passer à UTF8

On 2005-12-18 00:44:24 +0100, RTyler wrote:

Ah oui ? Il me semblait que Firefox intégrait le pishing depuis Firefox
1.0.jesaispluscombien. Normalement il l'ouvre mais indique quelque chose
dans la barre d'état (après tout il ne peut pas savoir si le site est le
bon ou pas).

Il détecte de changement de "script" je crois. Mais tous les types de
phishing ne se basent pas là-dessus. Pour être efficace, il faudrait
avoir une base de données des sites de phising, mise à jour en temps
réelle (un peu comme les blacklists pour les spams). Mais je ne pense
pas qu'il le fasse. Il avec l'exemple de Stéphane (que tu peux essayer),
tu verras qu'il ne bronchera pas lorsqu'un nom de domaine a un "1" (qui
pourrait être pris pour un "l") dans un mot.

--
Vincent Lefèvre <vincent@vinc17.org> - Web: <http://www.vinc17.org/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.org/blog/>
Work: CR INRIA - computer arithmetic / SPACES project at LORIA


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Vincent Lefevre a écrit :

On 2005-12-18 00:44:24 +0100, RTyler wrote:

Ah oui ? Il me semblait que Firefox intégrait le pishing depuis Firefox
1.0.jesaispluscombien. Normalement il l'ouvre mais indique quelque chose
dans la barre d'état (après tout il ne peut pas savoir si le site est le
bon ou pas).

Il détecte de changement de "script" je crois. Mais tous les types de
phishing ne se basent pas là-dessus. Pour être efficace, il faudrait
avoir une base de données des sites de phising, mise à jour en temps
réelle (un peu comme les blacklists pour les spams). Mais je ne pense
pas qu'il le fasse. Il avec l'exemple de Stéphane (que tu peux essayer),
tu verras qu'il ne bronchera pas lorsqu'un nom de domaine a un "1" (qui
pourrait être pris pour un "l") dans un mot.

Je crois qu'Internet Explorer ou Firefox a une base de donnée. Attends
je te retrouve ça.

http://siteduzero.com/news-62-34-mozilla-ie-opera-tous-unis-contre-le-phishing.html

Arf en fait non je me suis trompé. En tout cas cela dépend des
navigateurs. Sinon il y a l'astuce de creditIonnais (un I à la place de
l qui s'affiche pareil selon la police).

Bref, utilisons les adresses IP directement :D (c'est sûrement la
meilleure parade au pishing).

- --



- ---------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net (0x2B8BE385)
- ---------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn___^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFDpLegXBAlpiuL44URAiAaAKCDXecaHvTR/S0Xd9Go5AyguFR24ACfc+QR
NIr40DHevIq+U6RC+B8ovQk ÃBq
-----END PGP SIGNATURE-----


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le Samedi, 17 Décembre 2005 22.48, Stephane Bortzmeyer a écrit :

On Sat, Dec 17, 2005 at 10:39:29PM +0100,
steve <dlist@bluewin.ch> wrote

a message of 12 lines which said:
> http://www.schneier.com/blog/archives/2005/02/unicode_url_hac_1.html

D'habitude, j'apprécie beaucoup tous les articles de Schneier

moi aussi

mais celui-ci est vraiment idiot. La même attaque est possible sans Uni code
(www.goog1e.com, par exemple).

l'argument de dire que l'article est idiot *parce que* la même attaque es t
possible sans unicode ne me paraît pas très pertinent.

Il est vrai que ce problème existe depuis longtemps, même en ascii (un autre
exemple est le " r " suivi du " n ", qui semble donner un " m "); mais il e st
bon, me semble-t-il, de rappeler que souvent, lorsque l'on veut résoudre un
problème, on amène son lot de complexité et de ce fait de nouvelles
possibilités de trous de sécurité. Je crois que c'est le message de S chneier.

De plus le problème est encore d'actualité:

The attack can be disabled in Firefox and Mozilla by setting
'network.enableIDN' to false in the browser's configuration (enter
about:config in the address bar to access the configuration functions).

Sur mon Firefox, cette variable est toujours à true.

Et, de toute façon, Schneier ne propose aucune alternative (à part
rester en US-ASCII, ce qui ne convient qu'aux anglophones et
néérlandophones).

Non il ne dit pas ça; il dit que l'ascii étant plus restreint, il est m oins
facile de commettre une erreur, car ne n'oublions pas "Errare humanum est".


Bon dimanche

--
steve
jabber : sdl@jabber.org

On 2005-12-18 02:13:05 +0100, RTyler wrote:

Bref, utilisons les adresses IP directement :D (c'est sûrement la
meilleure parade au pishing).

Pour les sites sensibles, par exemple celui de sa banque, il suffit
de taper à la main l'URL une fois pour toutes et de la mettre dans
ses bookmarks.

Concernant le fait de taper l'adresse IP à la main, même pas...
En général, on ne la connaît pas et beaucoup de phising par mail
se base sur des liens du style

<a href="http://x.x.x.x/">site_de_la_banque</a>

et l'utilisateur ne se doute pas forcément qu'il s'agit d'une fausse
adresse IP!

--
Vincent Lefèvre <vincent@vinc17.org> - Web: <http://www.vinc17.org/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.org/blog/>
Work: CR INRIA - computer arithmetic / SPACES project at LORIA


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

On Sun, Dec 18, 2005 at 09:09:56AM +0100, steve wrote:

Non il ne dit pas ça; il dit que l'ascii étant plus restreint, il est moins
facile de commettre une erreur, car ne n'oublions pas "Errare humanum est".

Avec ce raisonnement, on jete aussi les lettres et les
attaques possibles sur les DNS en n'utilisant (et
n'autorisant) que les adresses IP.

Y.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le Dimanche, 18 Décembre 2005 13.01, Yves Rutschle a écrit :

On Sun, Dec 18, 2005 at 09:09:56AM +0100, steve wrote:
> Non il ne dit pas ça; il dit que l'ascii étant plus restreint, il e st
> moins facile de commettre une erreur, car ne n'oublions pas "Errare
> humanum est".

Avec ce raisonnement, on jete aussi les lettres et les
attaques possibles sur les DNS en n'utilisant (et
n'autorisant) que les adresses IP.

Faut pas être extrémiste non plus. Personne n'a dit qu'utiliser l'uni code est
débile, faut juste faire un peu plus attention vu que c'est plus complexe que
l'antique ascii.

Y.

Bon dimanche

--
steve
jabber : sdl@jabber.org

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Vincent Lefevre a écrit :

On 2005-12-18 02:13:05 +0100, RTyler wrote:

Bref, utilisons les adresses IP directement :D (c'est sûrement la
meilleure parade au pishing).

Pour les sites sensibles, par exemple celui de sa banque, il suffit
de taper à la main l'URL une fois pour toutes et de la mettre dans
ses bookmarks.

Concernant le fait de taper l'adresse IP à la main, même pas...
En général, on ne la connaît pas et beaucoup de phising par mail
se base sur des liens du style

<a href="http://x.x.x.x/">site_de_la_banque</a>

et l'utilisateur ne se doute pas forcément qu'il s'agit d'une fausse
adresse IP!

Oui bien sûr. J'entendais par là ne jamais faire confiance à une adresse
donné par mail. C'est vrai que le coup des bookmars c'est bien plus
simple. Au moins on sait ce qu'on fait.

RTyler

- --



- ---------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net (0x2B8BE385)
- ---------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn___^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFDpZoIXBAlpiuL44URArOSAJwKPwqyISJPHsbSb17pFColDzTiEACePA3Z
WAmCMulglb6eYzoKW8r4e+E =m5bT
-----END PGP SIGNATURE-----


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

On Sun, Dec 18, 2005 at 02:30:46PM +0100, steve wrote:

Faut pas être extrémiste non plus. Personne n'a dit qu'utiliser l'unicode est
débile, faut juste faire un peu plus attention vu que c'est plus complexe que
l'antique ascii.

Non, la conclusion de l'article est bien: "Unicode is just
too complex to ever be secure." En d'autre terme, si vous
voulez être en sécurité, n'y pensez même pas, même dans 150
ans.

Y. - qui n'a pas d'opinion sur la question, au fait.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Bonjour,

Le Dimanche, 18 Décembre 2005 21.25, Yves Rutschle a écrit :

On Sun, Dec 18, 2005 at 02:30:46PM +0100, steve wrote:
> Faut pas être extrémiste non plus. Personne n'a dit qu'utiliser l'u nicode
> est débile, faut juste faire un peu plus attention vu que c'est plus
> complexe que l'antique ascii.

Non, la conclusion de l'article est bien: "Unicode is just
too complex to ever be secure."

Tu joues sur le mot "ever", qui peut être en effet malvenu. Mais on peut aussi
remonter d'un paragraphe et lire " With Unicode, we probably won't be able to
get a consistent definition of what to accept, ..." et là on lit " probab ly".

En d'autre terme, si vous
voulez être en sécurité, n'y pensez même pas, même dans 150
ans.

Cette conclusion est finalement assez générale non? Comme adorent dire les
médias : le risque zéro n'existe pas. Mais en faisant attention, on peu t
limiter les risques. Jusqu'où, ça c'est presque impossible à dire, pa r la
nature même de la Vie.

Y. - qui n'a pas d'opinion sur la question, au fait.

Moi non plus en fait, je ne suis pas spécialiste en la matière. Je voul ais
juste attirer l'attention sur le fait que résoudre un problème peut en
apporter d'autres.

Un exemple qui me vient à l'esprit: le Sarko a fait le zouave médiatiqu e en
voulant réduire le nombre de mort sur les routes avec tout un tas de mesu res.
Dans l'idée on ne peut pas être contre (qui veut plus de morts sur les
routes?). Par contre un effet de bord, si j'ose dire, c'est que les médec ins
qui font des transplantations d'organes sont bien embêtés de ne plus av oir
cette manne "gratuite", et maintenant il y a plus de gens qui meurent faute
de pouvoir être transplanté qu'auparavant.

Comme dit Schneier dans son "Beyond Fear", la sécurité est avant tout u n
compromis.

Sur ce, bon début de semaine.

Librement.

--
steve
jabber : sdl@jabber.org