nouvelle faille :l'usurpation d'identité de site web via XU

Laurentj2 · Message par **Laurentj2** » 30 juil. 2004, 10:08

Tout est expliqué ici

http://linuxfr.org/2004/07/29/16929.html

Par contre, je n'ai pas vu de bug le signalant dans Bugzilla. Personne n'est au courant ?

Jigho · Message par **Jigho** » 30 juil. 2004, 10:47

J'ai redirigé ici un sujet équivalent :

phoenix a écrit :C'est nouveau ou pas cette histoire???
http://www.presence-pc.com/news/n4567.html

J'ai rien trouvé à ce propos sur mozillazine. Quelqu'un a des info ou c'est ppc qui est à coté de ses pompes?

phoenix · Message par **phoenix** » 30 juil. 2004, 10:52

Le pire, si j'ai bien compris, c'est que c'est pas vraiment une faille de sécurité mais plutôt inhérent au mode de fonctionnement de Mozilla puisqu'il s'agit de charger un fichier xul.

Jigho · Message par **Jigho** » 30 juil. 2004, 10:58

Une réponse postée dans l'autre sujet, que j'ai fermé depuis :

siruphi a écrit :salut !

je viens de tester, et c'est en effet sérieux :

http://www.nd.edu/~jsmith30/xul/test/spoof.html
le test te fais croire que tu es sur Paypall, et on se croit vraient sur Paypall

pire, ça te change la barre de menu (celle qui contient Fichier, Édition, etc.) mais on ne s'en rend pas compte sauf si on ouvre le menu 'marque-pages' car les marque-pages n'y sont plus

mais comme ils disent

In order for this spoof to have maximal effect, you should allow Javascript to hide the status bar [Tools | Options | Web Features | Advanced | Hide the status bar] which is the default setting on all versions of Firefox 0.9 (!). You also should not have enabled any screen clutter, like any non-default toolbars.
traduction rapide

il faut autoriser Javascript de masquer la barre d'état (ce qui est le cas par défault (!)), et ne pas avoir modifier l'interface de Firefox en ayant changé la barre de menu par défault
c'est bluffant, espérons qu'un patch sortira bientôt !

Ptit Lutin · Message par **Ptit Lutin** » 30 juil. 2004, 11:10

Ces failles sont maintenant corrigées :
http://www.geckozone.org/forum/viewtopi ... 8660#48660

Je pense qu'un patch ou une nouvelle version ne devrait pas tarder.

SB · Message par SB » 30 juil. 2004, 11:19

Je suis pas sur qu'on parle des mêmes failles.

jv2759 · Message par **jv2759** » 30 juil. 2004, 11:20

Tu est sur que ce sont les corectif corespondant?

Car les bug parle d'usurpation d'identiter pour les certificat. Que la c'est un probléme de fausse interface...

Ptit Lutin · Message par **Ptit Lutin** » 30 juil. 2004, 11:30

En effet je suis allé un peu vite en besogne désolé

J'ai regardé sur Bugzilla mais je n'ai pas encore trouvé de bug correspondant

Humpfff · Message par **Humpfff** » 30 juil. 2004, 11:34

l'alerte Secunia datée du 30/07/04 [echelle 3/5]

les bugs liés :
BUG 244965
BUG 252198

jv2759 · Message par **jv2759** » 30 juil. 2004, 11:36

La seul solution, mettre en place un systéme de certificat pour les application xul, provenant d'autre chose que la machine web elle même...

Monique · Message par **Monique** » 30 juil. 2004, 14:00

Bonjour,

J'ai un peu de mal à comprendre

J'ai fait le test de la page http://www.nd.edu/~jsmith30/xul/test/spoof.html

J'obtiens :
- dans la barre de menu : <-- fake menubar
- la barre d'adresse a un fond jaune
- dans la barre de recherche : this bar is also false

De plus, comme je n'ai pas laissé le thème par défaut et que j'ai personnalisé la barre d'outil, la différence saute aux yeux.
Dans les options avancées de JavaScript, j'ai coché uniquement "changer les images d'une page" (je ne sais d'ailleurs plus pourquoi

)

Vous pouvez expliquer un peu aux non-informaticiens ?

Thomas · Message par **Thomas** » 30 juil. 2004, 14:17

Monique a écrit :J'obtiens :
- dans la barre de menu : <-- fake menubar
- la barre d'adresse a un fond jaune
- dans la barre de recherche : this bar is also false

C'est enlevable. L'auteur de ce script pour decouvrir la faille a fait exprès de mettre ces indications

Monique a écrit :De plus, comme je n'ai pas laissé le thème par défaut et que j'ai personnalisé la barre d'outil, la différence saute aux yeux.
Dans les options avancées de JavaScript, j'ai coché uniquement "changer les images d'une page" (je ne sais d'ailleurs plus pourquoi )

Vous pouvez expliquer un peu aux non-informaticiens ?

Effectivement quand on a pas le thème ni l'emplacement des boutons par defaut ça saute aux yeux, sinon si il n'y avait pas les indications en rouge on pourrait facilement se faire prendre. On remarquera aussi que les à chaque chagement d'une page?

L.S · Message par **L.S** » 30 juil. 2004, 14:21

bonjour à tous

est-ce que quelqu'un pourrait donner des précisions sur l'interet de l'extension "spoofstick", en fait ce à quoi elle sert ...

& si son utlité peut avoir un lien quelconque avec la faille qui nous préoccupe ici???

d'avance merci

Message par **Mori** » 30 juil. 2004, 14:48

l'interet de l'extension "spoofstick"

je l'ai utilisée ... un temps... elle est sensée t'indiquer si la page sur laquelle tu surfes a bien le nom réel affiché.

Snap · Message par **Snap** » 30 juil. 2004, 14:55

Je ne pense pas qu'elle fonctionne dans une application XUL...

Le mieux est de faire attention lorsque vous allez sur un site banquaire... tapez l'url dans la barre d'adresse sans passer par un site douteux

Notez que le lien ne marche pas dans un nouvel onglet, etc.

Geckozone

nouvelle faille :l'usurpation d'identité de site web via XU

nouvelle faille :l'usurpation d'identité de site web via XU

Qui est en ligne ?