Y'a de la faille dans l'air :
http://www.pcinpact.com/actu/news/Deux_nouvelles_failles_chez_la_famille_Mozilla.htm
- Toutes les versions (sauf Camino ?) sont impactées.
- En gros, éviter de naviguer sur un site où vous entrez des infos
confidentielles, pendant qu'un autre site "louche" est ouvert dans un
autre onglet...
PS: Je serais curieux de savoir si sur les navigateurs à base d'onglets
et de IE (AvantBrowser...) ça marche aussi.
--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
PS: Je serais curieux de savoir si sur les navigateurs à base d'onglets et de IE (AvantBrowser...) ça marche aussi.
Pour la premiere faille, a priori ca marche avec tout navigateur supportant le javascript et ou le javascript est activé (IE compris).
En fait, je n'appelerai pas ca une faille de sécurité mais juste une idée toute conne et qui marche vachement bien. Le principe est simple: tu navigue tranquillement sur le site d'un méchant hacker et tout d'un coup tu vois un lien disant: cliquez ici pour ouvrir la page du crédit agricole dans un nouvel onglet/fenetre. Alors tu te dit: "cool, le CA c'est ma banque et j'avais justement envie d'y aller". Alors tu clique et tu regarde béatement la page d'accueil du CA se charger dans un nouvel onglet/fenetre. Puis soudainement une boite de message s'affiche et t'annonce: veuillez entrer votre numéro de compte, votre mot de passe, votre numéro de CB, son code PIN et sa date d'expiration. Vu que tu est sur le site du CA, tu entres ces infos sans te poser de questions. Sauf que cette fenetre a en fait été affichée par le site du méchant hacker, toujours ouvert dans l onglet/page derriere, et non pas par le site du CA.
Je ne vois pas trop ou est la faille de sécurité la dedans. C'est juste une utilisation judicieuse de javascript.
PS: Je serais curieux de savoir si sur les navigateurs à base
d'onglets et de IE (AvantBrowser...) ça marche aussi.
Pour la premiere faille, a priori ca marche avec tout navigateur supportant
le javascript et ou le javascript est activé (IE compris).
En fait, je n'appelerai pas ca une faille de sécurité mais juste une idée
toute conne et qui marche vachement bien. Le principe est simple: tu navigue
tranquillement sur le site d'un méchant hacker et tout d'un coup tu vois un
lien disant: cliquez ici pour ouvrir la page du crédit agricole dans un
nouvel onglet/fenetre. Alors tu te dit: "cool, le CA c'est ma banque et
j'avais justement envie d'y aller". Alors tu clique et tu regarde béatement
la page d'accueil du CA se charger dans un nouvel onglet/fenetre. Puis
soudainement une boite de message s'affiche et t'annonce: veuillez entrer
votre numéro de compte, votre mot de passe, votre numéro de CB, son code PIN
et sa date d'expiration. Vu que tu est sur le site du CA, tu entres ces
infos sans te poser de questions. Sauf que cette fenetre a en fait été
affichée par le site du méchant hacker, toujours ouvert dans l onglet/page
derriere, et non pas par le site du CA.
Je ne vois pas trop ou est la faille de sécurité la dedans. C'est juste une
utilisation judicieuse de javascript.
PS: Je serais curieux de savoir si sur les navigateurs à base d'onglets et de IE (AvantBrowser...) ça marche aussi.
Pour la premiere faille, a priori ca marche avec tout navigateur supportant le javascript et ou le javascript est activé (IE compris).
En fait, je n'appelerai pas ca une faille de sécurité mais juste une idée toute conne et qui marche vachement bien. Le principe est simple: tu navigue tranquillement sur le site d'un méchant hacker et tout d'un coup tu vois un lien disant: cliquez ici pour ouvrir la page du crédit agricole dans un nouvel onglet/fenetre. Alors tu te dit: "cool, le CA c'est ma banque et j'avais justement envie d'y aller". Alors tu clique et tu regarde béatement la page d'accueil du CA se charger dans un nouvel onglet/fenetre. Puis soudainement une boite de message s'affiche et t'annonce: veuillez entrer votre numéro de compte, votre mot de passe, votre numéro de CB, son code PIN et sa date d'expiration. Vu que tu est sur le site du CA, tu entres ces infos sans te poser de questions. Sauf que cette fenetre a en fait été affichée par le site du méchant hacker, toujours ouvert dans l onglet/page derriere, et non pas par le site du CA.
Je ne vois pas trop ou est la faille de sécurité la dedans. C'est juste une utilisation judicieuse de javascript.
Tous les sites de sécurité s'en s'ont fait écho pourtant. Secunia par exemple il y a 2j : http://secunia.com/advisories/12712/
En ce qui concerne IE il demeure, sur XP SP2, une faille non corrigée.
Auriez vous la référence ?
Pierre Goiffon
"Elp" a écrit dans le message de news:
En fait, je n'appelerai pas ca une faille de sécurité mais juste une idée toute conne et qui marche vachement bien.
On pourrait imaginer que la page qui ouvre un popup se voit affecter le focus, etc... Il y a déjà bcp de règles en JavaScript qui limitent bcp l'exécution...
"Elp" <rockfamily@hotmail.com> a écrit dans le message de
news:2tslheF23blbkU1@uni-berlin.de
En fait, je n'appelerai pas ca une faille de sécurité mais juste une
idée toute conne et qui marche vachement bien.
On pourrait imaginer que la page qui ouvre un popup se voit affecter le
focus, etc... Il y a déjà bcp de règles en JavaScript qui limitent bcp
l'exécution...
En fait, je n'appelerai pas ca une faille de sécurité mais juste une idée toute conne et qui marche vachement bien.
On pourrait imaginer que la page qui ouvre un popup se voit affecter le focus, etc... Il y a déjà bcp de règles en JavaScript qui limitent bcp l'exécution...
Denis Beauregard
Le Fri, 22 Oct 2004 16:33:08 +0200, Fabien LE LEZ écrivait dans fr.comp.infosystemes.www.navigateurs:
Un site où le texte est écrit en blanc sur noir peut-être être considéré comme crédible, à défaut d'être lisible ?
Faut regarder le site d'où vient l'information, comme http://secunia.com/multiple_browsers_form_field_focus_test/
Toutefois, avec Mozilla 1.6, je n'arrive pas à faire le test: du côté Citybank (j'ai essayé avec un autre site et cela ne change rien), il n'y a rien qui apparaît, donc un usager s'en apercevrait tout de suite, à moins que ce soit une question de configuration pour que la faille fonctionne de façon transparente ?
Denis
Le Fri, 22 Oct 2004 16:33:08 +0200, Fabien LE LEZ
<gramster@gramster.com> écrivait dans
fr.comp.infosystemes.www.navigateurs:
On Fri, 22 Oct 2004 16:28:21 +0200, Sergio
<laposte@serge.delbono.net.invalid>:
Un site où le texte est écrit en blanc sur noir peut-être être
considéré comme crédible, à défaut d'être lisible ?
Faut regarder le site d'où vient l'information, comme
http://secunia.com/multiple_browsers_form_field_focus_test/
Toutefois, avec Mozilla 1.6, je n'arrive pas à faire le test:
du côté Citybank (j'ai essayé avec un autre site et cela ne change
rien), il n'y a rien qui apparaît, donc un usager s'en apercevrait
tout de suite, à moins que ce soit une question de configuration
pour que la faille fonctionne de façon transparente ?
Un site où le texte est écrit en blanc sur noir peut-être être considéré comme crédible, à défaut d'être lisible ?
Faut regarder le site d'où vient l'information, comme http://secunia.com/multiple_browsers_form_field_focus_test/
Toutefois, avec Mozilla 1.6, je n'arrive pas à faire le test: du côté Citybank (j'ai essayé avec un autre site et cela ne change rien), il n'y a rien qui apparaît, donc un usager s'en apercevrait tout de suite, à moins que ce soit une question de configuration pour que la faille fonctionne de façon transparente ?
Denis
Fabien LE LEZ
On Fri, 22 Oct 2004 16:00:11 +0100, "Elp" :
Je ne vois pas trop ou est la faille de sécurité la dedans.
Un popup s'affiche au-dessus d'une page qui n'a rien à voir. Il devrait être visible uniquement en même temps que la page qui l'a ouvert.
-- ;-)
On Fri, 22 Oct 2004 16:00:11 +0100, "Elp" <rockfamily@hotmail.com>:
Je ne vois pas trop ou est la faille de sécurité la dedans.
Un popup s'affiche au-dessus d'une page qui n'a rien à voir. Il
devrait être visible uniquement en même temps que la page qui l'a
ouvert.
Tous les sites de sécurité s'en s'ont fait écho pourtant. Secunia par exemple il y a 2j : http://secunia.com/advisories/12712/
Assimiler cela à une faille? (idem sur IE). Sur les autres navigateurs qui interprêtent javascript cela devrait révéler le même comportement.
En ce qui concerne IE il demeure, sur XP SP2, une faille non corrigée.
Auriez vous la référence ?
Cela fait au moins 2 jours que c'est signalé.
IE Exploit Lets Attackers Plant Programs on SP2 By Larry Seltzer October 20, 2004
"Microsoft is not aware of any customer impact at this time. However we will continue to investigate the issue to determine the appropriate course of action to protect our customers. This might include providing a fix through our monthly patch release process or an out-of-cycle update, depending on customer needs," she said.
Le 22/10/2004 17:01, :
"Jack" <jack.sardin@rd.francetelecom.com> a écrit dans le message de
news:clb6gk$nul2@news.rd.francetelecom.fr
Tous les sites de sécurité s'en s'ont fait écho pourtant. Secunia par
exemple il y a 2j :
http://secunia.com/advisories/12712/
Assimiler cela à une faille? (idem sur IE).
Sur les autres navigateurs qui interprêtent javascript cela devrait
révéler le même comportement.
En ce qui concerne IE il demeure, sur XP SP2, une faille non corrigée.
Auriez vous la référence ?
Cela fait au moins 2 jours que c'est signalé.
IE Exploit Lets Attackers Plant Programs on SP2
By Larry Seltzer
October 20, 2004
"Microsoft is not aware of any customer impact at this time. However we
will continue to investigate the issue to determine the appropriate
course of action to protect our customers. This might include providing
a fix through our monthly patch release process or an out-of-cycle
update, depending on customer needs," she said.
Tous les sites de sécurité s'en s'ont fait écho pourtant. Secunia par exemple il y a 2j : http://secunia.com/advisories/12712/
Assimiler cela à une faille? (idem sur IE). Sur les autres navigateurs qui interprêtent javascript cela devrait révéler le même comportement.
En ce qui concerne IE il demeure, sur XP SP2, une faille non corrigée.
Auriez vous la référence ?
Cela fait au moins 2 jours que c'est signalé.
IE Exploit Lets Attackers Plant Programs on SP2 By Larry Seltzer October 20, 2004
"Microsoft is not aware of any customer impact at this time. However we will continue to investigate the issue to determine the appropriate course of action to protect our customers. This might include providing a fix through our monthly patch release process or an out-of-cycle update, depending on customer needs," she said.
Un site où le texte est écrit en blanc sur noir peut-être être considéré comme crédible, à défaut d'être lisible ?
Néanmoins, dans les liens proposés, ça marche... (la faille)
-- Serge http://leserged.online.fr/ Mon blog: http://cahierdesergio.free.fr/ Soutenez le libre: http://www.framasoft.org
Jean-Marc Desperrier
Pierre Goiffon wrote:
Tous les sites de sécurité s'en s'ont fait écho pourtant. Secunia par exemple il y a 2j : http://secunia.com/advisories/12712/
Il y a un premier bug qui est qu'un tab qui ouvre une alert javascript ne récupère pas automatiquement le focus. Probablement pas un truc monstrueusement compliqué à corriger. Par contre si on ouvre dans une nouvelle page, le comportement est correct (apparement sur MacOS X, c'est exactement le contraire)
Pour le deuxième truc, je ne trouve pas la faille très convaincant. Le javascript arrive à capturer toutes les entrées clavier tant qu'il tourne, mais la destination ne les reçoit plus et c'est carrément manifeste que les touches que l'on frappe ne font plus rien sur la page destination. En général on va s'arréter avant d'avoir tout tapé. On tape d'abord l'identifiant, ensuite le mot de passe. Si rien ne s'affiche pour l'identifiant, si on arrive pas même à donner le focus au champ où l'on tape l'identifiant, on risque peu de continuer et taper le mot de passe. Enfin, moi j'ai mis un moment à comprendre que c'était cela la faille , au départ je me suis dit "qu'est-ce qu'il se passe, j'ai plus d'entrée clavier , comment corriger ?", et je ne suis même pas allé au bout du texte que j'allais rentrer pour tester.
Pierre Goiffon wrote:
Tous les sites de sécurité s'en s'ont fait écho pourtant. Secunia par
exemple il y a 2j :
http://secunia.com/advisories/12712/
Il y a un premier bug qui est qu'un tab qui ouvre une alert javascript
ne récupère pas automatiquement le focus.
Probablement pas un truc monstrueusement compliqué à corriger.
Par contre si on ouvre dans une nouvelle page, le comportement est
correct (apparement sur MacOS X, c'est exactement le contraire)
Pour le deuxième truc, je ne trouve pas la faille très convaincant.
Le javascript arrive à capturer toutes les entrées clavier tant qu'il
tourne, mais la destination ne les reçoit plus et c'est carrément
manifeste que les touches que l'on frappe ne font plus rien sur la page
destination. En général on va s'arréter avant d'avoir tout tapé. On tape
d'abord l'identifiant, ensuite le mot de passe. Si rien ne s'affiche
pour l'identifiant, si on arrive pas même à donner le focus au champ où
l'on tape l'identifiant, on risque peu de continuer et taper le mot de
passe.
Enfin, moi j'ai mis un moment à comprendre que c'était cela la faille ,
au départ je me suis dit "qu'est-ce qu'il se passe, j'ai plus d'entrée
clavier , comment corriger ?", et je ne suis même pas allé au bout du
texte que j'allais rentrer pour tester.
Tous les sites de sécurité s'en s'ont fait écho pourtant. Secunia par exemple il y a 2j : http://secunia.com/advisories/12712/
Il y a un premier bug qui est qu'un tab qui ouvre une alert javascript ne récupère pas automatiquement le focus. Probablement pas un truc monstrueusement compliqué à corriger. Par contre si on ouvre dans une nouvelle page, le comportement est correct (apparement sur MacOS X, c'est exactement le contraire)
Pour le deuxième truc, je ne trouve pas la faille très convaincant. Le javascript arrive à capturer toutes les entrées clavier tant qu'il tourne, mais la destination ne les reçoit plus et c'est carrément manifeste que les touches que l'on frappe ne font plus rien sur la page destination. En général on va s'arréter avant d'avoir tout tapé. On tape d'abord l'identifiant, ensuite le mot de passe. Si rien ne s'affiche pour l'identifiant, si on arrive pas même à donner le focus au champ où l'on tape l'identifiant, on risque peu de continuer et taper le mot de passe. Enfin, moi j'ai mis un moment à comprendre que c'était cela la faille , au départ je me suis dit "qu'est-ce qu'il se passe, j'ai plus d'entrée clavier , comment corriger ?", et je ne suis même pas allé au bout du texte que j'allais rentrer pour tester.