nouvelle faille :l'usurpation d'identité de site web via XU

Des nouvelles intriguent, portent à réactions ; des rumeurs courent et vous voulez débattre le vrai du faux. C'est simple : ce forum est dédié à ceux qui se sont laissés tenter par la pomme de la connaissance.
Penkear
Arias
Messages : 12
Enregistré le : 31 oct. 2003, 11:14

Numéro de compte mémorisé

Message par Penkear » 31 juil. 2004, 19:04

Le fait de pas voir apparaître son numéro de compte, mémorisé dans les entrées de formulaires, peut-il est un moyen de détection ?

A propos, peut-on considérer comme réellement fiable l'ensemble de ces mémorisations (entrées de formulaires et mots de passe) ?

Cette nouvelle m'inquiète un peu.

jv2759
Tyrannosaurus Rex
Messages : 4161
Enregistré le : 12 févr. 2004, 14:29

Re: Numéro de compte mémorisé

Message par jv2759 » 31 juil. 2004, 19:16

Penkear a écrit :Le fait de pas voir apparaître son numéro de compte, mémorisé dans les entrées de formulaires, peut-il est un moyen de détection ?
Cela n'est pas acces fiable, si on n'as jamais enregistré d'info sur la pages...
Penkear a écrit :A propos, peut-on considérer comme réellement fiable l'ensemble de ces mémorisations (entrées de formulaires et mots de passe) ?
En soit oui, il n'y as pas de probléme. Les site n'ont pas acces à cela puisque c'est firefox qui le gére à 100% et qu'il enregistre les info pour une pages définit. Mais s'il s'avérait qu'il y est une faille de sécuriter qui touche cette gestion cela pourais être dangueureux, mais cela est générale pour tout les naviguateur.

Là c'est à toi d'évaluer les risque que tu est pret à prendre... Sur qu'elle site tu accepte d'enregistré ton mots de passe, si tu accepte les cookie...


Faut pas non plus avoir trop peur de cette faille... Car pour acceder à ce genre de pages, il faut avoir au préalable cliquer sur un lien... Donc la premiére sécuriter c'est savoir sur quoi tu clic... Si tu est sur le site de amazone, que tu fait une comande et la il passe en payment sécuriser, tu ne craind rien, car il n'y as pas de raison pour que amazone est fait cela.

Maintenant si tu est sur : www.monEntrepriseDansMonGarange.fr.st est que tu commende un ordi complet derniére génération pour 10€ et que tu tombe sur une pages de payment sécuriser. Là oui tu peux avoir peur...
Inscrit sur la liste des abonner absent...

Jigho
Iguane
Messages : 637
Enregistré le : 29 juil. 2003, 08:44

Message par Jigho » 02 août 2004, 09:25

Comme il sse doit, il y a eu plein de discussions éparses sur ce sujet pendant que j'étais à la piscine et que je ne pouvais pas faire le gendarme...
Donc pour mémoire, il y a cette "solution provisoire" proposée par jv :
jv2759 a écrit :Ils y as une autre solution :

// Always display the menu in pop-up windows:
user_pref("dom.disable_window_open_feature.menubar", true);

dans user.js... Ainsi un site n'as pas le droit de cacher la barre de menu... Ainsi si on tombe sur ce probléme la barre de menu et dedoubler et on vois le pb tout de suite...
Ref. : http://www.geckozone.org/forum/viewtopic.php?t=7720
Image

Invité

Message par Invité » 02 août 2004, 12:43

L.S a écrit :bonjour à tous

est-ce que quelqu'un pourrait donner des précisions sur l'interet de l'extension "spoofstick", en fait ce à quoi elle sert ...

& si son utlité peut avoir un lien quelconque avec la faille qui nous préoccupe ici???

d'avance merci
je pense que ça peut être intéressanr :
http://forum.pcastuces.com/sujet.asp?pa ... 82&#531088

adams.familly
Salamandre
Messages : 24
Enregistré le : 14 juil. 2004, 18:53

Message par adams.familly » 02 août 2004, 14:09

pour suivre le sujet...
:oops:
Modifié en dernier par adams.familly le 02 août 2004, 14:16, modifié 1 fois.

jv2759
Tyrannosaurus Rex
Messages : 4161
Enregistré le : 12 févr. 2004, 14:29

Message par jv2759 » 02 août 2004, 14:15

adams.familly a écrit :pour suivre le sujet...
Quand tu veux suivre un sujet tu peux plus simplement cliquer sur :

Surveiller les réponses de ce sujet

qui ce trouve en bas à droite, cela evide d'envoyer un post...
Inscrit sur la liste des abonner absent...

L.S
Arias
Messages : 7
Enregistré le : 05 juil. 2004, 19:46

Message par L.S » 02 août 2004, 19:44

merci pour le lien l'invité
et en fait , en complément, j'obtiens le même résultat avec spoofstick mais sans TBE
donc à priori tu peux préciser à Ayora que spoofstick est fonctionnel même sans TBE

sinon y a un truc que je pige pas sur ton screen dans pc-astuce:
dans le premier extrait, on aperçoit ta bookmarktoolbar personnalisée avec tes sites
or dans le deuxième screen, on voit la même ou presque or j'avais cru comprendre que cette usurpation de site ne pouvait pas reproduire ce qui était personnalisé, chez moi par exemple, la barre spoofstick n'est pas à sa place d'origine & quand j'ai suivi le lien pour voir ce que donnait un "faux" site, il m'a représenté FF comme au premier jour & la barre spoof à sa place initiale & j'avoue que je ne me souviens pas du résultat pour cette bookmarkbar....

adams.familly
Salamandre
Messages : 24
Enregistré le : 14 juil. 2004, 18:53

Message par adams.familly » 02 août 2004, 19:57

salut L.S,
merci pour tes précisions...
voilà le résultat sur un faux site quand j'agrandis ma capture d'écran :
tu noteras que la barre de menus et la barre de navigation sont en double ...

Image

adams.familly
Salamandre
Messages : 24
Enregistré le : 14 juil. 2004, 18:53

Message par adams.familly » 02 août 2004, 20:15

pour ceux qui n'ont pas vu mon lien, voilà ce que donne spoofstick sur un site "normal"...

Image

L.S
Arias
Messages : 7
Enregistré le : 05 juil. 2004, 19:46

Message par L.S » 02 août 2004, 21:29

oui en effet c'est + clair
excuse-moi, je n'avais pas pris le temps d'aller à la page 1
continue ainsi
juste une remarque concernant TBE: trés lourde comme extension, voire instable chez certain alors pour les gens qui débuteraient sur FF, comme moi, ce n'est peut-être pas la plus évidente à parametrer ( par rapport à TBP lite ou Singlewindow )

adams.familly
Salamandre
Messages : 24
Enregistré le : 14 juil. 2004, 18:53

Message par adams.familly » 02 août 2004, 21:33

je débute aussi sous firefox...
TBP lite, tu le trouve où ?

L.S
Arias
Messages : 7
Enregistré le : 05 juil. 2004, 19:46

Message par L.S » 02 août 2004, 21:54

précisement je ne sais plus
mais une simple recherche sur ce forum te donnera la réponse à moins que qqu qui aura le lien ne te le donne avant
c'est trés "réactif" ici...

mais de toute façon on doit la trouver sur texturiser.net ou sur update.mozilla.org/extensions

adams.familly
Salamandre
Messages : 24
Enregistré le : 14 juil. 2004, 18:53

Message par adams.familly » 02 août 2004, 23:38

ok,
j'ai trouvé, j'ai essayé, mais je préfère TBE... :D

Jigho
Iguane
Messages : 637
Enregistré le : 29 juil. 2003, 08:44

Message par Jigho » 03 août 2004, 08:56

Si j'ai bien compris le fonctionnement de spoofstick, ça ne résoud pas le probleme :

* Tant que ce n'est qu'une extension, l'utilisateur lambda ne l'aura pas installée, et donc ce fera avoir. Il est (presque) évident depuis le début qu'une personne avisée peut voir le piege, il y a pleins d'indices, mais le probleme est pour "la famille tout-le-monde".

* Si cette extension est installée par défaut, le pirate sait qu'elle affiche le nom du site, et il peut très facilement rajouté une fausse barre "spoofstick" dans son fichier XUL.
Image

adams.familly
Salamandre
Messages : 24
Enregistré le : 14 juil. 2004, 18:53

Message par adams.familly » 03 août 2004, 10:37

re,
mais le problème est pour "la famille tout-le-monde".
à mon avis, la "famille tout le monde" est sur IE, pas sur firefox...
Quand on passe sur Firefox, on est bien obligé de s'intéresser un peu à son utilisation, ne serait ce qu'à cause des plug-in nécessaires pour afficher certains sites ...
Tant que ce n'est qu'une extension, l'utilisateur lambda ne l'aura pas installée, et donc ce fera avoir.
il est bien évident que ça doit rester une extension, sinon ça remettrait en cause le principe de firefox, qui est un navigateur très léger, avec le minimum nécessaire ...
Si cette extension est installée par défaut, le pirate sait qu'elle affiche le nom du site, et il peut très facilement rajouté une fausse barre "spoofstick" dans son fichier XUL.
vu que cette extension n'est pas, et ne sera pas installée par défaut, pas de problèmes...

Répondre

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 3 invités