Une vulnérabilité a été identifiée dans certains explorateurs web, elle pourrait être exploitée par des sites malicieux dans le but de exécuter des attaques par spoofing
(technique permettant à un pirate d'envoyer à une machine des paquets semblant provenir d'une autre adresse IP que celle de la machine du pirate) ou phishing
(terme désignant l'obtention d'informations confidentielles telles que les mots de passe, en se faisant passer pour quelqu'un digne de confiance).Le problème résulte d'une erreur présente au niveau de l'implémentation de l’IDN (International Domain Name), qui n'interprète pas convenablement certaines URLs forgées contenant des caractères spécieux, ce qui pourrait permettre le spoofing des URLs présentes dans la barre d'adresses ou de certains certificats SSL. L'exemple donné par shmoo est le suivant:
http://www.pаypal.com
affichera dans la barre d'adresses l'URL : http://www.paypal.com
(celle désirée), mais pointera en réalité vers le l’adresse http://www.xn--pypal-4ve.com
. Le navigateur devient donc vulnérable.Pour le moment seuls certains
navigateurs sont susceptibles de subir une attaque
: - Mozilla 1.7.5 et inférieures
- Firefox 1.0 et inférieures
- Opera version 7.54u2 et inférieures
- Safari version 1.2.4 (v125.1) et inférieures
- OmniWeb version 5.1 et inférieures
- Konqueror version 3.2.2 et inférieures
Aucune solution officielle n’a été trouvée, et aucun patch ne corrige l’erreur. Il est cependant important de noter que pour une fois, Microsoft Internet Explorer n'est pas vulnérable à cette attaque, car il n'implémente par l'IDN.
Shmoo à mis en oeuvre une page de test avec l"exemple suscité.
Mise à jour:
il semble que chez certaines personnes, on puisse résoudre le problème en désactivant l'IDN sur les navigateurs Gecko (Mozilla, Firefox, Galeon, Epiphany, etc.) :- saisissez "about:config" dans la barre d'adresse
- tapez "idn" dans le filtre
- double-cliquez sur la valeur
- remplacez true par false
Annonces Google
Plus sérieusement, IE n'implémente pas la feature donc bon... il s'en tire pas avec les honneurs non plus.
En réalité il ne s'agit pas d'une faille de FireFox, mais d'une faille dans le système IDN. Tous les navigateurs sont touchés (Firefox et Mozilla, mais aussi tous les autres comme Opera) parce qu'il ne s'agit pas d'un bug mais d'un problème découlant d'une norme.
Pour une fois, IE est épargné. Non pas parce qu'il est bien programmé mais parce qu'il n'implémente pas IDN.
En ce qui concerne le patch, il est aussi désinformateur et érronné de dire que l'équipe de FireFox ne prévoit aucun correctif. Le problème c'est evidement que ce n'est pas aussi simple, justement parce que ce n'est pas un simple bug de FireFox mais bien un problème relatif a un standard (ce qui rends la solution moins evidente). L'ennui c'est que cela demandera certainement reflexion pour savoir comment ce problème devra être traité.
Nous pouvons, je pense, compter sur l'équipe de FireFox pour règler au plus vite ce problème.
En attendant il suffit pour ne pas se faire piéger de ne pas accéder au site EBay (ou d'autres) en cliquant sur un lien pris au hasard sur le net mais plutot en tapant l'URL ou en utilisant ses bookmarks.
au moins on peut pas se faire avoir avec IE
:lol:
Tu en est vraiment sûr ?
Le titre raccoleur est franchement désinformateur.
En réalité il ne s'agit pas d'une faille de FireFox, mais d'une faille dans le système IDN. Tous les navigateurs sont touchés (Firefox et Mozilla, mais aussi tous les autres comme Opera) parce qu'il ne s'agit pas d'un bug mais d'un problème découlant d'une norme.
Pour une fois, IE est épargné. Non pas parce qu'il est bien programmé mais parce qu'il n'implémente pas IDN.
En ce qui concerne le patch, il est aussi désinformateur et érronné de dire que l'équipe de FireFox ne prévoit aucun correctif. Le problème c'est evidement que ce n'est pas aussi simple, justement parce que ce n'est pas un simple bug de FireFox mais bien un problème relatif a un standard (ce qui rends la solution moins evidente). L'ennui c'est que cela demandera certainement reflexion pour savoir comment ce problème devra être traité.
Nous pouvons, je pense, compter sur l'équipe de FireFox pour règler au plus vite ce problème.
En attendant il suffit pour ne pas se faire piéger de ne pas accéder au site EBay (ou d'autres) en cliquant sur un lien pris au hasard sur le net mais plutot en tapant l'URL ou en utilisant ses bookmarks.
Ahaha, on sait tous tres bien que Firefox ca rox et ie sux, y a pas besoin d'un paté (a peine raccoleur d'ailleur
Tu en est vraiment sûr ?
oui oui
Je cite : "This works in everything except IE (ha!)"
m'enfin ca n'enlèvera pas la brouette de patch / mois
Vite je vire mon firefox pour ré-installer IE.... Nan je deconne.
:sol:
:sol:
toujours sur amiga OS toi
toujours sur amiga OS toi
Par contre, j'ai testé Firefox sous BeOs
En fait, en une soirée, j'ai téléchargé 20 Go d'ISO Linux / BeOS / FreeBSD ...
T'a du chemin à faire pour sortir du nerdisme toi
Je sais ...
Aller, d'ailleurs, je vais me coucher de ce pas ...
Bonne nuit les gens
(et bon surf avec FireFox
http://www.boingboing.net/2005/02/ [...] loit_.html
Est-il nécessaire de mettre à jour la news ?
Bonne nuit Francky
[HS]
Au fait je suis sous Mozilla
Les deux "a" ont la même apparence, mais ne correspondent pas au même caractère. et donc le paypal.com cyrillique pointe vers une autre adresse.
C'est pas une faille, c'est comme ça. Il n'avaient qu'à y réfléchir avant d'autoriser les noms de domaine internationaux...
J'ai Konqueror 3.3.2 donc c'est deja corrigé le bug
Je veux pas te décevoir, mais konqueror 3.3.2 affiche la même chose que tout le monde. (testé sur Debian Sid). Et heureusement, parce que ça voudrait dire qu'il ne sait pas afficher du cyrillique. Il n'y a donc pas de bug : le bug aurait été qu'un navigateur ne puisse pas afficher le paypal.com cyrillique.
Le seul début de solution que je vois est de mettre un avertissement lorsque l'ensemble des caractères d'une URL n'appartient pas à un même sous-ensemble unicode. Ex : si l'URL contient des caractères cyrilliques ET des caractères latins, alors il faut afficher un message d'avertissement au phishing. Mais ça ne marche pas à tous les coups. Pour une adresse du type aaa.com, comment savoir s'il s'agit de "a" cyrilliques ou de "a" latin ?
Pour désactiver ça rapidement sur les navigateurs Gecko (Mozilla, Firefox, Galeon, Epiphany, etc.) :
1) tapez "about:config" dans la barre d'adresse
2) tapez "idn" dans le filtre
3) double-cliquez sur la valeur
4) remplacez true par false
sinon bravo pour vos posts interessants et utiles à toi et sr17.
L'extension spoostick ne sert à rien apparemment contre ce spoofing ?
je vais pas mettre a jour
quezako> ca marche pas chez moi
je vais pas mettre a jour
tás fermé et redémarré ton FF ?
j'éditerais tout a l'heure
sur firebird 0.7
?!?
Et pardon, mais même sous IE on peut constater le probleme, à condition d'installer le plugin i-Nav™ : http://www.idnnow.com/index.jsp?lang=fr
Pour désactiver ça rapidement sur les navigateurs Gecko (Mozilla, Firefox, Galeon, Epiphany, etc.) :
1) tapez "about:config" dans la barre d'adresse
2) tapez "idn" dans le filtre
3) double-cliquez sur la valeur
4) remplacez true par false
Testez et vous verrez
En gros faut faire à chaque fois la manip about:config, remettre à true puis encore à false pour que ce soit effectif (en supposant que c'était déjà à false).
En attendant le patch qui corrige ce (petit!) problème, je ne vois pas d'autres solutions que cette manip!
Mais que cette faille de l'IDN ne soit pas une raison pour certains de repasser pour le navigateur vermoulu de Crosoft...
Testez et vous verrez
En gros faut faire à chaque fois la manip about:config, remettre à true puis encore à false pour que ce soit effectif (en supposant que c'était déjà à false).
En attendant le patch qui corrige ce (petit!) problème, je ne vois pas d'autres solutions que cette manip!
Mais que cette faille de l'IDN ne soit pas une raison pour certains de repasser pour le navigateur vermoulu de Crosoft...
Je confirme
Ca ressemble à un bug ca d'ailleurs non
Le titre raccoleur est franchement désinformateur.
En réalité il ne s'agit pas d'une faille de FireFox, mais d'une faille dans le système IDN. Tous les navigateurs sont touchés (Firefox et Mozilla, mais aussi tous les autres comme Opera) parce qu'il ne s'agit pas d'un bug mais d'un problème découlant d'une norme.
Pour une fois, IE est épargné. Non pas parce qu'il est bien programmé mais parce qu'il n'implémente pas IDN.
En ce qui concerne le patch, il est aussi désinformateur et érronné de dire que l'équipe de FireFox ne prévoit aucun correctif. Le problème c'est evidement que ce n'est pas aussi simple, justement parce que ce n'est pas un simple bug de FireFox mais bien un problème relatif a un standard (ce qui rends la solution moins evidente). L'ennui c'est que cela demandera certainement reflexion pour savoir comment ce problème devra être traité.
Nous pouvons, je pense, compter sur l'équipe de FireFox pour règler au plus vite ce problème.
En attendant il suffit pour ne pas se faire piéger de ne pas accéder au site EBay (ou d'autres) en cliquant sur un lien pris au hasard sur le net mais plutot en tapant l'URL ou en utilisant ses bookmarks.
et j'ai un site de roms et il utilise paypal
pas de chance je ne peut plus aller sur ebay via forefox maintenant ? (j'y vais au moins 1 fois par semaine)
et j'ai un site de roms et il utilise paypal
ba si on prend ton raisonnement on ne peut plus aller sur aucun site
ah ca marche
j'éditerais tout a l'heure
profite en pour effacer la faute a spéciaux (et non " contenant des caractères spécieux")
bon quand il auras pas de pacth j'utilise ie
Y'en a qui ont le goût du risque
Titre et news tout pourri, TF1/M6-Like.
ah ca marche
j'éditerais tout a l'heure
tu peux déjà éditer pour changer le titre
il y a quoi de marrant?
imagines que tu aies un programme X.
tu installes un programme Y, qui rajoute un plug-in dans X, et tous les autres progs l'acceptant qu'il trouve ; Y a un bug, qui fait merder tous les programmes qui ont un plug-in de Y, dont X ; il serait totalement [g]faux[/g] de dire que X a un bug...
profite en pour effacer la faute a spéciaux (et non " contenant des caractères spécieux")
:lol:
spécieux est un terme francais, il convient parfaitement
tu peux déjà éditer pour changer le titre
non