant,
"... de temps en temps", cela serait plus correct -"


marco polo
marco polo
 
Messages: 272
Inscription: 10 07 2005
Localisation: france

Re: noscript a filtre une tentative de script entre sites cr

Messagede pierre » 24 11 2016

Bonsoir Marco Polo

Tu as vu ça :

ERROR Request failed certificate checks: [Exception... "SSL is required and URI scheme is not https."


Est-ce que l'un des add-on ne serait pas en cause.

Que dit ssleuth ?
httpseverywhere devrait forcer https.


Je vient d'aller sur https://www.laposte.net

1/ je suis renvoyé sur laposte.fr
2/ il n'y a pas de certificat (vérifié en forçant le https à la main).
5 minutes plus tard, il y a un certificat. C'est " flottant " leur truc ou ils sont en maintenance ?

Essaye maintenant (sur laposte.fr, pas .net)

Cordialement
Avatar de l’utilisateur
pierre
 
Messages: 23008
Inscription: 20 05 2002
Localisation: Ici et maintenant

Re: noscript a filtre une tentative de script entre sites cr

Messagede marco polo » 24 11 2016

bonsoir Pierre,
j'ai suivi tes conseils, voila le résultat de l'essai de connexion
1 - blocage par noscript de laposte.fr ensuite laposte.net, sleuth note le certificat 7,8 copie du presse papiers de sleuth

Suite de chiffrement
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Échange de clés : Elliptic curve Diffie-Hellman.
Authentification : RSA.
Chiffrement brut : AES CBC 256 bits.
HMAC : SHA-1.
Confidentialité persistante (PFS): Oui
Version SSL/TLS : TLSv1.2
État de la connexion : Sécurisée
Certificat
Validation étendue : Non
Signature : SHA-256/RSA
Clé : 2048 bits RSA
Nom courant : compte.laposte.net
Délivré à : LA POSTE
Délivré par : Entrust, Inc. See www.entrust.net/legal-terms
Validité : 18/04/201615:39:51 -- 18/04/201816:09:49
Empreinte numérique : BC:9F:8A:F1:57:C7:3A:12:E3:C7:C1:57:A7:F5:83:10:10:25:57:FC:CE:97:CE:54:49:34:52:81:A8:16:24:A1
copie de la console java bloque par noscript :
sharemenot:TypeError: tabs.activeTab is undefined
Trace de la pile :
initialize@resource://gre/modules/commonjs/toolkit/loader.js -> resource://sharemenot-at-franziroesner- ... er.js:68:2
exports.main@resource://gre/modules/commonjs/toolkit/loader.js -> resource://sharemenot-at-franziroesner- ... in.js:85:2
run@resource://gre/modules/commonjs/toolkit/loader.js -> resource://gre/modules/commonjs/sdk/add ... r.js:153:1
startup/</<@resource://gre/modules/commonjs/toolkit/loader.js -> resource://gre/modules/commonjs/sdk/add ... er.js:87:9
Handler.prototype.process@resource://gre/modules/Promise.jsm -> resource://gre/modules/Promise-backend.js:933:23
this.PromiseWalker.walkerLoop@resource://gre/modules/Promise.jsm -> resource://gre/modules/Promise-backend.js:812:7
this.PromiseWalker.scheduleWalkerLoop/<@resource://gre/modules/Promise.jsm -> resource://gre/modules/Promise-backend.js:746:1
runner.js:166
sharemenot:TypeError: tabs.activeTab is undefined
Trace de la pile :
initialize@resource://gre/modules/commonjs/toolkit/loader.js -> resource://sharemenot-at-franziroesner- ... er.js:68:2
exports.main@resource://gre/modules/commonjs/toolkit/loader.js -> resource://sharemenot-at-franziroesner- ... in.js:85:2
run@resource://gre/modules/commonjs/toolkit/loader.js -> resource://gre/modules/commonjs/sdk/add ... r.js:153:1
startup/</<@resource://gre/modules/commonjs/toolkit/loader.js -> resource://gre/modules/commonjs/sdk/add ... er.js:87:9
Handler.prototype.process@resource://gre/modules/Promise.jsm -> resource://gre/modules/Promise-backend.js:933:23
this.PromiseWalker.walkerLoop@resource://gre/modules/Promise.jsm -> resource://gre/modules/Promise-backend.js:812:7
this.PromiseWalker.scheduleWalkerLoop/<@resource://gre/modules/Promise.jsm -> resource://gre/modules/Promise-backend.js:746:1
Promise-backend.js:936
TypeError: Components.lookupMethod is not a function ta_utils.js:35:4
TypeError: target.selectedBrowser is undefined RemoteAddonsParent.jsm:881:7
When cancelling a request for https://www.laposte.fr/bundles/digitasl ... avicon.ico because the inner window was destroyed or a new favicon was loaded for it, it was already canceled! PlacesUIUtils.jsm:109:0
TypeError: target.selectedBrowser is undefined RemoteAddonsParent.jsm:881:7
NS_ERROR_ILLEGAL_VALUE: Component returned failure code: 0x80070057 (NS_ERROR_ILLEGAL_VALUE) [nsIX509Cert.equals] ssl-observatory.js:472:0
TypeError: Components.lookupMethod is not a function ta_utils.js:35:4
TypeError: browser.currentURI is undefined
vapi-background.js:781:9
TypeError: this._recipeManager is null LoginManagerParent.jsm:185:9
TypeError: target.selectedBrowser is undefined RemoteAddonsParent.jsm:881:7
[NoScript XSS] Nettoyé téléversement suspicieux vers [https://compte.laposte.net/login.do] depuis [https://www.laposte.net/accueil] : transformé en une simple requête de téléchargement GET.
La méthode « nsIJSON.encode » est obsolète. Veuillez utiliser la méthode « JSON.stringify » à la place. ssl-observatory.js:625:31
TypeError: Components.lookupMethod is not a function ta_utils.js:35:4
j************************************************************************************************************

j'ai l'impression que google ne reconnait pas ce certificat, à un moment j'ai eu ce message dans la console java

encore merci, bonne soirée, cordialement

marco polo
mepis +mandriva+suse+ win xp home de tant en tant,
"... de temps en temps", cela serait plus correct -"


marco polo
marco polo
 
Messages: 272
Inscription: 10 07 2005
Localisation: france

Re: noscript a filtre une tentative de script entre sites cr

Messagede pierre » 24 11 2016

Je pense que la poste passe des données ou paramètres de .fr à .net et que NoScript n'aime pas la manière dont c'est fait
[NoScript XSS] Nettoyé téléversement suspicieux vers [https://compte.laposte.net/login.do] depuis [https://www.laposte.net/accueil] : transformé en une simple requête de téléchargement GET.

Désactive NoScript, pour voir.
Avatar de l’utilisateur
pierre
 
Messages: 23008
Inscription: 20 05 2002
Localisation: Ici et maintenant

Re: noscript a filtre une tentative de script entre sites cr

Messagede Tourix » 24 11 2016

marco polo a écrit:...noscript_security_suite-2.9.0.2-sm+fx+fn.xpi
Bonsoir, la dernière version de NoScript c'est 2.9.5.1

L'accueil de la Poste est en .fr sauf le WebMail qui lui est en .net
Par contre en haut dans le bandeau noir de "Particuliers à Le groupe la Poste" tous ces liens sont en http.
Avec SSleuth, c'est 10/10 (Délivré par : IZENPE S.A. BZ Ziurtagiri publikoa - Certificado publico EV) sinon rien à signaler de mon côté avec NoScript.
...test signature
Avatar de l’utilisateur
Tourix
 
Messages: 547
Inscription: 10 06 2014

resolu

Messagede marco polo » 25 11 2016

bonjour pierre,toourix et bonjour à tous

résolu,

j'ai désactivé noscript

installé extension blender
désactivé Serlf Destructing cookie
installé cookie monster
désactivé java par about:config
et le tout fonctionnne bien
comme tu le disais un addon qui gênait, et j'ai remarqué
que sur de plus en plus de sites noscript n'est plus accepté
apparemment le site de la poste fonctionne en HTML5 je n'installe
plus flash.
autre chose également netcraft signale que parfois la faille hearblead existe toujours un triangle rouge apparait dans la barre netcraft,
encore merci pour tout, sans le forum d'assiste je n'aurais jamais
trouvé
bonne journee à tous
encore merci
marco polo et de bonnes fêtes de fin d'année et de santé

posting.php?mode=reply&f=98&t=31327#
mepis +mandriva+suse+ win xp home de tant en tant,
"... de temps en temps", cela serait plus correct -"


marco polo
marco polo
 
Messages: 272
Inscription: 10 07 2005
Localisation: france


Retourner vers Internet (tous navigateurs - navigation) et moi

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité

cron