comme l'indique
http://seclists.org/lists/fulldisclosure/2005/Feb/0107.html
Mozilla travaille sur le problème pour colmater la faille.
--
vero
http://www.web361.com
La force des groupes de discussion c'est que chacun peut profiter
pleinement des trouvailles, des défauts et du recul d'autrui.
http://perso.wanadoo.fr/cv.vfr/ & http://perso.wanadoo.fr/rustines/
On Tue, 08 Feb 2005 18:20:03 +0100, Jean-Marc Desperrier :
Hum, pas vraiment.
Pourquoi pas ? C'est peut-être une solution temporaire, mais pour l'instant, un domaine contenant un caractère non-ASCII est un truc très rare, et qui a beaucoup de chances d'être plus l'exploitation d'une faille qu'autre chose. Donc, afficher un avertissement (pas trop intrusif, i.e. un message en popup serait inacceptable) me paraît une bonne solution.
-- ;-)
On Tue, 08 Feb 2005 18:20:03 +0100, Jean-Marc Desperrier
<jmdesp@alussinan.org>:
Hum, pas vraiment.
Pourquoi pas ?
C'est peut-être une solution temporaire, mais pour l'instant, un
domaine contenant un caractère non-ASCII est un truc très rare, et qui
a beaucoup de chances d'être plus l'exploitation d'une faille qu'autre
chose. Donc, afficher un avertissement (pas trop intrusif, i.e. un
message en popup serait inacceptable) me paraît une bonne solution.
On Tue, 08 Feb 2005 18:20:03 +0100, Jean-Marc Desperrier :
Hum, pas vraiment.
Pourquoi pas ? C'est peut-être une solution temporaire, mais pour l'instant, un domaine contenant un caractère non-ASCII est un truc très rare, et qui a beaucoup de chances d'être plus l'exploitation d'une faille qu'autre chose. Donc, afficher un avertissement (pas trop intrusif, i.e. un message en popup serait inacceptable) me paraît une bonne solution.
-- ;-)
Steph
Le 08/02/2005 18:13, Jean-Marc Desperrier écrivait :
Steph wrote:
Le 08/02/2005 17:01, Fabien LE LEZ écrivait :
On Tue, 08 Feb 2005 15:49:52 +0100, Mac Larinett :
je l'ai fait avec Moz 1.7.5 et ça marche, peut-être un pb de cache?
Non, non, j'ai vidé le cache, et le bug est toujours présent.
pareil ???
Il y a un problème avec Firefox, et pas avec mozilla.
je voulais dire: pareil avec moz
Certaines personnes qui déclarent qu'il faut redémarrer. D'autres que cela revient après avoir redémarré.
Enfin il y a quelqu'un qui propose une solution, un peu compliquée, et qui ne marche que tant qu'on installe pas une nouvelle extension : http://users.tns.net/~skingery/weblog/2005/02/permanent-fix-for-shmoo-group-exploit.html
hélas seulement pour FF, compreg.dat n'existe pas dans un profil moz
-- Steph Enlever l'.adressebidon.invalid pour m'écrire
Le 08/02/2005 18:13, Jean-Marc Desperrier écrivait :
Steph wrote:
Le 08/02/2005 17:01, Fabien LE LEZ écrivait :
On Tue, 08 Feb 2005 15:49:52 +0100, Mac Larinett <nospam@nowhere.net>:
je l'ai fait avec Moz 1.7.5 et ça marche, peut-être un pb de cache?
Non, non, j'ai vidé le cache, et le bug est toujours présent.
pareil
???
Il y a un problème avec Firefox, et pas avec mozilla.
je voulais dire: pareil avec moz
Certaines personnes qui déclarent qu'il faut redémarrer.
D'autres que cela revient après avoir redémarré.
Enfin il y a quelqu'un qui propose une solution, un peu compliquée, et
qui ne marche que tant qu'on installe pas une nouvelle extension :
http://users.tns.net/~skingery/weblog/2005/02/permanent-fix-for-shmoo-group-exploit.html
hélas seulement pour FF, compreg.dat n'existe pas dans un profil moz
--
Steph
Enlever l'.adressebidon.invalid pour m'écrire
Le 08/02/2005 18:13, Jean-Marc Desperrier écrivait :
Steph wrote:
Le 08/02/2005 17:01, Fabien LE LEZ écrivait :
On Tue, 08 Feb 2005 15:49:52 +0100, Mac Larinett :
je l'ai fait avec Moz 1.7.5 et ça marche, peut-être un pb de cache?
Non, non, j'ai vidé le cache, et le bug est toujours présent.
pareil ???
Il y a un problème avec Firefox, et pas avec mozilla.
je voulais dire: pareil avec moz
Certaines personnes qui déclarent qu'il faut redémarrer. D'autres que cela revient après avoir redémarré.
Enfin il y a quelqu'un qui propose une solution, un peu compliquée, et qui ne marche que tant qu'on installe pas une nouvelle extension : http://users.tns.net/~skingery/weblog/2005/02/permanent-fix-for-shmoo-group-exploit.html
hélas seulement pour FF, compreg.dat n'existe pas dans un profil moz
-- Steph Enlever l'.adressebidon.invalid pour m'écrire
Fabien LE LEZ
On Tue, 08 Feb 2005 18:13:38 +0100, Jean-Marc Desperrier :
Il y a un problème avec Firefox, et pas avec mozilla.
En gros, il semble qu'il y ait effectivement un bug quelque part dans Firefox, que la fondation Mozilla se doit de réparer.
-- ;-)
On Tue, 08 Feb 2005 18:13:38 +0100, Jean-Marc Desperrier
<jmdesp@alussinan.org>:
Il y a un problème avec Firefox, et pas avec mozilla.
En gros, il semble qu'il y ait effectivement un bug quelque part dans
Firefox, que la fondation Mozilla se doit de réparer.
On Tue, 08 Feb 2005 18:13:38 +0100, Jean-Marc Desperrier :
Il y a un problème avec Firefox, et pas avec mozilla.
En gros, il semble qu'il y ait effectivement un bug quelque part dans Firefox, que la fondation Mozilla se doit de réparer.
-- ;-)
Vincent Lefevre
Dans l'article <cuar35$6gb$, Jean-Marc Desperrier écrit:
Par contre, il y a quelquechose qu'ils pourraient faire et qui est en fait indiqué dans la RFC en question, RFC 3490, dans le paragraphe sur les implication sur la sécurité de cette RFC:
"To help prevent confusion between characters that are visually similar, it is suggested that implementations provide visual indications where a domain name contains multiple scripts. Such mechanisms can also be used to show when a name contains a mixture of simplified and traditional Chinese characters, or to distinguish zero and one from O and l. DNS zone adminstrators may impose restrictions (subject to the limitations in section 2) that try to minimize homographs."
Oui, j'avais signalé ailleurs la ressemblance entre 1 et l (et même I), et certaines fontes ne permettent pas vraiment de les distinguer.
Dans l'article <cuar35$6gb$1@reader1.imaginet.fr>,
Jean-Marc Desperrier <jmdesp@alussinan.org> écrit:
Par contre, il y a quelquechose qu'ils pourraient faire et qui est en
fait indiqué dans la RFC en question, RFC 3490, dans le paragraphe sur
les implication sur la sécurité de cette RFC:
"To help prevent confusion between characters that are visually similar,
it is suggested that implementations provide visual indications where a
domain name contains multiple scripts. Such mechanisms can also be used
to show when a name contains a mixture of simplified and traditional
Chinese characters, or to distinguish zero and one from O and l. DNS
zone adminstrators may impose restrictions (subject to the limitations
in section 2) that try to minimize homographs."
Oui, j'avais signalé ailleurs la ressemblance entre 1 et l (et même I),
et certaines fontes ne permettent pas vraiment de les distinguer.
Dans l'article <cuar35$6gb$, Jean-Marc Desperrier écrit:
Par contre, il y a quelquechose qu'ils pourraient faire et qui est en fait indiqué dans la RFC en question, RFC 3490, dans le paragraphe sur les implication sur la sécurité de cette RFC:
"To help prevent confusion between characters that are visually similar, it is suggested that implementations provide visual indications where a domain name contains multiple scripts. Such mechanisms can also be used to show when a name contains a mixture of simplified and traditional Chinese characters, or to distinguish zero and one from O and l. DNS zone adminstrators may impose restrictions (subject to the limitations in section 2) that try to minimize homographs."
Oui, j'avais signalé ailleurs la ressemblance entre 1 et l (et même I), et certaines fontes ne permettent pas vraiment de les distinguer.
Promue marginale calée en ordinatique, je décrypte la prose de *Jean-Marc Desperrier*
Mozilla travaille sur le problème pour colmater la faille.
Mozilla ne peut rien faire,
Merci à tous pour vos explications et débats, j'espère que le problème sera résolu rapidement.
-- vero http://www.web361.com La force des groupes de discussion c'est que chacun peut profiter pleinement des trouvailles, des défauts et du recul d'autrui. http://perso.wanadoo.fr/cv.vfr/ & http://perso.wanadoo.fr/rustines/
Promue marginale calée en ordinatique, je décrypte la prose de
*Jean-Marc Desperrier*
Mozilla travaille sur le problème pour colmater la faille.
Mozilla ne peut rien faire,
Merci à tous pour vos explications et débats, j'espère que le problème
sera résolu rapidement.
--
vero
http://www.web361.com
La force des groupes de discussion c'est que chacun peut profiter
pleinement des trouvailles, des défauts et du recul d'autrui.
http://perso.wanadoo.fr/cv.vfr/ & http://perso.wanadoo.fr/rustines/
Promue marginale calée en ordinatique, je décrypte la prose de *Jean-Marc Desperrier*
Mozilla travaille sur le problème pour colmater la faille.
Mozilla ne peut rien faire,
Merci à tous pour vos explications et débats, j'espère que le problème sera résolu rapidement.
-- vero http://www.web361.com La force des groupes de discussion c'est que chacun peut profiter pleinement des trouvailles, des défauts et du recul d'autrui. http://perso.wanadoo.fr/cv.vfr/ & http://perso.wanadoo.fr/rustines/
Nicolas Krebs
Bonjour,
Jean-Marc Desperrier écrivit dans l'article news:cuaiau$4tj$ dans news:fr.comp.infosystemes.www.navigateurs
( sur le problème soulevé par http://www.shmoo.com/idn/homograph.txt et http://bugzilla.mozilla.org/show_bug.cgi?id'9099 )
Mozilla ne peut rien faire, car ce n'est pas une faille du navigateur.
C'est une faille introduite
[par les]
noms de domaines internationaliséess,
[...]
Le problème, c'est que du coup n'importe quel caractère unicode peut être utilisé dans le nom du domaine,
[mis à part certaines restrictions]
et qu'il y a des caractères qui se ressemblent énormément entre eux.
Tout comme on pouvait déjà jouer sur les ressemblances entre certains caractères de l'ensemble autorisé par le DNS de base, par exemple « l » et « 1 » (un).
Je me permets vous signaler l'extrait de texte suivant, qui peut-être aidera à relativiser ce problème ou, qui sait, à imaginer des parades.
« Les URLs [ce] sont les adresses que vous voyez apparaître dans la partie location ou adresse de votre navigateur. Elles définissent la localisation unique de votre document sur le web.
Dans le projet initial de Tim Berners-Lee, l'utilisateur ne devait pas taper ou entrer une quelconque adresse et donc toute la navigation dans un site devait se faire de manière logique et sans avoir à retenir une quelconque adresse. » (Dubost, Karl, « HTML et les premiers navigateurs », Karl & Cow : The Boring Weblog, lundi 11 décembre 2000, ISSN 1626-3065, http://www.la-grange.net/2000/12/11/premierefois.html )
Article publié dans fr.comp.infosystemes.www.navigateurs, et, comme il y a peut-être des conséquences sur la sécurité, fr.comp.securite, répondre dans un seul forum de préférence.
-- Des adresses : news:fr.bienvenue news:fr.usenet.reponses news:fr.bienvenue.questions http://www.usenet-fr.net/ http://www.monde-diplomatique.fr/ http://www.cnil.fr/
Bonjour,
Jean-Marc Desperrier écrivit dans l'article
news:cuaiau$4tj$1@reader1.imaginet.fr
dans news:fr.comp.infosystemes.www.navigateurs
( sur le problème soulevé par http://www.shmoo.com/idn/homograph.txt et
http://bugzilla.mozilla.org/show_bug.cgi?id'9099 )
Mozilla ne peut rien faire, car ce n'est pas une faille du navigateur.
C'est une faille introduite
[par les]
noms de domaines
internationaliséess,
[...]
Le problème, c'est que du coup n'importe quel caractère unicode peut
être utilisé dans le nom du domaine,
[mis à part certaines restrictions]
et qu'il y a des caractères qui se
ressemblent énormément entre eux.
Tout comme on pouvait déjà jouer sur les ressemblances entre certains
caractères de l'ensemble autorisé par le DNS de base, par exemple « l »
et « 1 » (un).
Je me permets vous signaler l'extrait de texte suivant, qui peut-être
aidera à relativiser ce problème ou, qui sait, à imaginer des parades.
« Les URLs [ce] sont les adresses que vous voyez apparaître dans la
partie location ou adresse de votre navigateur. Elles définissent la
localisation unique de votre document sur le web.
Dans le projet initial de Tim Berners-Lee, l'utilisateur ne devait pas
taper ou entrer une quelconque adresse et donc toute la navigation dans
un site devait se faire de manière logique et sans avoir à retenir une
quelconque adresse. »
(Dubost, Karl, « HTML et les premiers navigateurs »,
Karl & Cow : The Boring Weblog, lundi 11 décembre 2000, ISSN 1626-3065,
http://www.la-grange.net/2000/12/11/premierefois.html )
Article publié dans fr.comp.infosystemes.www.navigateurs, et, comme il y
a peut-être des conséquences sur la sécurité, fr.comp.securite,
répondre dans un seul forum de préférence.
--
Des adresses : news:fr.bienvenue news:fr.usenet.reponses
news:fr.bienvenue.questions http://www.usenet-fr.net/
http://www.monde-diplomatique.fr/ http://www.cnil.fr/
Jean-Marc Desperrier écrivit dans l'article news:cuaiau$4tj$ dans news:fr.comp.infosystemes.www.navigateurs
( sur le problème soulevé par http://www.shmoo.com/idn/homograph.txt et http://bugzilla.mozilla.org/show_bug.cgi?id'9099 )
Mozilla ne peut rien faire, car ce n'est pas une faille du navigateur.
C'est une faille introduite
[par les]
noms de domaines internationaliséess,
[...]
Le problème, c'est que du coup n'importe quel caractère unicode peut être utilisé dans le nom du domaine,
[mis à part certaines restrictions]
et qu'il y a des caractères qui se ressemblent énormément entre eux.
Tout comme on pouvait déjà jouer sur les ressemblances entre certains caractères de l'ensemble autorisé par le DNS de base, par exemple « l » et « 1 » (un).
Je me permets vous signaler l'extrait de texte suivant, qui peut-être aidera à relativiser ce problème ou, qui sait, à imaginer des parades.
« Les URLs [ce] sont les adresses que vous voyez apparaître dans la partie location ou adresse de votre navigateur. Elles définissent la localisation unique de votre document sur le web.
Dans le projet initial de Tim Berners-Lee, l'utilisateur ne devait pas taper ou entrer une quelconque adresse et donc toute la navigation dans un site devait se faire de manière logique et sans avoir à retenir une quelconque adresse. » (Dubost, Karl, « HTML et les premiers navigateurs », Karl & Cow : The Boring Weblog, lundi 11 décembre 2000, ISSN 1626-3065, http://www.la-grange.net/2000/12/11/premierefois.html )
Article publié dans fr.comp.infosystemes.www.navigateurs, et, comme il y a peut-être des conséquences sur la sécurité, fr.comp.securite, répondre dans un seul forum de préférence.
-- Des adresses : news:fr.bienvenue news:fr.usenet.reponses news:fr.bienvenue.questions http://www.usenet-fr.net/ http://www.monde-diplomatique.fr/ http://www.cnil.fr/
