IDN supprimé pour FireFox et Mozilla (MAJ)
Le par Bruno C.
Nous vous avions annoncé il y a quelques temps (voir news) que la grande majorité des navigateurs web étaient affectés par une faille de sécurité, y compris les logiciels libres FireFox et Mozilla.
Nous vous avions annoncé il y a quelques temps (voir news) que la grande majorité des navigateurs web étaient affectés par une faille de sécurité, y compris les logiciels libres FireFox et Mozilla.
Après les prémisses d'un patch correctif (voir news), il semble finalement que la fondation Mozilla ai renoncé, pour le moment, à proposer un correctif.
Pour rappel, cette faille pourrait être exploitée afin d'effectuer des attaques par les techniques de spoofing/phishing.
Le responsable serait une erreur implantée au niveau de l'IDN (International Domain Name) qui n'interprète pas correctement certaines URL contenant des caractères spéciaux.
Aujourd'hui, la fondation Mozilla nous propose une solution assez radicale...supprimer le support de l'IDN dans les futures versions de ses navigateurs !
Bon, il faut dire que l'IDN ne sert qu'à afficher des caractères internationaux, on peut donc s'en passer très facilement dans le cadre d'une utilisation normale.
Les prochaines versions Firefox 1.0.1, Mozilla 1.7.6 et Mozilla 1.8 bêta seront donc livrées sans le support de cette fonctionnalité.
A priori, ces nouvelles versions seront proposées d'ici une quinzaine de jours, et devraient intégrer tous les correctifs découverts depuis la dernière mise à jour.
Dixit la Fondation Mozilla, cette solution n'est que temporaire, mais elle souligne que ce problème ne vient pas de leurs navigateurs mais du fonctionnement de l'IDN lui même.
Mise à jour 19/02/2005 02h20
Après avoir annoncé effectivement la suppression de l'IDN dans ses prochaines versions, il semble maintenant que la fondation Mozilla ai changé d'avis, cette suppression étant sans doute un peu trop radicale. L'IDN sera donc présent et activé mais tous les noms de domaine internationaux seront affichés comme du "Punycode". Une nouvelle option permettra de désactiver complètement ou non l'IDN. Vous trouverez plus d'informations ici.
La recherche se poursuit toutefois afin de trouver une solution définitive à ce problème de sécurité.
Poser une question
Mais squizer une faille en stoppant une fonction c'est facile.
Si bill faisait la même chose on le fustigerait....
Alors qu'ils assument c'est pourfendeurs du web
Perso je pense que Mozilla & Co ont bien fait. S'ils avaient publié un correctif, cela aurait eu 2 inconvénients :
- Le responsable de l'IDN n'aurait plus autant de pression afin de corriger ses erreurs.
- le correctif n'aurait pas rendu trés clair l'innocence de FF et MZ dans l'affaire.
Roôô ! J'espère que TOUTES les sociétés vont faire de même.
;-)
PS: Quel honte de fustiger! ... heu mais je ne vois plus du tout pourquoi! :-P
Sympa le Doc, tu nous fais une MAJ et le bien-fondé de mon commentaire précédent tombe à l'eau. Grrr!
Bô allez! Pas grave
:-P