http://www.clubic.com/actualite-17968-u ... x-1-0.htmlNouvelle faille ?
Une faille ça ?
http://secunia.com/advisories/13599/
Et la demo : https://bugzilla.mozilla.org/attachment.cgi?id=169226
http://secunia.com/advisories/13599/
Et la demo : https://bugzilla.mozilla.org/attachment.cgi?id=169226
Je cherches encore une application pratique de cette "faille" ....
Butineur, blog sur Mozilla, Firefox et les idées libres.. "Troll du soir, espoir ..."
Je vois ...
En fait on prétexte un truc idiot pour que l'utilisateur télécharge un "patch".
Il est mis en confiance par le faire que la source indiquée est http://www.update.sitedeconfiance.com alors qu'elle est en fait http://www.update.sitedeconfiance.com.mechant.net .
Enfin il reste quand même à le convaincre de télécharger le "patch" ce qui n'est pas gagné, généralement si on y arrive c'est que l'utilisateur n'est pas du genre à vérifier la source lors du téléchargement.
En fait on prétexte un truc idiot pour que l'utilisateur télécharge un "patch".
Il est mis en confiance par le faire que la source indiquée est http://www.update.sitedeconfiance.com alors qu'elle est en fait http://www.update.sitedeconfiance.com.mechant.net .
Enfin il reste quand même à le convaincre de télécharger le "patch" ce qui n'est pas gagné, généralement si on y arrive c'est que l'utilisateur n'est pas du genre à vérifier la source lors du téléchargement.
Butineur, blog sur Mozilla, Firefox et les idées libres.. "Troll du soir, espoir ..."
Comment font les autres navigateurs avec l'exemple :
https://bugzilla.mozilla.org/attachment.cgi?id=169226
Avec Mozilla la zone d'affichage est plus grande donc l'exemple ne passe pas.
Avec IE on ne vois que la fin donc on se rends compte que ça cloche et l'exemple ne passe pas.
Avec Opera on en voit encore moins qu'avec Firefox donc l'exemple passe.
Avec Firefox l'exemple passe, mais on peut faire défiler l'adresse et se rendre compte du piège.
Enfin je pense vraiment que c'est un problème minime.
https://bugzilla.mozilla.org/attachment.cgi?id=169226
Avec Mozilla la zone d'affichage est plus grande donc l'exemple ne passe pas.
Avec IE on ne vois que la fin donc on se rends compte que ça cloche et l'exemple ne passe pas.
Avec Opera on en voit encore moins qu'avec Firefox donc l'exemple passe.
Avec Firefox l'exemple passe, mais on peut faire défiler l'adresse et se rendre compte du piège.
Enfin je pense vraiment que c'est un problème minime.
Butineur, blog sur Mozilla, Firefox et les idées libres.. "Troll du soir, espoir ..."
je sais pas mais même en voyant çà :ClémentD a écrit :Avec Mozilla la zone d'affichage est plus grande donc l'exemple ne passe pas.
Avec IE on ne vois que la fin donc on se rends compte que ça cloche et l'exemple ne passe pas.
Avec Opera on en voit encore moins qu'avec Firefox donc l'exemple passe.
Avec Firefox l'exemple passe, mais on peut faire défiler l'adresse et se rendre compte du piège.
http://citibank-software-server.new-net ... tibank.com .secunia.com/temp/test.php
le "surfeur de base" peut se faire avoir, voire même un utilisateur un peu plus expérimenté, soit par inattention, soit par méconnaissance ... ou que sais je ...
enfin, je vais un peu plus faire gaffe à ce que je télécharge.
je trouve çà assez craignos !
“La médiocrité obtiendra immanquablement la préséance en se travestissant des oripeaux de la bienséance.”
Oui c'est ce que je disais, ce piège ne me parais pas très puissant.
Parce qu'il faut déjà amener la victime avec un prétexte tordu à aller chercher ce fichier, et le genre de personnes à cliquer comme ça sans savoir n'est pas le genre à vérifier la source, donc qu'une fausse source soit affichée ou pas ...
Parce qu'il faut déjà amener la victime avec un prétexte tordu à aller chercher ce fichier, et le genre de personnes à cliquer comme ça sans savoir n'est pas le genre à vérifier la source, donc qu'une fausse source soit affichée ou pas ...
Butineur, blog sur Mozilla, Firefox et les idées libres.. "Troll du soir, espoir ..."
Qui est en ligne ?
Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 3 invités