Le principe consiste à faire un site en XUL. Dès que Mozilla pointe sur ce
site, il interprète le XUL. Dès lors, le site modifie l'interface de
Mozilla, pour lui donner qu'il est sur un autre site.
Tous les éléments de l'interface étant modifiables, on peut mettre une
fausse barre d'adresse, de faux icônes (jusqu'aux petits cadenas faisant
croire à une liaison sécurisée), etc.
Pour l'instant, il n'existe aucune parade connue. Le mieux, est alors de ne
plus utiliser Mozilla (en attendant une parade).
Voici une copie d'écran : http://www.nd.edu/~jsmith30/xul/test/ssht.png
Marche pas avec mon Mozilla 1.5 (année 2003) <http://www.nd.edu/~jsmith30/xul/test/paypal.htm>
Marche chez moi sur un firefox 0.92 mais il y'a qq imperfections, en particulier le temps de chargement de la page et surtout la disparition de ma barre de bookmarks en dessous de la barre d'adresse (c'est ça qui m'a fait tilté en premier). Sinon la petite clé ne s'affiche pas en bas à gauche, normal ou sa vient de moi?
-- Toto
Xavier Roche wrote:
Michel Claveau wrote:
Voici une copie d'écran :
http://www.nd.edu/~jsmith30/xul/test/ssht.png
Marche pas avec mon Mozilla 1.5 (année 2003)
<http://www.nd.edu/~jsmith30/xul/test/paypal.htm>
Marche chez moi sur un firefox 0.92 mais il y'a qq imperfections, en
particulier le temps de chargement de la page et surtout la disparition
de ma barre de bookmarks en dessous de la barre d'adresse (c'est ça qui
m'a fait tilté en premier).
Sinon la petite clé ne s'affiche pas en bas à gauche, normal ou sa vient
de moi?
Voici une copie d'écran : http://www.nd.edu/~jsmith30/xul/test/ssht.png
Marche pas avec mon Mozilla 1.5 (année 2003) <http://www.nd.edu/~jsmith30/xul/test/paypal.htm>
Marche chez moi sur un firefox 0.92 mais il y'a qq imperfections, en particulier le temps de chargement de la page et surtout la disparition de ma barre de bookmarks en dessous de la barre d'adresse (c'est ça qui m'a fait tilté en premier). Sinon la petite clé ne s'affiche pas en bas à gauche, normal ou sa vient de moi?
-- Toto
ladorche
Salut à tous,
Concrètement, pour le néophite que je suis, je risque quoi à utiliser Firefox?
Salut à tous,
Concrètement, pour le néophite que je suis, je risque quoi à utiliser
Firefox?
Concrètement, pour le néophite que je suis, je risque quoi à utiliser
Sauf à utiliser une version datant de 2 ans, rien.
Emmanuel Florac
Le Sat, 31 Jul 2004 09:24:58 +0000, ladorche a écrit :
Concrètement, pour le néophite que je suis, je risque quoi à utiliser Firefox?
Et bien si jamais il existe quelque part un site qui exploite cette faille (ce que j'ignore) et qu'il soit fait à la perfection (de façon à ce que la bidouille soit vraiment indécelable à l'oeil) et que tu arrives sur ce site d'une façon ou d'une autre (là c'est plus délicat) et que tu décides d'y rentrer des informations... Bon c'est un peu comme la faille IE d'URL rewriting qui a été exploitée à une certaine époque, mais il est important de remarquer que cette faille-ci est beaucoup plus difficile à exploiter... puisqu'il faut recréer toute l'interface du browser à la perfection dans la page, en XUL.
Bon, bref, il manque à Mozilla un système de signature/validation des XUL. Apparemment il existe pour les thèmes et les extensions, je ne vois aps ce qui empècherai de l'appliquer pour les applications XUL intégrées dans les pages web.
-- entia non sont multiplicanda praeter necessitatem. Guillaume d'Ockham.
Le Sat, 31 Jul 2004 09:24:58 +0000, ladorche a écrit :
Concrètement, pour le néophite que je suis, je risque quoi à utiliser
Firefox?
Et bien si jamais il existe quelque part un site qui exploite cette faille
(ce que j'ignore) et qu'il soit fait à la perfection (de façon à ce que
la bidouille soit vraiment indécelable à l'oeil) et que tu arrives sur
ce site d'une façon ou d'une autre (là c'est plus délicat) et que tu
décides d'y rentrer des informations...
Bon c'est un peu comme la faille IE d'URL rewriting qui a été exploitée
à une certaine époque, mais il est important de remarquer que cette
faille-ci est beaucoup plus difficile à exploiter... puisqu'il faut
recréer toute l'interface du browser à la perfection dans la page, en
XUL.
Bon, bref, il manque à Mozilla un système de signature/validation des
XUL. Apparemment il existe pour les thèmes et les extensions, je ne vois
aps ce qui empècherai de l'appliquer pour les applications XUL
intégrées dans les pages web.
--
entia non sont multiplicanda praeter necessitatem.
Guillaume d'Ockham.
Le Sat, 31 Jul 2004 09:24:58 +0000, ladorche a écrit :
Concrètement, pour le néophite que je suis, je risque quoi à utiliser Firefox?
Et bien si jamais il existe quelque part un site qui exploite cette faille (ce que j'ignore) et qu'il soit fait à la perfection (de façon à ce que la bidouille soit vraiment indécelable à l'oeil) et que tu arrives sur ce site d'une façon ou d'une autre (là c'est plus délicat) et que tu décides d'y rentrer des informations... Bon c'est un peu comme la faille IE d'URL rewriting qui a été exploitée à une certaine époque, mais il est important de remarquer que cette faille-ci est beaucoup plus difficile à exploiter... puisqu'il faut recréer toute l'interface du browser à la perfection dans la page, en XUL.
Bon, bref, il manque à Mozilla un système de signature/validation des XUL. Apparemment il existe pour les thèmes et les extensions, je ne vois aps ce qui empècherai de l'appliquer pour les applications XUL intégrées dans les pages web.
-- entia non sont multiplicanda praeter necessitatem. Guillaume d'Ockham.
Wald Sebastien
Bonjour, Je trouve cette imitation de mon navigateur assez grossière : - les boutons de navigation sont bien plus gros. - la barre d'adresses a disparu - mes barres d'extension aussi...
Bref de quoi, attirer l'attention...
PS : Puisque pour la moment, on n'a pas vraiment d'applications XUL, on peut désactiver le chargement des XUL avec l'extension adblock et une expression réguliére de type *.xul*
A bon entendeur.
Bonjour,
Je trouve cette imitation de mon navigateur assez grossière :
- les boutons de navigation sont bien plus gros.
- la barre d'adresses a disparu
- mes barres d'extension aussi...
Bref de quoi, attirer l'attention...
PS : Puisque pour la moment, on n'a pas vraiment d'applications XUL, on
peut désactiver le chargement des XUL avec l'extension adblock et une
expression réguliére de type *.xul*
Bonjour, Je trouve cette imitation de mon navigateur assez grossière : - les boutons de navigation sont bien plus gros. - la barre d'adresses a disparu - mes barres d'extension aussi...
Bref de quoi, attirer l'attention...
PS : Puisque pour la moment, on n'a pas vraiment d'applications XUL, on peut désactiver le chargement des XUL avec l'extension adblock et une expression réguliére de type *.xul*
A bon entendeur.
Xavier Roche
Je rajoute une digression: une attaque par fishing aussi efficace est faisable avec tous les navigateurs, en exploitant quelques trucs (dhtml, fontes et styles natifs).
1. Ouvrir une fenêtre avec uniquement une barre de titre, mais sans aucune toolbar, barre de status etc. Par exemple:
2. A l'aide de DHTML, et des propriétés de couleur du système (<http://www.webreference.com/dhtml/column24/colsIEtable.html>), il est très facile de reproduire les widgets IE. Démonstration live:
Cette démo est efficace: les widgets sont reproduits à l'identique, mais ils sont également fonctionnels (amusez-vous à déplacer les boîtes et à jouer avec les menus!). On peut ainsi reconstruire une "vraie" interface.
Cliquez sur "Show Element 1" et imaginez juste la même boite en haut de la fenêtre du 1. On peut ainsi afficher la fausse barre d'adresse, le faux menu, etc. à l'identique.
3. Intégrer une fausse frame à l'intérieur de ces widgets, type "page d'affichage IE"
4. On peut faire dans le subtil, en détournant les propriétés onClick sur la page, pour afficher un faux menu avec "Propriétés", et un faux widget de propriétés avec la fausse adresse dedans. Ou bien encore, placer en bas de fa fenêtre un bord pour redimensionner la fenêtre.
Avec tout ça, on peut non seulement reproduire une fausse page de navigateur fidèle, mais encore simuler les divers éléments (gestion des menus, gestion des dialogues etc.) et ainsi induire en erreur les plus attentifs des utilisateurs.
Je rajoute une digression: une attaque par fishing aussi efficace est
faisable avec tous les navigateurs, en exploitant quelques trucs (dhtml,
fontes et styles natifs).
1. Ouvrir une fenêtre avec uniquement une barre de titre, mais sans
aucune toolbar, barre de status etc. Par exemple:
2. A l'aide de DHTML, et des propriétés de couleur du système
(<http://www.webreference.com/dhtml/column24/colsIEtable.html>), il est
très facile de reproduire les widgets IE. Démonstration live:
Cette démo est efficace: les widgets sont reproduits à l'identique, mais
ils sont également fonctionnels (amusez-vous à déplacer les boîtes et à
jouer avec les menus!). On peut ainsi reconstruire une "vraie" interface.
Cliquez sur "Show Element 1" et imaginez juste la même boite en haut de
la fenêtre du 1. On peut ainsi afficher la fausse barre d'adresse, le
faux menu, etc. à l'identique.
3. Intégrer une fausse frame à l'intérieur de ces widgets, type "page
d'affichage IE"
4. On peut faire dans le subtil, en détournant les propriétés onClick
sur la page, pour afficher un faux menu avec "Propriétés", et un faux
widget de propriétés avec la fausse adresse dedans.
Ou bien encore, placer en bas de fa fenêtre un bord pour redimensionner
la fenêtre.
Avec tout ça, on peut non seulement reproduire une fausse page de
navigateur fidèle, mais encore simuler les divers éléments (gestion des
menus, gestion des dialogues etc.) et ainsi induire en erreur les plus
attentifs des utilisateurs.
Je rajoute une digression: une attaque par fishing aussi efficace est faisable avec tous les navigateurs, en exploitant quelques trucs (dhtml, fontes et styles natifs).
1. Ouvrir une fenêtre avec uniquement une barre de titre, mais sans aucune toolbar, barre de status etc. Par exemple:
2. A l'aide de DHTML, et des propriétés de couleur du système (<http://www.webreference.com/dhtml/column24/colsIEtable.html>), il est très facile de reproduire les widgets IE. Démonstration live:
Cette démo est efficace: les widgets sont reproduits à l'identique, mais ils sont également fonctionnels (amusez-vous à déplacer les boîtes et à jouer avec les menus!). On peut ainsi reconstruire une "vraie" interface.
Cliquez sur "Show Element 1" et imaginez juste la même boite en haut de la fenêtre du 1. On peut ainsi afficher la fausse barre d'adresse, le faux menu, etc. à l'identique.
3. Intégrer une fausse frame à l'intérieur de ces widgets, type "page d'affichage IE"
4. On peut faire dans le subtil, en détournant les propriétés onClick sur la page, pour afficher un faux menu avec "Propriétés", et un faux widget de propriétés avec la fausse adresse dedans. Ou bien encore, placer en bas de fa fenêtre un bord pour redimensionner la fenêtre.
Avec tout ça, on peut non seulement reproduire une fausse page de navigateur fidèle, mais encore simuler les divers éléments (gestion des menus, gestion des dialogues etc.) et ainsi induire en erreur les plus attentifs des utilisateurs.
Fabien LE LEZ
On 31 Jul 2004 13:20:21 GMT, Xavier Roche :
Concrètement, pour le néophite que je suis, je risque quoi à utiliser
Sauf à utiliser une version datant de 2 ans, rien.
Il me semble que c'est le contraire, non ? (Seule la 0.9 serait touchée, pas les précédentes)
-- ;-)
On 31 Jul 2004 13:20:21 GMT, Xavier Roche
<xroche@free.fr.NOSPAM.invalid>:
Concrètement, pour le néophite que je suis, je risque quoi à utiliser
Sauf à utiliser une version datant de 2 ans, rien.
Il me semble que c'est le contraire, non ? (Seule la 0.9 serait
touchée, pas les précédentes)
Concrètement, pour le néophite que je suis, je risque quoi à utiliser
Sauf à utiliser une version datant de 2 ans, rien.
Il me semble que c'est le contraire, non ? (Seule la 0.9 serait touchée, pas les précédentes)
-- ;-)
Ph. B.
Michel Claveau wrote:
Bonsoir !
Cela ne touche que le navigateur Mozilla.
Le principe consiste à faire un site en XUL. Dès que Mozilla pointe sur ce site, il interprète le XUL. Dès lors, le site modifie l'interface de Mozilla, pour lui donner qu'il est sur un autre site.
Tous les éléments de l'interface étant modifiables, on peut mettre une fausse barre d'adresse, de faux icônes (jusqu'aux petits cadenas faisant croire à une liaison sécurisée), etc.
Pour l'instant, il n'existe aucune parade connue. Le mieux, est alors de ne plus utiliser Mozilla (en attendant une parade).
@-salutations
Avec un référence, c'est mieux ! ;-) Et cela évite de faire des conclusions par trop hatives... http://www.mozillazine-fr.org/article.phtml?articleQ06f
-- Philippe.
Michel Claveau wrote:
Bonsoir !
Cela ne touche que le navigateur Mozilla.
Le principe consiste à faire un site en XUL. Dès que Mozilla pointe sur ce
site, il interprète le XUL. Dès lors, le site modifie l'interface de
Mozilla, pour lui donner qu'il est sur un autre site.
Tous les éléments de l'interface étant modifiables, on peut mettre une
fausse barre d'adresse, de faux icônes (jusqu'aux petits cadenas faisant
croire à une liaison sécurisée), etc.
Pour l'instant, il n'existe aucune parade connue. Le mieux, est alors de ne
plus utiliser Mozilla (en attendant une parade).
@-salutations
Avec un référence, c'est mieux ! ;-)
Et cela évite de faire des conclusions par trop hatives...
http://www.mozillazine-fr.org/article.phtml?articleQ06f
Le principe consiste à faire un site en XUL. Dès que Mozilla pointe sur ce site, il interprète le XUL. Dès lors, le site modifie l'interface de Mozilla, pour lui donner qu'il est sur un autre site.
Tous les éléments de l'interface étant modifiables, on peut mettre une fausse barre d'adresse, de faux icônes (jusqu'aux petits cadenas faisant croire à une liaison sécurisée), etc.
Pour l'instant, il n'existe aucune parade connue. Le mieux, est alors de ne plus utiliser Mozilla (en attendant une parade).
@-salutations
Avec un référence, c'est mieux ! ;-) Et cela évite de faire des conclusions par trop hatives... http://www.mozillazine-fr.org/article.phtml?articleQ06f
-- Philippe.
M
Fabien LE LEZ wrote:
On 31 Jul 2004 13:20:21 GMT, Xavier Roche :
Concrètement, pour le néophite que je suis, je risque quoi à utiliser
Sauf à utiliser une version datant de 2 ans, rien.
Il me semble que c'est le contraire, non ? (Seule la 0.9 serait touchée, pas les précédentes)
La page d'exemple a été faite spécifiquement pour la 0.9 Ca ne marche pas avec les version precedentes parce que la syntaxe n'est pas encore figée.
Ceci dit il me semble qu'in peut monter un exemple similaire avec les anciennes versions
Fabien LE LEZ wrote:
On 31 Jul 2004 13:20:21 GMT, Xavier Roche
<xroche@free.fr.NOSPAM.invalid>:
Concrètement, pour le néophite que je suis, je risque quoi à utiliser
Sauf à utiliser une version datant de 2 ans, rien.
Il me semble que c'est le contraire, non ? (Seule la 0.9 serait
touchée, pas les précédentes)
La page d'exemple a été faite spécifiquement pour la 0.9
Ca ne marche pas avec les version precedentes parce que la syntaxe n'est
pas encore figée.
Ceci dit il me semble qu'in peut monter un exemple similaire avec les
anciennes versions
Concrètement, pour le néophite que je suis, je risque quoi à utiliser
Sauf à utiliser une version datant de 2 ans, rien.
Il me semble que c'est le contraire, non ? (Seule la 0.9 serait touchée, pas les précédentes)
La page d'exemple a été faite spécifiquement pour la 0.9 Ca ne marche pas avec les version precedentes parce que la syntaxe n'est pas encore figée.
Ceci dit il me semble qu'in peut monter un exemple similaire avec les anciennes versions
M
Wald Sebastien wrote:
Bonjour, Je trouve cette imitation de mon navigateur assez grossière : - les boutons de navigation sont bien plus gros. - la barre d'adresses a disparu - mes barres d'extension aussi...
Bref de quoi, attirer l'attention...
PS : Puisque pour la moment, on n'a pas vraiment d'applications XUL, on peut désactiver le chargement des XUL avec l'extension adblock et une expression réguliére de type *.xul*
A bon entendeur.
une parade moins radicale est donnée dans l'article sur mozillazine-fr.org
solution 1 : personaliser son navigateur ne serait-ce qu'en ayant un bookmark personnel dans la barre de bookmark
solution 2 : empecher l'ouverture de nouvelle fenetre et les obliger à s'ouvrir dans un onglet en utilisant l'extension tabbrowser.
[EXTRAIT] Le site falsifié n'a aucun moyen de connaître les préférences de l'utilisateur donc de mimer les personnalisations de son navigateur comme le choix de la taille des icônes, leur nombre, leur ordre, le thème appliqué, la barre personnelle des marque-pages, les extensions installées, etc. Si vous ne permettez pas que votre navigateur s'ouvre dans plusieurs fenêtres mais uniquement en mode fenêtre unique comme le permet, par exemple, l'extension Tabbrowser qui existe en français pour Mozilla et Firefox le faux navigateur ou la fausse boîte s'affichera dans un onglet entouré par votre interface habituelle. [/EXTRAIT]
Bonjour,
Je trouve cette imitation de mon navigateur assez grossière :
- les boutons de navigation sont bien plus gros.
- la barre d'adresses a disparu
- mes barres d'extension aussi...
Bref de quoi, attirer l'attention...
PS : Puisque pour la moment, on n'a pas vraiment d'applications XUL, on
peut désactiver le chargement des XUL avec l'extension adblock et une
expression réguliére de type *.xul*
A bon entendeur.
une parade moins radicale est donnée dans l'article sur mozillazine-fr.org
solution 1 : personaliser son navigateur ne serait-ce qu'en ayant un
bookmark personnel dans la barre de bookmark
solution 2 : empecher l'ouverture de nouvelle fenetre et les obliger à
s'ouvrir dans un onglet en utilisant l'extension tabbrowser.
[EXTRAIT]
Le site falsifié n'a aucun moyen de connaître les préférences de
l'utilisateur donc de mimer les personnalisations de son navigateur
comme le choix de la taille des icônes, leur nombre, leur ordre, le
thème appliqué, la barre personnelle des marque-pages, les extensions
installées, etc. Si vous ne permettez pas que votre navigateur s'ouvre
dans plusieurs fenêtres mais uniquement en mode fenêtre unique comme
le permet, par exemple, l'extension Tabbrowser qui existe en français
pour Mozilla et Firefox le faux navigateur ou la fausse boîte
s'affichera dans un onglet entouré par votre interface habituelle.
[/EXTRAIT]
Bonjour, Je trouve cette imitation de mon navigateur assez grossière : - les boutons de navigation sont bien plus gros. - la barre d'adresses a disparu - mes barres d'extension aussi...
Bref de quoi, attirer l'attention...
PS : Puisque pour la moment, on n'a pas vraiment d'applications XUL, on peut désactiver le chargement des XUL avec l'extension adblock et une expression réguliére de type *.xul*
A bon entendeur.
une parade moins radicale est donnée dans l'article sur mozillazine-fr.org
solution 1 : personaliser son navigateur ne serait-ce qu'en ayant un bookmark personnel dans la barre de bookmark
solution 2 : empecher l'ouverture de nouvelle fenetre et les obliger à s'ouvrir dans un onglet en utilisant l'extension tabbrowser.
[EXTRAIT] Le site falsifié n'a aucun moyen de connaître les préférences de l'utilisateur donc de mimer les personnalisations de son navigateur comme le choix de la taille des icônes, leur nombre, leur ordre, le thème appliqué, la barre personnelle des marque-pages, les extensions installées, etc. Si vous ne permettez pas que votre navigateur s'ouvre dans plusieurs fenêtres mais uniquement en mode fenêtre unique comme le permet, par exemple, l'extension Tabbrowser qui existe en français pour Mozilla et Firefox le faux navigateur ou la fausse boîte s'affichera dans un onglet entouré par votre interface habituelle. [/EXTRAIT]
