[Opera] 9.03 embauche un garde-pêche...

Le 20.10.2006 19:10, rm a écrit :

Salut,

Opera vient de proposer au téléchargement une version de développement
estampillée 9.03 (révision 8629 pour Win32) disposant d'un *système
anti-fraude* (ou "anti-phishing" ou "anti-contrefaçon" ou
"anti-hameçonnage"), dont le principe, qui diffère un poil de ceux de Fx2.0
et IE7, est décrit (en anglais) sur
http://my.opera.com/desktopteam/blog/2006/10/17/opera-9-1-includes-fraud-protection
et de manière plus encyclopédique sur http://fr.wikipedia.org/wiki/Phishing

C'est une façon de voir les choses. Mais un mélange des deux (blacklist
+ base de données) serait l'idéal.

De plus, je pensais que l'anti-phishing était ciblé à l'origine pour la
version 9.10 d'Opera ?!

Un "backport" pour se mettre à niveau de la concurrence dans ce domaine ?

Et à propos, quand Opera pourra-t-il jouir des mises à jours
incrémentielles ?

Cette version comporte aussi plusieurs autres améliorations annoncées à
savoir:

[correctifs classiques et intéressant]

-remplace le User-Agent pour Mozilla afin de singer un Firefox 1.5

Pourquoi ? Opéra a honte de s'annoncer comme tel ?

[Avertissement par rapport au statut de développement de cette version]

--
Frederic Bezies - fredbezies@gmail.com
Site Perso : http://perso.wanadoo.fr/frederic.bezies/
Weblog : http://frederic.bezies.free.fr/blog/
Forum : http://frederic.bezies.free.fr/forum/

Le vendredi 20 octobre 2006 à 20:30, Frederic Bezies a écrit :

Le 20.10.2006 19:10, rm a écrit :

Salut,

Opera vient de proposer au téléchargement une version de développement
estampillée 9.03 (révision 8629 pour Win32) disposant d'un *système
anti-fraude* (ou "anti-phishing" ou "anti-contrefaçon" ou
"anti-hameçonnage"), dont le principe, qui diffère un poil de ceux de Fx2.0
et IE7, est décrit (en anglais) sur
http://my.opera.com/desktopteam/blog/2006/10/17/opera-9-1-includes-fraud-protection
et de manière plus encyclopédique sur http://fr.wikipedia.org/wiki/Phishing

C'est une façon de voir les choses. Mais un mélange des deux (blacklist
+ base de données) serait l'idéal.

Opera estime que si l'utilisateur a le choix de faire confiance en un
fichier téléchargé tous les je-ne-sais-pas-quand, il ne sera pas protégé en
"temps réel", un peu à l'instar des mises à jour de signatures
antivirales... (en partant de l'hypothèse que le risque "phishing" soit
aussi dynamique que ces bons vieux virus)
Alors, il impose ce que Firefox ne fait que proposer en option (service
sous-traité à Google, bien connu... mais peut-être trop, quand il s'agit de
lui dire où on surfe, déjà qu'on lui dit ce qu'on cherche, qu'il aspire
toutes les newsgroups et qu'il "lit" nos (G)mail)
C'est un choix qui se tient et se discute, forcément...

Personnelement, je n'ai pas beosin de ces anti-hameçonnages: suis pas une
tanche quand même (en toute modestie) :)

De plus, je pensais que l'anti-phishing était ciblé à l'origine pour la
version 9.10 d'Opera ?!

Ces versions de développement sont les bases des futures 9.10.
Le fichier téléchargé se nomme d'ailleurs
http://snapshot.opera.com/windows/o910w*.*
et le user-agent est déjà prêt en Opera/9.10 (Windows NT 5.1; U; en)
mais la version annoncée dans l'about:opera est 9.03...
Un peu inhabituel, en effet (ou petit bug de précipitation/étourderie ?)

Un "backport" pour se mettre à niveau de la concurrence dans ce domaine ?

Opera alertait déjà sur des adresses contenant des noms d'utilisateur (@)
et affichait systématiquement les url dans les pages/popups qui tentaient
de les masquer... ça pouvait paraître suffisant.
Sinon, oui, c'est une des rares bricoles qui existaient dans IE7 et Firefox
2.0 et *pas* dans Opera... ça semblait, en plus, correspondre à une demande
utilisateur
http://operawatch.com/news/2006/07/what-would-you-like-to-see-in-the-next-opera-desktop-browser.html
et constituer un risque que certains éditeurs de logiciels de sécurité
classifient allègrement de /majeur/...

Les premiers tests rapides que j'ai pu faire montre tout de même une
efficacité un poil inférieure à ce que fournit l'actuel Firefox 2.0RC3...
à suivre, donc.

Et à propos, quand Opera pourra-t-il jouir des mises à jours
incrémentielles ?

Aucune idée... c'est à la mode aussi et une demande de certains
utilisateurs... y'en a qui demandent même des extensions et des activex,
pffff, le délire !
Mais bon, Opera étant constitué, au moins sous Windows, de très peu de
fichiers dont UN fichier -on va dire principal, l'Opera.dll- qui pèse 60%
(3Mo) du total des fichiers installés (5Mo), il y a de forte chance pour
être mis-à-jour systématiquement... donc le gain en bande passante sera
faible et la manip sera guère plus rapide qu'un mise à jour via un banal
installeur de 4Mo...

Cette version comporte aussi plusieurs autres améliorations annoncées à
savoir:

[correctifs classiques et intéressant]

-remplace le User-Agent pour Mozilla afin de singer un Firefox 1.5

Pourquoi ? Opéra a honte de s'annoncer comme tel ?

Non, mais les utilisateurs d'Opera ont l'habitude de s'identifier comme IE
ou Firefox pour passer où, sans cela, ça casse...
donc le vieux
Mozilla/5.0 (Windows NT 5.1; U; fr; rv:1.7.5) Gecko/20041110
devait commencer à moins bien passer que le "nouveau"
Mozilla/5.0 (Windows NT 5.1; U; en; rv:1.8.0) Gecko/20060728 Firefox/1.5.0
sur les sites qui "servent en fonction du faciès"...

De la même manière, Opera devrait maintenant savoir s'identifier comme un
"IE Windows", même sous Linux ou MacOS !
d'après les quelques ligens que j'ai eu la flemme de traduire :
"Made IE ID string spoof as Windows on Linux/UNIX and Mac"

[Avertissement par rapport au statut de développement de cette version]

Je n'ai pas encore rencontré, ni entendu parler, de soucis en utilisant une
weekly, bêta ou TP d'Opera (et j'en ai éclusé un paquet), donc je ne suis
pas DU TOUT frileux là dessus...
je reprend juste les infos
"traditionnelles-par-principe-de-précaution-on-ne-sait-jamais-au-cas-où-brrr"

@+
--
rm

On Fri, 20 Oct 2006 22:43:22 +0200, rm <ramon@tffp.invalid>:

Alors, il impose ce que Firefox ne fait que proposer en option

N'est-ce pas une option aussi sous Opera ?
"We've made it easy to turn on and off the fraud protection from the
information dialog you get when clicking the icon."
http://my.opera.com/desktopteam/blog/2006/10/17/opera-9-1-includes-fraud-protection

Le vendredi 20 octobre 2006 à 23:41, Fabien LE LEZ a écrit :

On Fri, 20 Oct 2006 22:43:22 +0200, rm <ramon@tffp.invalid>:

Alors, il impose ce que Firefox ne fait que proposer en option

N'est-ce pas une option aussi sous Opera ?
"We've made it easy to turn on and off the fraud protection from the
information dialog you get when clicking the icon."
http://my.opera.com/desktopteam/blog/2006/10/17/opera-9-1-includes-fraud-protection

Oui... la fonctionnalité globale d'anti-hameçonnage est activée par défaut
et, heureusement, désactivable sur tous les navigateurs cités (IE, Fx, O9).

Mais Firefox, quand l'anti-phishing est activé, ne propose qu'un contrôle
d'intégrité par rapport à une liste de site préalablement téléchargée et ne
propose la contrôle en "temps réel" que lorsque le choix (optionnel donc)
d'accepter les services d'un organisme certificateur (Google) est validé
via les options de sécurité du navigateur...
Je ne sais pas si ce choix est (sera) massivement accepté après
installation de Firefox, ni même très connu...
et ne sais pas non plus où se trouve la base de données locale téléchargée
et dans quelles conditions/périodicité sont effectuées les mises-à-jours
d'icelle par Firefox 2.0...
C'est sûrement documenté (la v2.0 devrait sortir bientôt) mais j'ai pas
encore trouvé, alors si quelqu'un sait m'éclairer là-dessus, merci :)

@+
--
rm

Le 21.10.2006 00:16, rm a écrit :

Le vendredi 20 octobre 2006 à 23:41, Fabien LE LEZ a écrit :

[...]

et ne sais pas non plus où se trouve la base de données locale téléchargée
et dans quelles conditions/périodicité sont effectuées les mises-à-jours
d'icelle par Firefox 2.0...

La base est celle de google, et il y a toujours la possibilité de
rapporter des sites suspicieux.

Dans firefox 2.0rc3 (edgy eft release candidate installée hier après-midi) :

Help / Report Web Forgery (désolé, ma version est en anglais par rapport
à mon profil de la pré-3.0alpha que j'utilise quotidiennement ?)

Et dans les préférences, section sécurité, il y a plusieurs options dans
le premier cadre :

"Tell me if the site I am visiting is a suspected forgery

[*] Check using a downloaded list of suspected sites
[ ] Check by asking (Google) about each site I visit"

C'est sûrement documenté (la v2.0 devrait sortir bientôt) mais j'ai pas
encore trouvé, alors si quelqu'un sait m'éclairer là-dessus, merci :)

Désolé, mais encore en anglais :

http://wiki.mozilla.org/Phishing_Protection
http://wiki.mozilla.org/Phishing_Protection:_Design_Documentation
http://wiki.mozilla.org/Phishing_Protection:_Server_Spec
http://wiki.mozilla.org/Phishing_Protection:_Client_Spec

Voila ;)

--
Frederic Bezies - fredbezies@gmail.com
Site Perso : http://perso.wanadoo.fr/frederic.bezies/
Weblog : http://frederic.bezies.free.fr/blog/
Forum : http://frederic.bezies.free.fr/forum/

Salut Melmoth,

Le samedi 21 octobre 2006 à 09:32, MELMOTH a écrit :

Ce cher mammifère du nom de rm nous susurrait, le vendredi 20/10/2006,
dans nos oreilles grandes ouvertes mais un peu sales quand même, et
dans le message <1iiqrbv9ah67i.dlg@foxmail.free.fr>, les doux mélismes
suivants :

Je n'ai pas encore rencontré, ni entendu parler, de soucis en utilisant une
weekly, bêta ou TP d'Opera (et j'en ai éclusé un paquet), donc je ne suis
pas DU TOUT frileux là dessus...

Je suppose que tu as testé cette dernière version d'Opera...

un p'tit peu, elle est sortie hier soir et je n'ai pas que ça à faire non
plus...

D'après toi, y a-t-il un risque à la charger et l'installer sur
l'ancienne, ou est-il _impératif_ de l'installer à part avec un profil
particulier...

non, pour moi, il n'y a jamais aucun risque puisque je sauvegarde
régulièrement mes données, dont mon profil Opera-tionnel :)
Si tu ne sauvegardes pas tes données et que tu es particulièrement
précautionneux, tu feras une install avec profil séparé...
Mais franchement, j'ai JAMAIS perdu (sauf maladresse personnelle) de
données sur mise à jour (finale, alpha, bêta, RC, TP, weekly) de ce
navigateur !

Remarque...je ne suis guère pressé...et me demande si je ne vais pas
tout simplement attendre la sortie de la version..._définitive_ !...

C'est aussi une possibilité, vu le peu d'intérêt pour Toi, qui n'est pas
une tanche non plus, de ce nouvel anti-hameçonnage :-D

@+
--
rm

Le samedi 21 octobre 2006 à 07:37, Frederic Bezies a écrit :

Le 21.10.2006 00:16, rm a écrit :

Le vendredi 20 octobre 2006 à 23:41, Fabien LE LEZ a écrit :

[...]

et ne sais pas non plus où se trouve la base de données locale téléchargée
et dans quelles conditions/périodicité sont effectuées les mises-à-jours
d'icelle par Firefox 2.0...

La base est celle de google, et il y a toujours la possibilité de
rapporter des sites suspicieux.

je voulais savoir où était stockée la base de donnée... pas d'où elle
venait, je me doutais que c'était pas de GeoTrust :)

[...]

C'est sûrement documenté (la v2.0 devrait sortir bientôt) mais j'ai pas
encore trouvé, alors si quelqu'un sait m'éclairer là-dessus, merci :)

Désolé, mais encore en anglais :

http://wiki.mozilla.org/Phishing_Protection
http://wiki.mozilla.org/Phishing_Protection:_Design_Documentation
http://wiki.mozilla.org/Phishing_Protection:_Server_Spec
http://wiki.mozilla.org/Phishing_Protection:_Client_Spec

Voila ;)

oui, merci quand même mais j'avais lu ces pages et pas trouvé les
réponses...
On ne sait pas trop à quelle périodicité se fait la mise à jour de la liste
noire, ni où elle se retrouve en local...
m'enfin une petite recherche sur disque et avec un pare-feu montre qu'un
nouveau Firefox 2.0 (profil vierge) va systématiquement chez Google
(72.14.221.147) télécharger un bon gros millions d'octets au premier
lancement qui sont surement le contenu compressé qu'on retrouve ensuite
dans le fichier urlclassifier2.sqlite (4.02Mo!) du profil (qui doit
constituer cette liste noire et peut-être blanche?)

Après, l'examen du fichier nsUrlClassifierListManager.js
montrerait que les mises à jour se feraient toutes les 30 minutes
"// How frequently we check for updates (30 minutes)
const kUpdateInterval = 30 * 60 * 1000;
// The Initial Developer of the Original Code is Google Inc. "
mais j'ai pas eu le temps de vérifier :)


@+
--
rm

Le 21.10.2006 11:55, rm a écrit :

Le samedi 21 octobre 2006 à 07:37, Frederic Bezies a écrit :

Le 21.10.2006 00:16, rm a écrit :

Le vendredi 20 octobre 2006 à 23:41, Fabien LE LEZ a écrit :

[...]

et ne sais pas non plus où se trouve la base de données locale téléchargée
et dans quelles conditions/périodicité sont effectuées les mises-à-jours
d'icelle par Firefox 2.0...

La base est celle de google, et il y a toujours la possibilité de
rapporter des sites suspicieux.

je voulais savoir où était stockée la base de donnée... pas d'où elle
venait, je me doutais que c'était pas de GeoTrust :)

Non ? ;)

[...]

oui, merci quand même mais j'avais lu ces pages et pas trouvé les
réponses...

Oups.

On ne sait pas trop à quelle périodicité se fait la mise à jour de la liste
noire, ni où elle se retrouve en local...
m'enfin une petite recherche sur disque et avec un pare-feu montre qu'un
nouveau Firefox 2.0 (profil vierge) va systématiquement chez Google
(72.14.221.147) télécharger un bon gros millions d'octets au premier
lancement qui sont surement le contenu compressé qu'on retrouve ensuite
dans le fichier urlclassifier2.sqlite (4.02Mo!) du profil (qui doit
constituer cette liste noire et peut-être blanche?)

Euh... Le fichier dans mon profil (d'une pré-3.0alpha1) est quand même
plus léger :

$ ls -alh urlclassifier2.sqlite
-rw-r--r-- 1 fred fred 1,9M 2006-10-21 07:29 urlclassifier2.sqlite

Après, l'examen du fichier nsUrlClassifierListManager.js
montrerait que les mises à jour se feraient toutes les 30 minutes
"// How frequently we check for updates (30 minutes)
const kUpdateInterval = 30 * 60 * 1000;
// The Initial Developer of the Original Code is Google Inc. "
mais j'ai pas eu le temps de vérifier :)

Pour tout te dire, je n'ai jamais jeter un oeil dans ce fichier non
plus, donc...


--
Frederic Bezies - fredbezies@gmail.com
Site Perso : http://perso.wanadoo.fr/frederic.bezies/
Weblog : http://frederic.bezies.free.fr/blog/
Forum : http://frederic.bezies.free.fr/forum/