nouvelle faille :l'usurpation d'identité de site web via XU
nouvelle faille :l'usurpation d'identité de site web via XU
Tout est expliqué ici
http://linuxfr.org/2004/07/29/16929.html
Par contre, je n'ai pas vu de bug le signalant dans Bugzilla. Personne n'est au courant ?
http://linuxfr.org/2004/07/29/16929.html
Par contre, je n'ai pas vu de bug le signalant dans Bugzilla. Personne n'est au courant ?
J'ai redirigé ici un sujet équivalent :
phoenix a écrit :C'est nouveau ou pas cette histoire???
http://www.presence-pc.com/news/n4567.html
J'ai rien trouvé à ce propos sur mozillazine. Quelqu'un a des info ou c'est ppc qui est à coté de ses pompes?
Une réponse postée dans l'autre sujet, que j'ai fermé depuis :
siruphi a écrit :salut !
je viens de tester, et c'est en effet sérieux :
http://www.nd.edu/~jsmith30/xul/test/spoof.html
le test te fais croire que tu es sur Paypall, et on se croit vraient sur Paypall
pire, ça te change la barre de menu (celle qui contient Fichier, Édition, etc.) mais on ne s'en rend pas compte sauf si on ouvre le menu 'marque-pages' car les marque-pages n'y sont plus
mais comme ils disent
traduction rapideIn order for this spoof to have maximal effect, you should allow Javascript to hide the status bar [Tools | Options | Web Features | Advanced | Hide the status bar] which is the default setting on all versions of Firefox 0.9 (!). You also should not have enabled any screen clutter, like any non-default toolbars.
c'est bluffant, espérons qu'un patch sortira bientôt !il faut autoriser Javascript de masquer la barre d'état (ce qui est le cas par défault (!)), et ne pas avoir modifier l'interface de Firefox en ayant changé la barre de menu par défault
-
- Iguane
- Messages : 623
- Inscription : 26 juin 2004, 14:02
Ces failles sont maintenant corrigées :
http://www.geckozone.org/forum/viewtopi ... 8660#48660
Je pense qu'un patch ou une nouvelle version ne devrait pas tarder.
http://www.geckozone.org/forum/viewtopi ... 8660#48660
Je pense qu'un patch ou une nouvelle version ne devrait pas tarder.
-
- Iguane
- Messages : 623
- Inscription : 26 juin 2004, 14:02
Bonjour,
J'ai un peu de mal à comprendre
J'ai fait le test de la page http://www.nd.edu/~jsmith30/xul/test/spoof.html
J'obtiens :
- dans la barre de menu : <-- fake menubar
- la barre d'adresse a un fond jaune
- dans la barre de recherche : this bar is also false
De plus, comme je n'ai pas laissé le thème par défaut et que j'ai personnalisé la barre d'outil, la différence saute aux yeux.
Dans les options avancées de JavaScript, j'ai coché uniquement "changer les images d'une page" (je ne sais d'ailleurs plus pourquoi )
Vous pouvez expliquer un peu aux non-informaticiens ?
J'ai un peu de mal à comprendre
J'ai fait le test de la page http://www.nd.edu/~jsmith30/xul/test/spoof.html
J'obtiens :
- dans la barre de menu : <-- fake menubar
- la barre d'adresse a un fond jaune
- dans la barre de recherche : this bar is also false
De plus, comme je n'ai pas laissé le thème par défaut et que j'ai personnalisé la barre d'outil, la différence saute aux yeux.
Dans les options avancées de JavaScript, j'ai coché uniquement "changer les images d'une page" (je ne sais d'ailleurs plus pourquoi )
Vous pouvez expliquer un peu aux non-informaticiens ?
C'est enlevable. L'auteur de ce script pour decouvrir la faille a fait exprès de mettre ces indicationsMonique a écrit :J'obtiens :
- dans la barre de menu : <-- fake menubar
- la barre d'adresse a un fond jaune
- dans la barre de recherche : this bar is also false
Effectivement quand on a pas le thème ni l'emplacement des boutons par defaut ça saute aux yeux, sinon si il n'y avait pas les indications en rouge on pourrait facilement se faire prendre. On remarquera aussi que les à chaque chagement d'une page?Monique a écrit :De plus, comme je n'ai pas laissé le thème par défaut et que j'ai personnalisé la barre d'outil, la différence saute aux yeux.
Dans les options avancées de JavaScript, j'ai coché uniquement "changer les images d'une page" (je ne sais d'ailleurs plus pourquoi )
Vous pouvez expliquer un peu aux non-informaticiens ?
Anciennement Toto.
Qui est en ligne ?
Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 12 invités