Usurpation d'identité via javascript dans les navi

[papatte]

RESUME DE L'ALERTE

 

En amenant un internaute à cliquer sur un lien piégé pointant vers un site

de confiance mais commandant l'exécution d'un certain code javascript, il

est possible de lui laisser croire qu'une fenêtre pop-up ou qu'une boîte de

dialogue apparaissant au premier plan appartient au site de confiance alors

qu'elle appartient à un site tiers malveillant. Cette exploitation n'est pas

à proprement parler une faille des navigateurs mais peut être en théorie

utilisée pour soutirer à l'internaute des données sensibles ou pour afficher

un message qui serait faussement attribué au site de confiance. Tous les

navigateurs web sont concernés mais le risque est faible.

 

Infos ici :

http://www.secuser.com/

et

http://www.secuser.com/communiques/2005/05...navigateurs.htm

[megataupe]

Merci pour l'info papatte . Ne pas oublier d'utiliser l'extension NoScript avec Firefox, ça vous évitera les scripts vicieux :

 

http://extensions.geckozone.org/NoScript/

 

 

edit : Un test permettant de tester votre navigateur est disponible chez Secunia :

 

http://secunia.com/multiple_browsers_dialo...erability_test/

Modifié le 22 juin 2005 par megataupe

[ipl_001]

Bonsoir papatte, megataupe, bonsoir à tous,

 

Merci pour l'info, papatte !

 

Merci pour les explications, megataupe !

 

Cà ressemble à ce dont j'avais parlé dans un post -je crois-... un e-mail se faisant passer pour une banque me demandant des choses à ne pas divulguer !

LOL

 

---édition :

 

Voici la discussion à laquelle je pensais : http://forum.zebulon.fr/index.php?act=ST&f...t=0#entry509490

et, en particulier, le message #20 samedi 28 mai 2005 à 14h48

- il y a une fenêtre (avec zone d'adresse) qui est le site réel de la banque en question

 

- une popup, située sur le site du pirate mais il n'y a pas de zone d'adresse !!!

[O.Fournier]

B'Jour tous,

 

très bien ce petit truc. Dans mon FireFox 1.04 je veux configurer NoScript pour autoriser certains sites, donc j'ajoute les URL à la liste.

 

1) A chaque fois, j'ai un message d'erreur "...Firefox a provoqué une erreur dans <inconnu> ..." et je dois le fermer puis le réouvrir ... et c'est O.K. Un bug ?

 

2) Autre chose : dans sa liste originelle (par défaut) de sites "autorisés", NoScript refuse de virer ceux qui sont en grisé, tel Google. Euh, c'est le 1er que j'ai voulu virer !

 

EDIT : j'ai réussi à cerner le pb 1) : l'erreur implique XPCOM.DLL . Peut-être parce que je fais la manip sous WinME ?

Modifié le 23 juin 2005 par O.Fournier

[megataupe]

Bonjour Olive (noire par ce temps caniculaire ). Concernant Google, voici ce qu'en dit l'auteur :

 

Depuis la version 1.0.3, la liste blanche des sites par défaut contient quelques sites qui ne peuvent être désactivés depuis les options (vous les voyez grisés. Ce sont les sites de l'auteur et le domaine de publicités Google (googlesyndication.com, et ils ont été rendus permanents pour éviter une suppression accidentelle. Pourquoi ? Les clics sur les publicités Google ne sont pas considérés comme valides si le Javascript n'est pas activé, et le site source peut être banni du programme si Google détecte une importante quantité de clics "frauduleux". NoScript est totalement gratuit : son développement est soutenu uniquement par des donations spontanées et les publicités Google. Néanmoins, si vous avez besoin de supprimer mes sites et ceux de Google de la liste blanche, vous pouvez les supprimer en ouvrant about:config (à entrer dans la barre d'adresses) et en éditant la préférence noscript.permanent.

 

Tu peux donc parfaitement désactiver Google pub par about:config

 

Au fait, l'ADSL c'est pour quand dans ton joli village

[O.Fournier]

O.K. merci toi ! Olive noire : euh ma mère est alsacienne, je suis blond aux yeux bleus, le soleil je fais gaffe, mais c'est vrai que grâce à mon père gascon, je bronze (me faut quatre mois !).

 

Pas de blême, faut encourager les "concepteurs" fous qui trouvent de quoi vivre leurs délires positifs, même dans le business fou ! Je laisse donc sa liste "alimentaire" ...

 

Et puis j'aime bien le " zioui, zoui, zou..." de NoScript ! Tout baigne ...

 

Quant à l'ADSL : JE VAIS BIENTOT PETER UN PLOMB !!!!!!!

 

Ces enc.... de FT ont servi les 80 % les plus concentrés, maintenant ils s'en foutent des 20 % dispersés ! Et les élus débiles locaux moyennageux enterrent toutes les alternatives qui marchent impec, genre mini station satellite à 10 000 € pour 30 à 50 connectés, ou maintenant connection via le réseau électrique, etc ...

 

En Ecosse ou en Sicile ils sont plus avancés que nous !!!!

 

Re-EDIT : j'ai retenu quand même que le top du top de la sécurité est de ne pas rester connecté à un site quand on se connecte sur un autre site ... Euh ! Là les vieilles habitudes des "vieux" surfeurs (10 fenêtres ouvertes en même temps sur cinq sites) vont être difficiles à changer ...

Modifié le 23 juin 2005 par O.Fournier