IDN supprimé pour FireFox et Mozilla (MAJ)

Le par  |  9 commentaire(s)
firefox logo

Nous vous avions annoncé il y a quelques temps (voir news) que la grande majorité des navigateurs web étaient affectés par une faille de sécurité, y compris les logiciels libres FireFox et Mozilla.

Firefox logo
Nous vous avions annoncé il y a quelques temps (voir news) que la grande majorité des navigateurs web étaient affectés par une faille de sécurité, y compris les logiciels libres FireFox et Mozilla.

Après les prémisses d'un patch correctif (voir news), il semble finalement que la fondation Mozilla ai renoncé, pour le moment, à proposer un correctif.

Pour rappel, cette faille pourrait être exploitée afin d'effectuer des attaques par les techniques de spoofing/phishing.
Le responsable serait une erreur implantée au niveau de l'IDN (International Domain Name) qui n'interprète pas correctement certaines URL contenant des caractères spéciaux.
      

Aujourd'hui, la fondation Mozilla nous propose une solution assez radicale...supprimer le support de l'IDN dans les futures versions de ses navigateurs !

Bon, il faut dire que l'IDN ne sert qu'à afficher des caractères internationaux, on peut donc s'en passer très facilement dans le cadre d'une utilisation normale.

Les prochaines versions Firefox 1.0.1, Mozilla 1.7.6 et Mozilla 1.8 bêta seront donc livrées sans le support de cette fonctionnalité.

A priori, ces nouvelles versions seront proposées d'ici une quinzaine de jours, et devraient intégrer tous les correctifs découverts depuis la dernière mise à jour.


Dixit la Fondation Mozilla, cette solution n'est que temporaire, mais elle souligne que ce problème ne vient pas de leurs navigateurs mais du fonctionnement de l'IDN lui même.



Mise à jour 19/02/2005 02h20

Après avoir annoncé effectivement la suppression de l'IDN dans ses prochaines versions, il semble maintenant que la fondation Mozilla ai changé d'avis, cette suppression étant sans doute un peu trop radicale. L'IDN sera donc présent et activé mais tous les noms de domaine internationaux seront affichés comme du "Punycode". Une nouvelle option permettra de désactiver complètement ou non l'IDN. Vous trouverez plus d'informations ici.
La recherche se poursuit toutefois afin de trouver une solution définitive à ce problème de sécurité.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #33971
Ok il y a des failles.
Mais squizer une faille en stoppant une fonction c'est facile.
Si bill faisait la même chose on le fustigerait....
Alors qu'ils assument c'est pourfendeurs du web
Le #33972
Coucou!

Perso je pense que Mozilla & Co ont bien fait. S'ils avaient publié un correctif, cela aurait eu 2 inconvénients :

- Le responsable de l'IDN n'aurait plus autant de pression afin de corriger ses erreurs.

- le correctif n'aurait pas rendu trés clair l'innocence de FF et MZ dans l'affaire.

Roôô ! J'espère que TOUTES les sociétés vont faire de même.

;-)

PS: Quel honte de fustiger! ... heu mais je ne vois plus du tout pourquoi! :-P
Le #33979
Et vlan!

Sympa le Doc, tu nous fais une MAJ et le bien-fondé de mon commentaire précédent tombe à l'eau. Grrr!

Bô allez! Pas grave

:-P
Le #33984
dhen, il me semble que MS avait justement fait une chose similaire pour une de ses failles. ils avait fait un Patch qui "corigeais" une de ses faille en desactivant carement la fonction incriminée
Le #33985
Quel efficacité de la part de Mozilla...effectivement ils sont plus rapide que chez Microsoft, ils suppriment directement le problème et tout ce qui va avec PTDR
Le #33992
Pour répondre aux commentaires anti-Mozilla ci-dessus:
Le problème ne vient pas de Mozilla mais de l'IDN qui est standardisé par un tiers. Ce n'est donc pas à Mozilla de corriger le problème, ils ne le peuvent pas.
Par sécurité ils proposaient donc de désactiver la feature... raisonnable et efficace.

"Bon, il faut dire que l'IDN ne sert qu'à afficher des caractères internationaux, on peut donc s'en passer très facilement dans le cadre d'une utilisation normale."
=> Toutes les personnes dont la langue maternelle requiert ces 'charactères internationaux' jugeront de ce qu'est une 'utilisation normale'.
Le #34020
Mozilla a seulement _desactivé_ cette fonctionnalité, la faille de sécurité ne vient de mozilla mais directement de l'idn. On peut facilement le réactiver via about:config.
Microsoft a inauguré en premier la tactique de supprimer des fonctionnalités pour résoudre un problème, notamment avec le problème avec l'authentification http et les caractères de fin de chaine de caractères qui permettait de changer l'url dans la barre d'adresse...
Le #34021
d'un autre côté, l'idn n'est même pas supporté par internet explorer alors bon pouet pouet
Le #34128
Dhen question tu savais que la faille été du à l'IDN ou pas' parce que ton poste à vraiment aucun interet, à si pardon d'être le 1er à avoir reagit......
Et Mister Biloul à et fait pire
Parler pour faire du vent c bien mais avant prend un tic-tac stp :d
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]