Le tabjacking sour FF et Chrome..pour l'instant.

[bigbernie]

Bonsoir

Et il parait que ça resiste a Noscript.

http://www.clubic.com/antivirus-securit ... cking.html

[ra-mon]

Salut,

Le tabjacking sour FF et Chrome..pour l'instant.

Faut bien qu'ils soient pionnier une fois de temps en temps

Et il parait que ça resiste a Noscript.

Cette rumeur devrait exciter Pirlouy

@+
--
Pierre

[Thomas]

Ça ne fonctionnait pas sous Chrome mais c'était du à un bug, corrigé maintenant
Disons que le script utilise tout ce qu'il y a de plus standard, en théorie ça devrait fonctionner sur tous les navigateurs.

Ceci-dit il "suffit" de regarder l'URL pour s'apercevoir de la supercherie (comme pour la majorité des attaques de phishing).

[Uther]

Je suis pas sur d'avoir compris le truc, s'il s'agit tout simplement de modifier discrètement une page par javascript au bout d'une certaine période pour la faire ressembler a une page d'un autre site, je ne vois pas en quoi IE, Safari ou Opera seraient plus a l'abri que Firefox et Chrome.

[ra-mon]

je ne vois pas en quoi IE, Safari ou Opera seraient plus a l'abri que Firefox et Chrome.

Ça gigotte aussi dans Opera, mais la favicône n'est pas remplacée, donc l'effet est bien moins rigolo
Si l'operateur à choisi de n'afficher que le texte sur les onglets, et de masquer la barre d'adresse, ça pourrait peut-être faire mouche

Avec IE8, c'est pareil et même avec Chromium 6 j'ai pas vu le remplacement de la favicône.
Pas testé avec Safari.

@+
--
Pierre

[calimo]

Pas de changement de favicon sous Firefox 3.6.3.

Franchement, changer le contenu et le titre d'une page, je ne vois pas ce que ça a de révolutionnaire… je veux dire, ça fait certainement des années qu'on peut faire ça, et je ne vois pas vraiment pourquoi ça ne fonctionnerait pas aussi sous Safari, Opera et IE

En lisant le titre accrocheur, je pensais au moins que le script pouvait ouvrir un nouvel onglet avec l'adresse gmail (et si possible l'apparence sécurisée), induire le navigateur a remplir automatiquement les champs, et renvoyer les infos sur le site d'origine plutôt que gmail.

Une fois encore, l'utilité du bouton "rester connecté" et de l'enregistrement automatique des mots de passe par site (qui fait qu'en cas de phishing, tiens ! pourquoi le mot de passe ne se remplit-il pas automatiquement ?) est appuyée, et l'idiotie du autocomplete="off" démontrée

[ra-mon]

Pas de changement de favicon sous Firefox 3.6.3.

Ici, en profil vierge, la favicône de gmail apparait bien sur l'onglet et la barre d'adresses de :
Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3
et les nightlies
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.5pre) Gecko/20100526 Namoroka/3.6.5pre
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.3a5pre) Gecko/20100526 Minefield/3.7a5pre
@+
--
Pierre

[Patclash]

Bonsoir

Et il parait que ça resiste a Noscript.

Bonjour,

eh bien ce n'est plus le cas avec la nouvelle version

+ Experimental blocking of page refreshes happening inside untrusted
unfocused tabs, should provide protection against Aviv Raff's scriptless
"tabnabbing" variant.

https://addons.mozilla.org/fr/firefox/addon/722/

[pirlouy]

De toute manière, il faut bien comprendre que moi maintenant, même si je l'ai taillé maintes et maintes fois, j'utilise Noscript à fond.
Mais attention, uniquement pour bloquer les scripts et frames externes.

Après, tabjacking, phishing, clearclick... Faut vraiment qu'ils arrêtent avec leur noms ALC.

[bigbernie]

Bonjour

A propos justement de Noscript.
Ce logiciel d'une certaine complexite n'a pas d'Aide du tout.
Le site de l'editeur n'en propose pas non plus. Pas plus dans le soft que sur le web.
Pas de ?, pas de click droit, pas de bouton Aide qui comme, pour Download Helper, renvoie vers le web et une explication complete de chaque possibilité.

No script n'est pas si simple sauf lorsqu'on le fait fonctionner par tout ou rien.
Par exemple les exceptions de protection anti XSS ou bien Interdire@font-face me laisse rêveur et je ne dois pas être le seul.
Configurer pointu ? Laissons ça aux experts en scripts.

L'editeur livre son travail brut de décoffrage et chacun se débrouille.
C'est d'ailleurs le cas avec presque toutes les extension sauf.....

Download Helper lui a un comportement user friendly. Ca a une Aide.

C'est comme ça. Bon week end.

[~HP]

L'editeur livre son travail brut de décoffrage et chacun se débrouille.

Bé… c'est libre et gratuit, en même temps !
Si t'es mécontent ou insatisfait, tu proposes tes améliorations voire contributions, et/ou tu forkes.

[Patclash]

J'ajourerai qu'il suffit de faire un clic droit sur l'icône de Noscript qui comporte un lien vers le site de l'éditeur qui comporte une FAQ conséquente
http://noscript.net/faq

En plus le site comporte un forum qui est également là pour aider
http://forums.informaction.com/viewforum.php?f=3

[Zefling]

HS :

Mozilla/5.0 (Windows; U; Win98; fr; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3

C"est une blague ?

[jpj]

Re : HS.
Regarde sa signature.

[bigbernie]

Bon dimanche

Tout a fait patclash.
Je l'avais vu, j'avais vu la Faq et le forum

Mais je persiste a dire qu'il n'y a pas d'Aide ( Habituelle, standardisée)
Aide, tutoriel et assistance ça n'est pas pareil.
Des logiciels comme PSP ou PhotoShop contiennent des fonctions d'Aide considérables. Tout, absolument tout est defini et explique. Mais on ne peut pas s'en servir sans Assistance et apprentissage et Faq et forums.

Ca peut etre quoi une Aide classique et standardisée, comme on en trouve dans 99 logiciels sur 100.
C'est le ? qu'on ballade sur n'importe quoi et qui vous dit ce que c'est et comment ça fonctionne. Aide contextuelle.
C'est également le click droit sur une ligne ou bien un coche et qui vous dit a quoi ça sert.
C'est aussi une fenetre qui s'ouvre avec 3 onglets. Sommaire, index, recherche.

C'est maintenant, pour tous les editeurs qui economisent l'Aide "on board" ( sans avoir besoin du web) un bouton Aide qui renvoie a toutes les explications mais cette fois on cloud.

Rien de tout ça avec NoScript.
Bonne continuation.