nouvelle faille :l'usurpation d'identité de site web via XU

Des nouvelles intriguent, portent à réactions ; des rumeurs courent et vous voulez débattre le vrai du faux. C'est simple : ce forum est dédié à ceux qui se sont laissés tenter par la pomme de la connaissance.
Laurentj2

nouvelle faille :l'usurpation d'identité de site web via XU

Message par Laurentj2 » 30 juil. 2004, 10:08

Tout est expliqué ici

http://linuxfr.org/2004/07/29/16929.html

Par contre, je n'ai pas vu de bug le signalant dans Bugzilla. Personne n'est au courant ?

Jigho
Iguane
Messages : 637
Enregistré le : 29 juil. 2003, 08:44

Message par Jigho » 30 juil. 2004, 10:47

J'ai redirigé ici un sujet équivalent :
phoenix a écrit :C'est nouveau ou pas cette histoire???
http://www.presence-pc.com/news/n4567.html

J'ai rien trouvé à ce propos sur mozillazine. Quelqu'un a des info ou c'est ppc qui est à coté de ses pompes?
Image

phoenix
Lézard vert
Messages : 154
Enregistré le : 19 déc. 2003, 19:46

Message par phoenix » 30 juil. 2004, 10:52

Le pire, si j'ai bien compris, c'est que c'est pas vraiment une faille de sécurité mais plutôt inhérent au mode de fonctionnement de Mozilla puisqu'il s'agit de charger un fichier xul.

Jigho
Iguane
Messages : 637
Enregistré le : 29 juil. 2003, 08:44

Message par Jigho » 30 juil. 2004, 10:58

Une réponse postée dans l'autre sujet, que j'ai fermé depuis :
siruphi a écrit :salut !

je viens de tester, et c'est en effet sérieux :

http://www.nd.edu/~jsmith30/xul/test/spoof.html
le test te fais croire que tu es sur Paypall, et on se croit vraient sur Paypall

pire, ça te change la barre de menu (celle qui contient Fichier, Édition, etc.) mais on ne s'en rend pas compte sauf si on ouvre le menu 'marque-pages' car les marque-pages n'y sont plus

mais comme ils disent
In order for this spoof to have maximal effect, you should allow Javascript to hide the status bar [Tools | Options | Web Features | Advanced | Hide the status bar] which is the default setting on all versions of Firefox 0.9 (!). You also should not have enabled any screen clutter, like any non-default toolbars.
traduction rapide
il faut autoriser Javascript de masquer la barre d'état (ce qui est le cas par défault (!)), et ne pas avoir modifier l'interface de Firefox en ayant changé la barre de menu par défault
c'est bluffant, espérons qu'un patch sortira bientôt !
Image

Ptit Lutin
Iguane
Messages : 623
Enregistré le : 26 juin 2004, 14:02

Message par Ptit Lutin » 30 juil. 2004, 11:10

Ces failles sont maintenant corrigées :
http://www.geckozone.org/forum/viewtopi ... 8660#48660

Je pense qu'un patch ou une nouvelle version ne devrait pas tarder.

SB
Varan
Messages : 1095
Enregistré le : 05 mars 2004, 18:38

Message par SB » 30 juil. 2004, 11:19

Je suis pas sur qu'on parle des mêmes failles.

jv2759
Tyrannosaurus Rex
Messages : 4161
Enregistré le : 12 févr. 2004, 14:29

Message par jv2759 » 30 juil. 2004, 11:20

Tu est sur que ce sont les corectif corespondant?

Car les bug parle d'usurpation d'identiter pour les certificat. Que la c'est un probléme de fausse interface...
Inscrit sur la liste des abonner absent...

Ptit Lutin
Iguane
Messages : 623
Enregistré le : 26 juin 2004, 14:02

Message par Ptit Lutin » 30 juil. 2004, 11:30

:oops: En effet je suis allé un peu vite en besogne désolé

J'ai regardé sur Bugzilla mais je n'ai pas encore trouvé de bug correspondant

Humpfff
Tyrannosaurus Rex
Messages : 2451
Enregistré le : 05 avr. 2004, 13:23

Message par Humpfff » 30 juil. 2004, 11:34

l'alerte Secunia datée du 30/07/04 [echelle 3/5]

les bugs liés :
BUG 244965
BUG 252198

jv2759
Tyrannosaurus Rex
Messages : 4161
Enregistré le : 12 févr. 2004, 14:29

Message par jv2759 » 30 juil. 2004, 11:36

La seul solution, mettre en place un systéme de certificat pour les application xul, provenant d'autre chose que la machine web elle même...
Inscrit sur la liste des abonner absent...

Monique
Lézard à collerette
Messages : 476
Enregistré le : 05 janv. 2004, 23:21

Message par Monique » 30 juil. 2004, 14:00

Bonjour,

J'ai un peu de mal à comprendre :oops:

J'ai fait le test de la page http://www.nd.edu/~jsmith30/xul/test/spoof.html

J'obtiens :
- dans la barre de menu : <-- fake menubar
- la barre d'adresse a un fond jaune
- dans la barre de recherche : this bar is also false

De plus, comme je n'ai pas laissé le thème par défaut et que j'ai personnalisé la barre d'outil, la différence saute aux yeux.
Dans les options avancées de JavaScript, j'ai coché uniquement "changer les images d'une page" (je ne sais d'ailleurs plus pourquoi :oops: )

Vous pouvez expliquer un peu aux non-informaticiens ?
Amicalement,
Monique
Mozilla-Belgium | OpenWeb | Opquast

Thomas
Varan
Messages : 1907
Enregistré le : 07 janv. 2004, 17:29

Message par Thomas » 30 juil. 2004, 14:17

Monique a écrit :J'obtiens :
- dans la barre de menu : <-- fake menubar
- la barre d'adresse a un fond jaune
- dans la barre de recherche : this bar is also false
C'est enlevable. L'auteur de ce script pour decouvrir la faille a fait exprès de mettre ces indications ;)
Monique a écrit :De plus, comme je n'ai pas laissé le thème par défaut et que j'ai personnalisé la barre d'outil, la différence saute aux yeux.
Dans les options avancées de JavaScript, j'ai coché uniquement "changer les images d'une page" (je ne sais d'ailleurs plus pourquoi :oops: )

Vous pouvez expliquer un peu aux non-informaticiens ?
Effectivement quand on a pas le thème ni l'emplacement des boutons par defaut ça saute aux yeux, sinon si il n'y avait pas les indications en rouge on pourrait facilement se faire prendre. On remarquera aussi que les à chaque chagement d'une page? ;)
Anciennement Toto.

L.S
Arias
Messages : 7
Enregistré le : 05 juil. 2004, 19:46

Message par L.S » 30 juil. 2004, 14:21

bonjour à tous

est-ce que quelqu'un pourrait donner des précisions sur l'interet de l'extension "spoofstick", en fait ce à quoi elle sert ...

& si son utlité peut avoir un lien quelconque avec la faille qui nous préoccupe ici???

d'avance merci

Avatar du membre
Mori
Animal mythique
Messages : 13304
Enregistré le : 30 avr. 2004, 19:17

Message par Mori » 30 juil. 2004, 14:48

l'interet de l'extension "spoofstick"
je l'ai utilisée ... un temps... elle est sensée t'indiquer si la page sur laquelle tu surfes a bien le nom réel affiché.
Linux ubuntu MATE 18.04 (x86_64)

Snap
Lézard à collerette
Messages : 362
Enregistré le : 04 juil. 2003, 17:15

Message par Snap » 30 juil. 2004, 14:55

Je ne pense pas qu'elle fonctionne dans une application XUL...

Le mieux est de faire attention lorsque vous allez sur un site banquaire... tapez l'url dans la barre d'adresse sans passer par un site douteux ;)
Notez que le lien ne marche pas dans un nouvel onglet, etc.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Snap

Répondre

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 1 invité