nouvelle faille :l'usurpation d'identité de site web via XU
Numéro de compte mémorisé
Le fait de pas voir apparaître son numéro de compte, mémorisé dans les entrées de formulaires, peut-il est un moyen de détection ?
A propos, peut-on considérer comme réellement fiable l'ensemble de ces mémorisations (entrées de formulaires et mots de passe) ?
Cette nouvelle m'inquiète un peu.
A propos, peut-on considérer comme réellement fiable l'ensemble de ces mémorisations (entrées de formulaires et mots de passe) ?
Cette nouvelle m'inquiète un peu.
Re: Numéro de compte mémorisé
Cela n'est pas acces fiable, si on n'as jamais enregistré d'info sur la pages...Penkear a écrit :Le fait de pas voir apparaître son numéro de compte, mémorisé dans les entrées de formulaires, peut-il est un moyen de détection ?
En soit oui, il n'y as pas de probléme. Les site n'ont pas acces à cela puisque c'est firefox qui le gére à 100% et qu'il enregistre les info pour une pages définit. Mais s'il s'avérait qu'il y est une faille de sécuriter qui touche cette gestion cela pourais être dangueureux, mais cela est générale pour tout les naviguateur.Penkear a écrit :A propos, peut-on considérer comme réellement fiable l'ensemble de ces mémorisations (entrées de formulaires et mots de passe) ?
Là c'est à toi d'évaluer les risque que tu est pret à prendre... Sur qu'elle site tu accepte d'enregistré ton mots de passe, si tu accepte les cookie...
Faut pas non plus avoir trop peur de cette faille... Car pour acceder à ce genre de pages, il faut avoir au préalable cliquer sur un lien... Donc la premiére sécuriter c'est savoir sur quoi tu clic... Si tu est sur le site de amazone, que tu fait une comande et la il passe en payment sécuriser, tu ne craind rien, car il n'y as pas de raison pour que amazone est fait cela.
Maintenant si tu est sur : www.monEntrepriseDansMonGarange.fr.st est que tu commende un ordi complet derniére génération pour 10 et que tu tombe sur une pages de payment sécuriser. Là oui tu peux avoir peur...
Inscrit sur la liste des abonner absent...
Comme il sse doit, il y a eu plein de discussions éparses sur ce sujet pendant que j'étais à la piscine et que je ne pouvais pas faire le gendarme...
Donc pour mémoire, il y a cette "solution provisoire" proposée par jv :
Donc pour mémoire, il y a cette "solution provisoire" proposée par jv :
Ref. : http://www.geckozone.org/forum/viewtopic.php?t=7720jv2759 a écrit :Ils y as une autre solution :
// Always display the menu in pop-up windows:
user_pref("dom.disable_window_open_feature.menubar", true);
dans user.js... Ainsi un site n'as pas le droit de cacher la barre de menu... Ainsi si on tombe sur ce probléme la barre de menu et dedoubler et on vois le pb tout de suite...
je pense que ça peut être intéressanr :L.S a écrit :bonjour à tous
est-ce que quelqu'un pourrait donner des précisions sur l'interet de l'extension "spoofstick", en fait ce à quoi elle sert ...
& si son utlité peut avoir un lien quelconque avec la faille qui nous préoccupe ici???
d'avance merci
http://forum.pcastuces.com/sujet.asp?pa ... 82򁪐
-
- Salamandre
- Messages : 24
- Inscription : 14 juil. 2004, 18:53
pour suivre le sujet...
Dernière modification par adams.familly le 02 août 2004, 14:16, modifié 1 fois.
merci pour le lien l'invité
et en fait , en complément, j'obtiens le même résultat avec spoofstick mais sans TBE
donc à priori tu peux préciser à Ayora que spoofstick est fonctionnel même sans TBE
sinon y a un truc que je pige pas sur ton screen dans pc-astuce:
dans le premier extrait, on aperçoit ta bookmarktoolbar personnalisée avec tes sites
or dans le deuxième screen, on voit la même ou presque or j'avais cru comprendre que cette usurpation de site ne pouvait pas reproduire ce qui était personnalisé, chez moi par exemple, la barre spoofstick n'est pas à sa place d'origine & quand j'ai suivi le lien pour voir ce que donnait un "faux" site, il m'a représenté FF comme au premier jour & la barre spoof à sa place initiale & j'avoue que je ne me souviens pas du résultat pour cette bookmarkbar....
et en fait , en complément, j'obtiens le même résultat avec spoofstick mais sans TBE
donc à priori tu peux préciser à Ayora que spoofstick est fonctionnel même sans TBE
sinon y a un truc que je pige pas sur ton screen dans pc-astuce:
dans le premier extrait, on aperçoit ta bookmarktoolbar personnalisée avec tes sites
or dans le deuxième screen, on voit la même ou presque or j'avais cru comprendre que cette usurpation de site ne pouvait pas reproduire ce qui était personnalisé, chez moi par exemple, la barre spoofstick n'est pas à sa place d'origine & quand j'ai suivi le lien pour voir ce que donnait un "faux" site, il m'a représenté FF comme au premier jour & la barre spoof à sa place initiale & j'avoue que je ne me souviens pas du résultat pour cette bookmarkbar....
-
- Salamandre
- Messages : 24
- Inscription : 14 juil. 2004, 18:53
-
- Salamandre
- Messages : 24
- Inscription : 14 juil. 2004, 18:53
oui en effet c'est + clair
excuse-moi, je n'avais pas pris le temps d'aller à la page 1
continue ainsi
juste une remarque concernant TBE: trés lourde comme extension, voire instable chez certain alors pour les gens qui débuteraient sur FF, comme moi, ce n'est peut-être pas la plus évidente à parametrer ( par rapport à TBP lite ou Singlewindow )
excuse-moi, je n'avais pas pris le temps d'aller à la page 1
continue ainsi
juste une remarque concernant TBE: trés lourde comme extension, voire instable chez certain alors pour les gens qui débuteraient sur FF, comme moi, ce n'est peut-être pas la plus évidente à parametrer ( par rapport à TBP lite ou Singlewindow )
-
- Salamandre
- Messages : 24
- Inscription : 14 juil. 2004, 18:53
-
- Salamandre
- Messages : 24
- Inscription : 14 juil. 2004, 18:53
Si j'ai bien compris le fonctionnement de spoofstick, ça ne résoud pas le probleme :
* Tant que ce n'est qu'une extension, l'utilisateur lambda ne l'aura pas installée, et donc ce fera avoir. Il est (presque) évident depuis le début qu'une personne avisée peut voir le piege, il y a pleins d'indices, mais le probleme est pour "la famille tout-le-monde".
* Si cette extension est installée par défaut, le pirate sait qu'elle affiche le nom du site, et il peut très facilement rajouté une fausse barre "spoofstick" dans son fichier XUL.
* Tant que ce n'est qu'une extension, l'utilisateur lambda ne l'aura pas installée, et donc ce fera avoir. Il est (presque) évident depuis le début qu'une personne avisée peut voir le piege, il y a pleins d'indices, mais le probleme est pour "la famille tout-le-monde".
* Si cette extension est installée par défaut, le pirate sait qu'elle affiche le nom du site, et il peut très facilement rajouté une fausse barre "spoofstick" dans son fichier XUL.
-
- Salamandre
- Messages : 24
- Inscription : 14 juil. 2004, 18:53
re,
Quand on passe sur Firefox, on est bien obligé de s'intéresser un peu à son utilisation, ne serait ce qu'à cause des plug-in nécessaires pour afficher certains sites ...
à mon avis, la "famille tout le monde" est sur IE, pas sur firefox...mais le problème est pour "la famille tout-le-monde".
Quand on passe sur Firefox, on est bien obligé de s'intéresser un peu à son utilisation, ne serait ce qu'à cause des plug-in nécessaires pour afficher certains sites ...
il est bien évident que ça doit rester une extension, sinon ça remettrait en cause le principe de firefox, qui est un navigateur très léger, avec le minimum nécessaire ...Tant que ce n'est qu'une extension, l'utilisateur lambda ne l'aura pas installée, et donc ce fera avoir.
vu que cette extension n'est pas, et ne sera pas installée par défaut, pas de problèmes...Si cette extension est installée par défaut, le pirate sait qu'elle affiche le nom du site, et il peut très facilement rajouté une fausse barre "spoofstick" dans son fichier XUL.
Qui est en ligne ?
Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité