comme l'indique
http://seclists.org/lists/fulldisclosure/2005/Feb/0107.html
Mozilla travaille sur le problème pour colmater la faille.
--
vero
http://www.web361.com
La force des groupes de discussion c'est que chacun peut profiter
pleinement des trouvailles, des défauts et du recul d'autrui.
http://perso.wanadoo.fr/cv.vfr/ & http://perso.wanadoo.fr/rustines/
Promue marginale calée en ordinatique, je décrypte la prose de *Mac Larinett*
il suffit de:
ok, merci, fait :-)
-- vero http://www.web361.com La force des groupes de discussion c'est que chacun peut profiter pleinement des trouvailles, des défauts et du recul d'autrui. http://perso.wanadoo.fr/cv.vfr/ & http://perso.wanadoo.fr/rustines/
Promue marginale calée en ordinatique, je décrypte la prose de *Mac
Larinett*
il suffit de:
ok, merci, fait :-)
--
vero
http://www.web361.com
La force des groupes de discussion c'est que chacun peut profiter
pleinement des trouvailles, des défauts et du recul d'autrui.
http://perso.wanadoo.fr/cv.vfr/ & http://perso.wanadoo.fr/rustines/
Promue marginale calée en ordinatique, je décrypte la prose de *Mac Larinett*
il suffit de:
ok, merci, fait :-)
-- vero http://www.web361.com La force des groupes de discussion c'est que chacun peut profiter pleinement des trouvailles, des défauts et du recul d'autrui. http://perso.wanadoo.fr/cv.vfr/ & http://perso.wanadoo.fr/rustines/
Fabien LE LEZ
On Tue, 08 Feb 2005 13:18:41 +0100, Mac Larinett :
- taper about:config dans le champ d'adresse - filtrer avec "idn" - mettre la variable network.enableIDN à false
Je l'ai fait sous Firefox 1.0, j'ai redémarré le navigateur, et la faille est toujours présente. Aurais-je loupé quelque chose ?
-- ;-)
On Tue, 08 Feb 2005 13:18:41 +0100, Mac Larinett <nospam@nowhere.net>:
- taper about:config dans le champ d'adresse
- filtrer avec "idn"
- mettre la variable network.enableIDN à false
Je l'ai fait sous Firefox 1.0, j'ai redémarré le navigateur, et la
faille est toujours présente. Aurais-je loupé quelque chose ?
On Tue, 08 Feb 2005 13:18:41 +0100, Mac Larinett :
- taper about:config dans le champ d'adresse - filtrer avec "idn" - mettre la variable network.enableIDN à false
Je l'ai fait sous Firefox 1.0, j'ai redémarré le navigateur, et la faille est toujours présente. Aurais-je loupé quelque chose ?
-- ;-)
Jean-Marc Desperrier
Veronique Fritiere wrote:
comme l'indique http://seclists.org/lists/fulldisclosure/2005/Feb/0107.html
Mon IE aussi est sensible à ce problème, j'ai dû installer une fois pour tester le plug-in support i18n sur les noms de domaines.
Mozilla travaille sur le problème pour colmater la faille.
Mozilla ne peut rien faire, car ce n'est pas une faille du navigateur.
C'est une faille introduite dans la spécification des noms de domaines internationaliséess, ou plus précisément le fait d'avoir mis cela en route sans aucune instructions pour les enregistrement de noms de domaines et de certificats serveurs de manière à éviter ce problème.
Une explication de la nature du problème qui ne semble pas très clairement décrit sur un certain nombre de pages :
Les noms de domaine étaient jusque assez récemment limité à de l'ASCII, pas de caractère accentués, ni aucun caractère non-anglais.
Une norme a été introduite pour permettre de lever cette restriction, et autoriser n'importe quel caractère unicode dans un nom de domaine. IE ne l'implémente toujours pas par défaut (il faut un plug-in), mais plusieurs autres navigateurs dont mozilla, si.
Le problème, c'est que du coup n'importe quel caractère unicode peut être utilisé dans le nom du domaine, et qu'il y a des caractères qui se ressemblent énormément entre eux.
En l'occurence, la fraude utilise les caractères cyrilliques U043E et U0441. U043E ressemble exactement à un 'o' latin, et U0441 à un 'c' latin => facile de faire un faux 'microsoft' avec, dans lequel le 'c' et le 'o' ne sont pas réellement un 'c' et un 'o'.
Il y a aussi U0430 qui ressemble exactement à un 'a' latin, si on veut faire 'paypal'.
Cf le tableau ici : http://jrgraphix.net/research/unicode_blocks.php?block=8
Veronique Fritiere wrote:
comme l'indique http://seclists.org/lists/fulldisclosure/2005/Feb/0107.html
Mon IE aussi est sensible à ce problème, j'ai dû installer une fois pour
tester le plug-in support i18n sur les noms de domaines.
Mozilla travaille sur le problème pour colmater la faille.
Mozilla ne peut rien faire, car ce n'est pas une faille du navigateur.
C'est une faille introduite dans la spécification des noms de domaines
internationaliséess, ou plus précisément le fait d'avoir mis cela en
route sans aucune instructions pour les enregistrement de noms de
domaines et de certificats serveurs de manière à éviter ce problème.
Une explication de la nature du problème qui ne semble pas très
clairement décrit sur un certain nombre de pages :
Les noms de domaine étaient jusque assez récemment limité à de l'ASCII,
pas de caractère accentués, ni aucun caractère non-anglais.
Une norme a été introduite pour permettre de lever cette restriction, et
autoriser n'importe quel caractère unicode dans un nom de domaine.
IE ne l'implémente toujours pas par défaut (il faut un plug-in), mais
plusieurs autres navigateurs dont mozilla, si.
Le problème, c'est que du coup n'importe quel caractère unicode peut
être utilisé dans le nom du domaine, et qu'il y a des caractères qui se
ressemblent énormément entre eux.
En l'occurence, la fraude utilise les caractères cyrilliques U043E et
U0441. U043E ressemble exactement à un 'o' latin, et U0441 à un 'c'
latin => facile de faire un faux 'microsoft' avec, dans lequel le 'c' et
le 'o' ne sont pas réellement un 'c' et un 'o'.
Il y a aussi U0430 qui ressemble exactement à un 'a' latin, si on veut
faire 'paypal'.
Cf le tableau ici :
http://jrgraphix.net/research/unicode_blocks.php?block=8
comme l'indique http://seclists.org/lists/fulldisclosure/2005/Feb/0107.html
Mon IE aussi est sensible à ce problème, j'ai dû installer une fois pour tester le plug-in support i18n sur les noms de domaines.
Mozilla travaille sur le problème pour colmater la faille.
Mozilla ne peut rien faire, car ce n'est pas une faille du navigateur.
C'est une faille introduite dans la spécification des noms de domaines internationaliséess, ou plus précisément le fait d'avoir mis cela en route sans aucune instructions pour les enregistrement de noms de domaines et de certificats serveurs de manière à éviter ce problème.
Une explication de la nature du problème qui ne semble pas très clairement décrit sur un certain nombre de pages :
Les noms de domaine étaient jusque assez récemment limité à de l'ASCII, pas de caractère accentués, ni aucun caractère non-anglais.
Une norme a été introduite pour permettre de lever cette restriction, et autoriser n'importe quel caractère unicode dans un nom de domaine. IE ne l'implémente toujours pas par défaut (il faut un plug-in), mais plusieurs autres navigateurs dont mozilla, si.
Le problème, c'est que du coup n'importe quel caractère unicode peut être utilisé dans le nom du domaine, et qu'il y a des caractères qui se ressemblent énormément entre eux.
En l'occurence, la fraude utilise les caractères cyrilliques U043E et U0441. U043E ressemble exactement à un 'o' latin, et U0441 à un 'c' latin => facile de faire un faux 'microsoft' avec, dans lequel le 'c' et le 'o' ne sont pas réellement un 'c' et un 'o'.
Il y a aussi U0430 qui ressemble exactement à un 'a' latin, si on veut faire 'paypal'.
Cf le tableau ici : http://jrgraphix.net/research/unicode_blocks.php?block=8
Fabien LE LEZ
On Tue, 08 Feb 2005 15:49:52 +0100, Mac Larinett :
je l'ai fait avec Moz 1.7.5 et ça marche, peut-être un pb de cache?
Non, non, j'ai vidé le cache, et le bug est toujours présent.
-- ;-)
On Tue, 08 Feb 2005 15:49:52 +0100, Mac Larinett <nospam@nowhere.net>:
je l'ai fait avec Moz 1.7.5 et ça marche, peut-être un pb de cache?
Non, non, j'ai vidé le cache, et le bug est toujours présent.
On Tue, 08 Feb 2005 15:49:52 +0100, Mac Larinett :
je l'ai fait avec Moz 1.7.5 et ça marche, peut-être un pb de cache?
Non, non, j'ai vidé le cache, et le bug est toujours présent.
-- ;-)
Fabien LE LEZ
On Tue, 08 Feb 2005 15:50:36 +0100, Jean-Marc Desperrier :
Mozilla travaille sur le problème pour colmater la faille.
Mozilla ne peut rien faire,
Si. Par exemple, afficher les caractères non-ASCII des noms de domaine dans une police très différente, ou afficher, près de l'URL, un symbole indiquant qu'il y a des caractères non-ASCII dans le nom de domaine.
-- ;-)
On Tue, 08 Feb 2005 15:50:36 +0100, Jean-Marc Desperrier
<jmdesp@alussinan.org>:
Mozilla travaille sur le problème pour colmater la faille.
Mozilla ne peut rien faire,
Si. Par exemple, afficher les caractères non-ASCII des noms de domaine
dans une police très différente, ou afficher, près de l'URL, un
symbole indiquant qu'il y a des caractères non-ASCII dans le nom de
domaine.
On Tue, 08 Feb 2005 15:50:36 +0100, Jean-Marc Desperrier :
Mozilla travaille sur le problème pour colmater la faille.
Mozilla ne peut rien faire,
Si. Par exemple, afficher les caractères non-ASCII des noms de domaine dans une police très différente, ou afficher, près de l'URL, un symbole indiquant qu'il y a des caractères non-ASCII dans le nom de domaine.
-- ;-)
Steph
Le 08/02/2005 17:01, Fabien LE LEZ écrivait :
On Tue, 08 Feb 2005 15:49:52 +0100, Mac Larinett :
je l'ai fait avec Moz 1.7.5 et ça marche, peut-être un pb de cache?
Non, non, j'ai vidé le cache, et le bug est toujours présent.
pareil ???
-- Steph Enlever l'.adressebidon.invalid pour m'écrire
Le 08/02/2005 17:01, Fabien LE LEZ écrivait :
On Tue, 08 Feb 2005 15:49:52 +0100, Mac Larinett <nospam@nowhere.net>:
je l'ai fait avec Moz 1.7.5 et ça marche, peut-être un pb de cache?
Non, non, j'ai vidé le cache, et le bug est toujours présent.
pareil
???
--
Steph
Enlever l'.adressebidon.invalid pour m'écrire
On Tue, 08 Feb 2005 15:49:52 +0100, Mac Larinett :
je l'ai fait avec Moz 1.7.5 et ça marche, peut-être un pb de cache?
Non, non, j'ai vidé le cache, et le bug est toujours présent.
pareil ???
-- Steph Enlever l'.adressebidon.invalid pour m'écrire
Pierre Goiffon
Jean-Marc Desperrier wrote:
Mozilla ne peut rien faire, car ce n'est pas une faille du navigateur.
C'est une faille introduite dans la spécification des noms de domaines internationaliséess
(...)
Moi qui attendait ce soir pour aller à la pêche aux infos et comprendre les tenants et aboutissants... Merci de ces explications claires et détaillées !
Jean-Marc Desperrier wrote:
Mozilla ne peut rien faire, car ce n'est pas une faille du navigateur.
C'est une faille introduite dans la spécification des noms de domaines
internationaliséess
(...)
Moi qui attendait ce soir pour aller à la pêche aux infos et comprendre
les tenants et aboutissants... Merci de ces explications claires et
détaillées !
Mozilla ne peut rien faire, car ce n'est pas une faille du navigateur.
C'est une faille introduite dans la spécification des noms de domaines internationaliséess
(...)
Moi qui attendait ce soir pour aller à la pêche aux infos et comprendre les tenants et aboutissants... Merci de ces explications claires et détaillées !
Jean-Marc Desperrier
Steph wrote:
Le 08/02/2005 17:01, Fabien LE LEZ écrivait :
On Tue, 08 Feb 2005 15:49:52 +0100, Mac Larinett :
je l'ai fait avec Moz 1.7.5 et ça marche, peut-être un pb de cache?
Non, non, j'ai vidé le cache, et le bug est toujours présent.
pareil ???
Il y a un problème avec Firefox, et pas avec mozilla.
Certaines personnes qui déclarent qu'il faut redémarrer. D'autres que cela revient après avoir redémarré.
Enfin il y a quelqu'un qui propose une solution, un peu compliquée, et qui ne marche que tant qu'on installe pas une nouvelle extension : http://users.tns.net/~skingery/weblog/2005/02/permanent-fix-for-shmoo-group-exploit.html
Steph wrote:
Le 08/02/2005 17:01, Fabien LE LEZ écrivait :
On Tue, 08 Feb 2005 15:49:52 +0100, Mac Larinett <nospam@nowhere.net>:
je l'ai fait avec Moz 1.7.5 et ça marche, peut-être un pb de cache?
Non, non, j'ai vidé le cache, et le bug est toujours présent.
pareil
???
Il y a un problème avec Firefox, et pas avec mozilla.
Certaines personnes qui déclarent qu'il faut redémarrer.
D'autres que cela revient après avoir redémarré.
Enfin il y a quelqu'un qui propose une solution, un peu compliquée, et
qui ne marche que tant qu'on installe pas une nouvelle extension :
http://users.tns.net/~skingery/weblog/2005/02/permanent-fix-for-shmoo-group-exploit.html
On Tue, 08 Feb 2005 15:49:52 +0100, Mac Larinett :
je l'ai fait avec Moz 1.7.5 et ça marche, peut-être un pb de cache?
Non, non, j'ai vidé le cache, et le bug est toujours présent.
pareil ???
Il y a un problème avec Firefox, et pas avec mozilla.
Certaines personnes qui déclarent qu'il faut redémarrer. D'autres que cela revient après avoir redémarré.
Enfin il y a quelqu'un qui propose une solution, un peu compliquée, et qui ne marche que tant qu'on installe pas une nouvelle extension : http://users.tns.net/~skingery/weblog/2005/02/permanent-fix-for-shmoo-group-exploit.html
Jean-Marc Desperrier
Fabien LE LEZ wrote:
On Tue, 08 Feb 2005 15:50:36 +0100, Jean-Marc Desperrier :
Mozilla travaille sur le problème pour colmater la faille.
Mozilla ne peut rien faire,
Si. Par exemple, afficher les caractères non-ASCII des noms de domaine dans une police très différente, ou afficher, près de l'URL, un symbole indiquant qu'il y a des caractères non-ASCII dans le nom de domaine.
Hum, pas vraiment.
Par contre, il y a quelquechose qu'ils pourraient faire et qui est en fait indiqué dans la RFC en question, RFC 3490, dans le paragraphe sur les implication sur la sécurité de cette RFC:
"To help prevent confusion between characters that are visually similar, it is suggested that implementations provide visual indications where a domain name contains multiple scripts. Such mechanisms can also be used to show when a name contains a mixture of simplified and traditional Chinese characters, or to distinguish zero and one from O and l. DNS zone adminstrators may impose restrictions (subject to the limitations in section 2) that try to minimize homographs."
Un peu à la décharge de mozilla, cette RFC me semble avoir sous-estimé l'ampleur du problème, et aurait dû donner des indications beaucoup plus précises sur comment identifier les scripts, quels critère utiliser pour cet avertissement , et mettre ces recommendation plus visible dans le corps de texte, et non dans un paragraphe séparé.
Fabien LE LEZ wrote:
On Tue, 08 Feb 2005 15:50:36 +0100, Jean-Marc Desperrier
<jmdesp@alussinan.org>:
Mozilla travaille sur le problème pour colmater la faille.
Mozilla ne peut rien faire,
Si. Par exemple, afficher les caractères non-ASCII des noms de domaine
dans une police très différente, ou afficher, près de l'URL, un
symbole indiquant qu'il y a des caractères non-ASCII dans le nom de
domaine.
Hum, pas vraiment.
Par contre, il y a quelquechose qu'ils pourraient faire et qui est en
fait indiqué dans la RFC en question, RFC 3490, dans le paragraphe sur
les implication sur la sécurité de cette RFC:
"To help prevent confusion between characters that are visually similar,
it is suggested that implementations provide visual indications where a
domain name contains multiple scripts. Such mechanisms can also be used
to show when a name contains a mixture of simplified and traditional
Chinese characters, or to distinguish zero and one from O and l. DNS
zone adminstrators may impose restrictions (subject to the limitations
in section 2) that try to minimize homographs."
Un peu à la décharge de mozilla, cette RFC me semble avoir sous-estimé
l'ampleur du problème, et aurait dû donner des indications beaucoup plus
précises sur comment identifier les scripts, quels critère utiliser pour
cet avertissement , et mettre ces recommendation plus visible dans le
corps de texte, et non dans un paragraphe séparé.
On Tue, 08 Feb 2005 15:50:36 +0100, Jean-Marc Desperrier :
Mozilla travaille sur le problème pour colmater la faille.
Mozilla ne peut rien faire,
Si. Par exemple, afficher les caractères non-ASCII des noms de domaine dans une police très différente, ou afficher, près de l'URL, un symbole indiquant qu'il y a des caractères non-ASCII dans le nom de domaine.
Hum, pas vraiment.
Par contre, il y a quelquechose qu'ils pourraient faire et qui est en fait indiqué dans la RFC en question, RFC 3490, dans le paragraphe sur les implication sur la sécurité de cette RFC:
"To help prevent confusion between characters that are visually similar, it is suggested that implementations provide visual indications where a domain name contains multiple scripts. Such mechanisms can also be used to show when a name contains a mixture of simplified and traditional Chinese characters, or to distinguish zero and one from O and l. DNS zone adminstrators may impose restrictions (subject to the limitations in section 2) that try to minimize homographs."
Un peu à la décharge de mozilla, cette RFC me semble avoir sous-estimé l'ampleur du problème, et aurait dû donner des indications beaucoup plus précises sur comment identifier les scripts, quels critère utiliser pour cet avertissement , et mettre ces recommendation plus visible dans le corps de texte, et non dans un paragraphe séparé.
Jean-Marc Desperrier
Jean-Marc Desperrier wrote:
[...] C'est une faille introduite dans la spécification des noms de domaines internationaliséess, ou plus précisément le fait d'avoir mis cela en route sans aucune instructions pour les enregistrement de noms de domaines et de certificats serveurs de manière à éviter ce problème.
En fait, l'ICANN a publié des recommendations pour éviter le problème (dont il reste à voir si elles étaient suffisament complètes), mais Verisign les a ignorées, et d'autres à la suite, et globalement cela reste lettre morte :
[...]
C'est une faille introduite dans la spécification des noms de domaines
internationaliséess, ou plus précisément le fait d'avoir mis cela en
route sans aucune instructions pour les enregistrement de noms de
domaines et de certificats serveurs de manière à éviter ce problème.
En fait, l'ICANN a publié des recommendations pour éviter le problème
(dont il reste à voir si elles étaient suffisament complètes), mais
Verisign les a ignorées, et d'autres à la suite, et globalement cela
reste lettre morte :
[...] C'est une faille introduite dans la spécification des noms de domaines internationaliséess, ou plus précisément le fait d'avoir mis cela en route sans aucune instructions pour les enregistrement de noms de domaines et de certificats serveurs de manière à éviter ce problème.
En fait, l'ICANN a publié des recommendations pour éviter le problème (dont il reste à voir si elles étaient suffisament complètes), mais Verisign les a ignorées, et d'autres à la suite, et globalement cela reste lettre morte :
