WebMail Objects : précisions

Je fais suite à cet article à propos du webmail de .mac. La faille n’est pas vraiment une faille, mais une “feature”. C’est généralement ce que l’on dit des bugs de principe. 🙂

L’explication est simple : webmail est réalisé en WebObjects, qui gère les sessions côté serveur (dans l’application créée à la première connection). L’identifiant de la session est visible dans l’URL. On peut ainsi accéder au webmail depuis un autre browser, par simple copier coller de l’URL, voire d’une autre machine.

J’ignore si Apple a, en plus de cet identifiant de session, limité l’accès depuis une IP donnée. Ça serait à la fois logique et plus sûr. Cependant, malgrès cette précaution, le système conserve une faille : NAT (network address translation). Derrière un routeur, ou sur une connection Internet partagée, l’adresse IP vue depuis le serveur sera la même pour plusieurs machines.

Ceci dit, chaque session a une durée de vie limitée, et meurt après un temps d’inactivité relativement court. Invalidant ainsi les URL éventuellement conservés dans l’historique.

Pour ce qui est des traductions maintenant. WebObjects permet très simplement de réaliser des sites multilangues. Et là, clairement, c’est purement une question de boulot de la part d’Apple, et non une question technique comme ci-dessus.

J’ai tout dit. 🙂