Geckozone

Bonjour,

Un site vient de mettre une preuve d'un concept de pishing exploitant la fonction FullScreen d'HTML5.
http://feross.org/html5-fullscreen-api-attack/

L'attaque est assez bien faite puisqu'elle reproduit l'environnement de ma distribution Ubuntu. Si on ne fait pas attention, on tombe dans le panneau.
Je me souviens que lors de la sortie de la balise vidéo, beaucoup demandaient la fonction plein écran et Mozilla disait qu'il cherchait un moyen d'éviter ce qui s'était produit avec les pop-up.
Que cela soit Chrome ou Firefox, ils affichent un pop demandant une autorisation. J'imagine que l'autorisation est basé sur le nom de domaine. Mas les pishing arrive à piéger les personnes connaissant mal les notions de nom de domaine.

Ce qui est amusant c'est que sur mon Nexus S, Firefox affiche en plein écran une interface Ubuntu. Pour ceux qui utilisent d'autres distribution qu'Ubuntu, je crois qu'il n'y a pas d'interface prévu pour eux (en virtual box, voir une Mageia affiche une interface Ubuntu, cela éveille pus les soupçons. Mais ce n'est que le haut de l'écran à faire changer: les navigateurs se ressemblant de plus en plus; modifier seulement les parties qui changent ne devrait pas prendre longtemps.

Je pense que certains information dans l'UA devrait être enlevées. Dans l'absolu, seul Firefox et sa version sont importants.

intéressant, et ça semble assez simple à mettre en place... Je me demande comment il pourrait y être remédié...

Déjà, quand tu passes en mode plein écran, Firefox affiche un pop-up t'indiquant que le nom de domaine XXX souhaite basculer en mode plein écran. Donc, si tu lis correctement, tu vois que le NDD a changé entre celui du lien affiché et celui qui demande le mode plein écran.

oui mais une bonne parti des utilisateurs ne lisent pas les boites de dialogues, ils se contentent de cliquer sur le bouton "Oui" ou "OK".

Il faudrait donc que Firefox détecte qu'il y a eu redirection et bloque alors le chargement de la page, ou en limite les droits d’exécution (par exemple, pas de saisir clavier)

caméléon a écrit :oui mais une bonne parti des utilisateurs ne lisent pas les boites de dialogues, ils se contentent de cliquer sur le bouton "Oui" ou "OK".

C'est mal malheureusement vrai.

De plus la fausse page affiche une horloge qui n'est pas à la bonne heure et autres détails qui mettent la puce à l'oreille. Mais le pekin moyen ne verra pas ses détails.

Il faudrait que si le domaine soit différent que le popup qui indique le plain écran soit avec une alerte rouge de danger. Déjà ça limiterait l'envie de faire « okay » sans lire... Ça serait plus bêtement « annuler » sans lire.

Le problème c'est que le passage en plein écran se fait par JavaScript : il n'y a pas de changement pas de domaine au moment du passage en plein écran.

Pour bien faire il faudrait faire une vérification plus bien plus complexe genre que le passage en plein écran est déclenché depuis un evenement de type onclic et pas un onload ou un setTimeout

Uther a écrit :Le problème c'est que le passage en plein écran se fait par JavaScript : il n'y a pas de changement pas de domaine au moment du passage en plein écran.

Pour bien faire il faudrait faire une vérification plus bien plus complexe genre que le passage en plein écran est déclenché depuis un evenement de type onclic et pas un onload ou un setTimeout

C'est déjà le cas pour certaines actions ? (sauf qu'on peu simuler le : onclick, onkeypress, ... )