Je viens de decouvrir le terme phishing et ce qu'il recouvre (ayant
failli etre victime d'un site qui se faisait passer pour ebay j'en ai
fais un miroir), et en lisant les pages html je m'apercois qu'il y a
enormement de liens vers des sites reels de ebay
(ebaystatic.com,pages.ebay.com/help/policies/privacy-policy.html...).
La question que je me pose vu que j'ai deja analyse des logs de serveur
web (ah ca oui j'en ai analyse...), c'est pourquoi est ce que ebay ne
detecte pas tout ces sites et/ou ne les mets pas hors d'etat de nuire.
En effet si on a un format de logs combine pour apache en general le
referrer du hit est indique, et donc en analysant les logs de ebay.com
par exemple on devrait pouvoir reperer les serveurs des assaillants.
Par exemple a partir de ce site pirate j'ai ete consulter les conditions
generales de ventes d'ebay* (): le site a du etre marque comme referrer
non? Et il doit etre assez simple (quoique, dans mon cas le nom de
repertoire commence par . ) de verifier si les sites qui font du deep
linking sur ces pages sont des sites pirates non ?
Mais peut etre que ebay et les autres sites webs victimes sont:
- dans des configurations trop compliquees pour faire ce genre d'analyse
(cluster, beaucoup de hit)
- deja au courant de l'identite des sites pirates mais ne peuvent pas
agir (enfin en l'occurrence le "mien" est situe aux USA, c'est une
Fedora qui a ete pourrie "apparemment", ils doivent pouvoir agir).
Le site "phishé": http://216.117.143.43/.eBay.alert./
On Fri, 29 Apr 2005 18:13:13 +0000, Ludovic Maitre wrote:
En effet si on a un format de logs combine pour apache en general le referrer du hit est indique, et donc en analysant les logs de ebay.com par exemple on devrait pouvoir reperer les serveurs des assaillants.
Le sujet a été abordé sur Bugtraq cette semaine. Pour les détails, voir le thread commençant ici :
La "loi naturelle d'évolution des attaques" (une théorie perso ;-) dit d'ailleurs que ce type de défense ne peut servir que quelques fois, à moins d'avoir affaire en face à des idiots.
Et je doute fortement que les gars situés derrière ces phishings soient des idiots. Il suffit pour s'en convaincre d'étudier leur méthodologie (par exemple pour le choix des machines hébergeant les faux sites) ainsi que leur faculté à faire évoluer *très* vite (de l'ordre de la journée) leurs outils en riposte à des nouvelles défenses.
Nicob
On Fri, 29 Apr 2005 18:13:13 +0000, Ludovic Maitre wrote:
En effet si on a un format de logs combine pour apache en general le
referrer du hit est indique, et donc en analysant les logs de ebay.com par
exemple on devrait pouvoir reperer les serveurs des assaillants.
Le sujet a été abordé sur Bugtraq cette semaine.
Pour les détails, voir le thread commençant ici :
La "loi naturelle d'évolution des attaques" (une théorie perso ;-) dit
d'ailleurs que ce type de défense ne peut servir que quelques fois, à
moins d'avoir affaire en face à des idiots.
Et je doute fortement que les gars situés derrière ces phishings soient
des idiots. Il suffit pour s'en convaincre d'étudier leur méthodologie
(par exemple pour le choix des machines hébergeant les faux sites) ainsi
que leur faculté à faire évoluer *très* vite (de l'ordre de la
journée) leurs outils en riposte à des nouvelles défenses.
On Fri, 29 Apr 2005 18:13:13 +0000, Ludovic Maitre wrote:
En effet si on a un format de logs combine pour apache en general le referrer du hit est indique, et donc en analysant les logs de ebay.com par exemple on devrait pouvoir reperer les serveurs des assaillants.
Le sujet a été abordé sur Bugtraq cette semaine. Pour les détails, voir le thread commençant ici :
La "loi naturelle d'évolution des attaques" (une théorie perso ;-) dit d'ailleurs que ce type de défense ne peut servir que quelques fois, à moins d'avoir affaire en face à des idiots.
Et je doute fortement que les gars situés derrière ces phishings soient des idiots. Il suffit pour s'en convaincre d'étudier leur méthodologie (par exemple pour le choix des machines hébergeant les faux sites) ainsi que leur faculté à faire évoluer *très* vite (de l'ordre de la journée) leurs outils en riposte à des nouvelles défenses.
Nicob
Fabien LE LEZ
On 29 Apr 2005 18:13:13 GMT, Ludovic Maitre :
c'est pourquoi est ce que ebay ne detecte pas tout ces sites et/ou ne les mets pas hors d'etat de nuire.
Ce n'est pas forcément faisable. Cf le thread <news: concernant Paypal, une filiale d'ebay.
-- Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>
On 29 Apr 2005 18:13:13 GMT, Ludovic Maitre <ludovic.maitre@free.fr>:
c'est pourquoi est ce que ebay ne
detecte pas tout ces sites et/ou ne les mets pas hors d'etat de nuire.
Ce n'est pas forcément faisable. Cf le thread
<news:rs4i511ikppe3a9dcmfk2mqbup5slog4lo@4ax.com> concernant Paypal,
une filiale d'ebay.
--
Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>
c'est pourquoi est ce que ebay ne detecte pas tout ces sites et/ou ne les mets pas hors d'etat de nuire.
Ce n'est pas forcément faisable. Cf le thread <news: concernant Paypal, une filiale d'ebay.
-- Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>
Florent Clairambault
Bah, c'est pas compliqué. Il y'a énormément de sites qui donnent des liens sur Ebay. Donc, qu'est-ce qui différencie un site qui fait du phishing d'un site qui balance un simple lien sur Ebay ??? Rien...
Florent
Bah, c'est pas compliqué. Il y'a énormément de sites qui donnent des liens
sur Ebay. Donc, qu'est-ce qui différencie un site qui fait du phishing d'un
site qui balance un simple lien sur Ebay ??? Rien...
Bah, c'est pas compliqué. Il y'a énormément de sites qui donnent des liens sur Ebay. Donc, qu'est-ce qui différencie un site qui fait du phishing d'un site qui balance un simple lien sur Ebay ??? Rien...
Florent
Ludovic Maitre
Florent Clairambault wrote:
Bah, c'est pas compliqué. Il y'a énormément de sites qui donnent des liens sur Ebay. Donc, qu'est-ce qui différencie un site qui fait du phishing d'un site qui balance un simple lien sur Ebay ??? Rien...
Florent Il est rare - dans mon experience - (mais cela arrive je ne dis pas) que
les sites utilisent des noms de repertoires commencant par un '.' "a la Warez" pour echapper aux ls. J'ai recu encore un autre site (je les reportes a chaque fois mais ne fait le miroir a chaque fois ca a l'air d'etre exactement le meme site, aussi planque dans un repertoire cache).
Apres je dis pas il faut une validation humaine pour les cas qui n'ont pas ete ecarte parce que le refferer a l'air sain (= ne contient pas de repertoire cache). Effectivement, les tactiques de propagation n'evolueront mais ca empechera deja les pirates de se planquer dans des repertoires caches - ce qui est le BA-BA d'accord mais visiblement tout le monde ne regarde pas (alors qu'un pont petit chkrootkit les remonte tout seul).
Apres validation on peut par exemple decider de blacklister les serveurs compromis, par exemple au moyen de rewrite rulez et d'un fichier qui contient les noms/adresses de serveurs phishes, ce qui casse les images et permet aux clients d'identifier plus facilement l'arnaque.
D'un autre cote je dis ca mais ca n'est sans doute pas de la tarte a mettre en place, avec un existant au niveau config. D'un autre cote encore vous croyez que la liste de serveur pirates qui font du phishing est si longue que ca penaliserait les performances de verifier les referrer ?
J'ai lu la description de modsecurity, je ne sais absolument pas ce qu'il y a dedans et ce que ca vaut mais c'est peut etre un bon endroit ou implementer ca si on ne veut pas rewrite rules. N'etant pas expert en developpement de modules apache je ne sais pas si les filtres de Apache 2 sont faciles a developper ou s'il est plus simple d'etendre modsecurity ou un autre module du meme style.
J'ai lu les excellents threads sur le sujet, et je suis bien d'accord que ca peut evoluer tres vite, mais ne rien faire ne serait pas mieux.
En tout cas le sujet m'interesse, -- Cordialement, --- Ludo ---- http://www.ubik-products.com
Florent Clairambault wrote:
Bah, c'est pas compliqué. Il y'a énormément de sites qui donnent des liens
sur Ebay. Donc, qu'est-ce qui différencie un site qui fait du phishing d'un
site qui balance un simple lien sur Ebay ??? Rien...
Florent
Il est rare - dans mon experience - (mais cela arrive je ne dis pas) que
les sites utilisent des noms de repertoires commencant par un '.' "a la
Warez" pour echapper aux ls. J'ai recu encore un autre site (je les
reportes a chaque fois mais ne fait le miroir a chaque fois ca a l'air
d'etre exactement le meme site, aussi planque dans un repertoire cache).
Apres je dis pas il faut une validation humaine pour les cas qui n'ont
pas ete ecarte parce que le refferer a l'air sain (= ne contient pas de
repertoire cache).
Effectivement, les tactiques de propagation n'evolueront mais ca
empechera deja les pirates de se planquer dans des repertoires caches -
ce qui est le BA-BA d'accord mais visiblement tout le monde ne regarde
pas (alors qu'un pont petit chkrootkit les remonte tout seul).
Apres validation on peut par exemple decider de blacklister les serveurs
compromis, par exemple au moyen de rewrite rulez et d'un fichier qui
contient les noms/adresses de serveurs phishes, ce qui casse les images
et permet aux clients d'identifier plus facilement l'arnaque.
D'un autre cote je dis ca mais ca n'est sans doute pas de la tarte a
mettre en place, avec un existant au niveau config. D'un autre cote
encore vous croyez que la liste de serveur pirates qui font du phishing
est si longue que ca penaliserait les performances de verifier les
referrer ?
J'ai lu la description de modsecurity, je ne sais absolument pas ce
qu'il y a dedans et ce que ca vaut mais c'est peut etre un bon endroit
ou implementer ca si on ne veut pas rewrite rules. N'etant pas expert en
developpement de modules apache je ne sais pas si les filtres de Apache
2 sont faciles a developper ou s'il est plus simple d'etendre
modsecurity ou un autre module du meme style.
J'ai lu les excellents threads sur le sujet, et je suis bien d'accord
que ca peut evoluer tres vite, mais ne rien faire ne serait pas mieux.
En tout cas le sujet m'interesse,
--
Cordialement,
---
Ludo
----
http://www.ubik-products.com
Bah, c'est pas compliqué. Il y'a énormément de sites qui donnent des liens sur Ebay. Donc, qu'est-ce qui différencie un site qui fait du phishing d'un site qui balance un simple lien sur Ebay ??? Rien...
Florent Il est rare - dans mon experience - (mais cela arrive je ne dis pas) que
les sites utilisent des noms de repertoires commencant par un '.' "a la Warez" pour echapper aux ls. J'ai recu encore un autre site (je les reportes a chaque fois mais ne fait le miroir a chaque fois ca a l'air d'etre exactement le meme site, aussi planque dans un repertoire cache).
Apres je dis pas il faut une validation humaine pour les cas qui n'ont pas ete ecarte parce que le refferer a l'air sain (= ne contient pas de repertoire cache). Effectivement, les tactiques de propagation n'evolueront mais ca empechera deja les pirates de se planquer dans des repertoires caches - ce qui est le BA-BA d'accord mais visiblement tout le monde ne regarde pas (alors qu'un pont petit chkrootkit les remonte tout seul).
Apres validation on peut par exemple decider de blacklister les serveurs compromis, par exemple au moyen de rewrite rulez et d'un fichier qui contient les noms/adresses de serveurs phishes, ce qui casse les images et permet aux clients d'identifier plus facilement l'arnaque.
D'un autre cote je dis ca mais ca n'est sans doute pas de la tarte a mettre en place, avec un existant au niveau config. D'un autre cote encore vous croyez que la liste de serveur pirates qui font du phishing est si longue que ca penaliserait les performances de verifier les referrer ?
J'ai lu la description de modsecurity, je ne sais absolument pas ce qu'il y a dedans et ce que ca vaut mais c'est peut etre un bon endroit ou implementer ca si on ne veut pas rewrite rules. N'etant pas expert en developpement de modules apache je ne sais pas si les filtres de Apache 2 sont faciles a developper ou s'il est plus simple d'etendre modsecurity ou un autre module du meme style.
J'ai lu les excellents threads sur le sujet, et je suis bien d'accord que ca peut evoluer tres vite, mais ne rien faire ne serait pas mieux.
En tout cas le sujet m'interesse, -- Cordialement, --- Ludo ---- http://www.ubik-products.com
Florent Clairambault
En général, les gens n'agissent que lorsque ça perturbe considérablement leur trafic.
Nous on avait un jeu hébergé sur un de mes sites, et il a été mis sur d'autres sites. Du coup, on avait 25% de notre trafic qui partait en pologne, sans raison... Donc, on a effectivement fait un système de vérification du referrer, mais avant cela, ça ne nous serrait jamais venu à l'idée.
Ils ont un site, ils ne sont pas responsables des préjudices créés par les gens qui se font passer pour eux, et ils n'en subissent sans doute aucune conséquence, donc y'a peu de chance pour qu'ils mettent des moyens en place.
D'autre part, sur un site aussi enorme, reprogrammer une partie du script, ça doit coûter trés cher. Apprement ils fonctionnent sur des machines SUN avec des cgi-bin, ça signifie que ça ne se fait pas en deux tours de tourne-vis.
Florent
En général, les gens n'agissent que lorsque ça perturbe considérablement
leur trafic.
Nous on avait un jeu hébergé sur un de mes sites, et il a été mis sur
d'autres sites. Du coup, on avait 25% de notre trafic qui partait en
pologne, sans raison... Donc, on a effectivement fait un système de
vérification du referrer, mais avant cela, ça ne nous serrait jamais venu à
l'idée.
Ils ont un site, ils ne sont pas responsables des préjudices créés par
les gens qui se font passer pour eux, et ils n'en subissent sans doute
aucune conséquence, donc y'a peu de chance pour qu'ils mettent des moyens en
place.
D'autre part, sur un site aussi enorme, reprogrammer une partie du
script, ça doit coûter trés cher. Apprement ils fonctionnent sur des
machines SUN avec des cgi-bin, ça signifie que ça ne se fait pas en deux
tours de tourne-vis.
En général, les gens n'agissent que lorsque ça perturbe considérablement leur trafic.
Nous on avait un jeu hébergé sur un de mes sites, et il a été mis sur d'autres sites. Du coup, on avait 25% de notre trafic qui partait en pologne, sans raison... Donc, on a effectivement fait un système de vérification du referrer, mais avant cela, ça ne nous serrait jamais venu à l'idée.
Ils ont un site, ils ne sont pas responsables des préjudices créés par les gens qui se font passer pour eux, et ils n'en subissent sans doute aucune conséquence, donc y'a peu de chance pour qu'ils mettent des moyens en place.
D'autre part, sur un site aussi enorme, reprogrammer une partie du script, ça doit coûter trés cher. Apprement ils fonctionnent sur des machines SUN avec des cgi-bin, ça signifie que ça ne se fait pas en deux tours de tourne-vis.
Florent
Ludovic Maitre
Bonjour,
Florent Clairambault wrote:
En général, les gens n'agissent que lorsque ça perturbe considérablement leur trafic.
Yep, ou des questions plutot de securite dans le cas de PayPal/Ebay je
suppose.
Nous on avait un jeu hébergé sur un de mes sites, et il a été mis sur d'autres sites. Du coup, on avait 25% de notre trafic qui partait en pologne, sans raison... Donc, on a effectivement fait un système de vérification du referrer, mais avant cela, ça ne nous serrait jamais venu à l'idée.
Ils ont un site, ils ne sont pas responsables des préjudices créés par les gens qui se font passer pour eux, et ils n'en subissent sans doute aucune conséquence, donc y'a peu de chance pour qu'ils mettent des moyens en place.
D'autre part, sur un site aussi enorme, reprogrammer une partie du script, ça doit coûter trés cher. Apprement ils fonctionnent sur des machines SUN avec des cgi-bin, ça signifie que ça ne se fait pas en deux tours de tourne-vis.
La solution a laquelle je pensais ne demande aucune reprogrammation, tout peut se faire par des rewrite rules, et se greffer sur n'importe quel serveur Apache.
Par exemple (c'est une idee je n'ais pas test la regexp)
Enfin je suis tout a fait d'accord que dans des cas pas triviaux il faut faire plus complique que les 2 lignes precedentes, surtout si on souhaite proteger autre chose que les images.
Dans le style blacklist on peut penser a un fichier lu par les rewrites rules et contenant la liste des hotes a ne pas servir.
My 2 cents histoire de dire que ca peut se mettre en place sans rien recoder.
Pour Solaris, j'ai administre 2 ans [les applications de] 2 serveurs webs sous Solaris 2.6, y'a rien de different par rapport a Linux et BSD au niveau d'apache non ? (enfin il me semble pour avoir recompile le 1.3 un sacre paquet de fois :-))
Florent
-- Cordialement, Ludo - http://www.ubik-products.com --- "L'amour pour principe et l'ordre pour base; le progres pour but" (A.Comte)
Bonjour,
Florent Clairambault wrote:
En général, les gens n'agissent que lorsque ça perturbe considérablement
leur trafic.
Yep, ou des questions plutot de securite dans le cas de PayPal/Ebay je
suppose.
Nous on avait un jeu hébergé sur un de mes sites, et il a été mis sur
d'autres sites. Du coup, on avait 25% de notre trafic qui partait en
pologne, sans raison... Donc, on a effectivement fait un système de
vérification du referrer, mais avant cela, ça ne nous serrait jamais venu à
l'idée.
Ils ont un site, ils ne sont pas responsables des préjudices créés par
les gens qui se font passer pour eux, et ils n'en subissent sans doute
aucune conséquence, donc y'a peu de chance pour qu'ils mettent des moyens en
place.
D'autre part, sur un site aussi enorme, reprogrammer une partie du
script, ça doit coûter trés cher. Apprement ils fonctionnent sur des
machines SUN avec des cgi-bin, ça signifie que ça ne se fait pas en deux
tours de tourne-vis.
La solution a laquelle je pensais ne demande aucune reprogrammation,
tout peut se faire par des rewrite rules, et se greffer sur n'importe
quel serveur Apache.
Par exemple (c'est une idee je n'ais pas test la regexp)
Enfin je suis tout a fait d'accord que dans des cas pas triviaux il faut
faire plus complique que les 2 lignes precedentes, surtout si on
souhaite proteger autre chose que les images.
Dans le style blacklist on peut penser a un fichier lu par les rewrites
rules et contenant la liste des hotes a ne pas servir.
My 2 cents histoire de dire que ca peut se mettre en place sans rien
recoder.
Pour Solaris, j'ai administre 2 ans [les applications de] 2 serveurs
webs sous Solaris 2.6, y'a rien de different par rapport a Linux et BSD
au niveau d'apache non ? (enfin il me semble pour avoir recompile le 1.3
un sacre paquet de fois :-))
Florent
--
Cordialement,
Ludo - http://www.ubik-products.com
---
"L'amour pour principe et l'ordre pour base; le progres pour but" (A.Comte)
En général, les gens n'agissent que lorsque ça perturbe considérablement leur trafic.
Yep, ou des questions plutot de securite dans le cas de PayPal/Ebay je
suppose.
Nous on avait un jeu hébergé sur un de mes sites, et il a été mis sur d'autres sites. Du coup, on avait 25% de notre trafic qui partait en pologne, sans raison... Donc, on a effectivement fait un système de vérification du referrer, mais avant cela, ça ne nous serrait jamais venu à l'idée.
Ils ont un site, ils ne sont pas responsables des préjudices créés par les gens qui se font passer pour eux, et ils n'en subissent sans doute aucune conséquence, donc y'a peu de chance pour qu'ils mettent des moyens en place.
D'autre part, sur un site aussi enorme, reprogrammer une partie du script, ça doit coûter trés cher. Apprement ils fonctionnent sur des machines SUN avec des cgi-bin, ça signifie que ça ne se fait pas en deux tours de tourne-vis.
La solution a laquelle je pensais ne demande aucune reprogrammation, tout peut se faire par des rewrite rules, et se greffer sur n'importe quel serveur Apache.
Par exemple (c'est une idee je n'ais pas test la regexp)
Enfin je suis tout a fait d'accord que dans des cas pas triviaux il faut faire plus complique que les 2 lignes precedentes, surtout si on souhaite proteger autre chose que les images.
Dans le style blacklist on peut penser a un fichier lu par les rewrites rules et contenant la liste des hotes a ne pas servir.
My 2 cents histoire de dire que ca peut se mettre en place sans rien recoder.
Pour Solaris, j'ai administre 2 ans [les applications de] 2 serveurs webs sous Solaris 2.6, y'a rien de different par rapport a Linux et BSD au niveau d'apache non ? (enfin il me semble pour avoir recompile le 1.3 un sacre paquet de fois :-))
Florent
-- Cordialement, Ludo - http://www.ubik-products.com --- "L'amour pour principe et l'ordre pour base; le progres pour but" (A.Comte)
Patrick Mevzek
La solution a laquelle je pensais ne demande aucune reprogrammation, tout peut se faire par des rewrite rules, et se greffer sur n'importe quel serveur Apache.
Par exemple (c'est une idee je n'ais pas test la regexp)
Sauf qu'un navigateur n'est pas obligé de remplir l'en-tête Referer, et que même s'il le fait, il peut être filtré par un proxy sur le chemin...
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
La solution a laquelle je pensais ne demande aucune reprogrammation,
tout peut se faire par des rewrite rules, et se greffer sur n'importe
quel serveur Apache.
Par exemple (c'est une idee je n'ais pas test la regexp)
Sauf qu'un navigateur n'est pas obligé de remplir l'en-tête Referer, et
que même s'il le fait, il peut être filtré par un proxy sur le chemin...
--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
La solution a laquelle je pensais ne demande aucune reprogrammation, tout peut se faire par des rewrite rules, et se greffer sur n'importe quel serveur Apache.
Par exemple (c'est une idee je n'ais pas test la regexp)
Sauf qu'un navigateur n'est pas obligé de remplir l'en-tête Referer, et que même s'il le fait, il peut être filtré par un proxy sur le chemin...
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Ludovic Maitre
Patrick Mevzek wrote:
La solution a laquelle je pensais ne demande aucune reprogrammation, tout peut se faire par des rewrite rules, et se greffer sur n'importe quel serveur Apache.
Par exemple (c'est une idee je n'ais pas test la regexp)
Sauf qu'un navigateur n'est pas obligé de remplir l'en-tête Referer, et que même s'il le fait, il peut être filtré par un proxy sur le chemin...
C'est sur, en plus ca ne protege pas grand chose a part des images, en
tout cas ca n'est d'aucun interet particulier pour les phishing et autres detournements autonomes, ou meme pour n'importe quoi qui falsifie le champ referer.
Ceci dit, dans mes logs et apres le debut d'une visite, tres peu de navigateurs/visiteurs ne remplissent pas ce champ.
A vrai dire, si le navigateur supporte HTTP 1.1 ca doit le faire (http://www.ietf.org/rfc/rfc2616.txt , 14.36), et les proxys se regler.
Maintenant est ce que ca vaut le coup de se priver des gens qui ne supportent pas HTTP 1.1 ou qui ont des proxys regles pour ne pas transmettre le champs Referer juste pour mettre en place des protections faciles a feinter comme celle evoquee, effectivement je ne crois pas :-) (et j'ai debattu dans ma tete longtemps!)
-- Cordialement, Ludo - http://www.ubik-products.com --- "L'amour pour principe et l'ordre pour base; le progres pour but" (A.Comte)
Patrick Mevzek wrote:
La solution a laquelle je pensais ne demande aucune reprogrammation,
tout peut se faire par des rewrite rules, et se greffer sur n'importe
quel serveur Apache.
Par exemple (c'est une idee je n'ais pas test la regexp)
Sauf qu'un navigateur n'est pas obligé de remplir l'en-tête Referer, et
que même s'il le fait, il peut être filtré par un proxy sur le chemin...
C'est sur, en plus ca ne protege pas grand chose a part des images, en
tout cas ca n'est d'aucun interet particulier pour les phishing et
autres detournements autonomes, ou meme pour n'importe quoi qui falsifie
le champ referer.
Ceci dit, dans mes logs et apres le debut d'une visite, tres peu de
navigateurs/visiteurs ne remplissent pas ce champ.
A vrai dire, si le navigateur supporte HTTP 1.1 ca doit le faire
(http://www.ietf.org/rfc/rfc2616.txt , 14.36), et les proxys se regler.
Maintenant est ce que ca vaut le coup de se priver des gens qui ne
supportent pas HTTP 1.1 ou qui ont des proxys regles pour ne pas
transmettre le champs Referer juste pour mettre en place des protections
faciles a feinter comme celle evoquee, effectivement je ne crois pas :-)
(et j'ai debattu dans ma tete longtemps!)
--
Cordialement,
Ludo - http://www.ubik-products.com
---
"L'amour pour principe et l'ordre pour base; le progres pour but" (A.Comte)
La solution a laquelle je pensais ne demande aucune reprogrammation, tout peut se faire par des rewrite rules, et se greffer sur n'importe quel serveur Apache.
Par exemple (c'est une idee je n'ais pas test la regexp)
Sauf qu'un navigateur n'est pas obligé de remplir l'en-tête Referer, et que même s'il le fait, il peut être filtré par un proxy sur le chemin...
C'est sur, en plus ca ne protege pas grand chose a part des images, en
tout cas ca n'est d'aucun interet particulier pour les phishing et autres detournements autonomes, ou meme pour n'importe quoi qui falsifie le champ referer.
Ceci dit, dans mes logs et apres le debut d'une visite, tres peu de navigateurs/visiteurs ne remplissent pas ce champ.
A vrai dire, si le navigateur supporte HTTP 1.1 ca doit le faire (http://www.ietf.org/rfc/rfc2616.txt , 14.36), et les proxys se regler.
Maintenant est ce que ca vaut le coup de se priver des gens qui ne supportent pas HTTP 1.1 ou qui ont des proxys regles pour ne pas transmettre le champs Referer juste pour mettre en place des protections faciles a feinter comme celle evoquee, effectivement je ne crois pas :-) (et j'ai debattu dans ma tete longtemps!)
-- Cordialement, Ludo - http://www.ubik-products.com --- "L'amour pour principe et l'ordre pour base; le progres pour but" (A.Comte)
Patrick Mevzek
A vrai dire, si le navigateur supporte HTTP 1.1 ca doit le faire (http://www.ietf.org/rfc/rfc2616.txt , 14.36),
Non, rien ne dit dans ce paragraphe que sa présence est obligatoire.
et les proxys se regler.
Les proxys qui le filtrent le font exprès en général, c'est perçu comme une augmentation de la confidentialité. Ce n'est de plus pas nécessairement sous contrôle de l'utilisateur final (ex: proxy du FAI)
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
A vrai dire, si le navigateur supporte HTTP 1.1 ca doit le faire
(http://www.ietf.org/rfc/rfc2616.txt , 14.36),
Non, rien ne dit dans ce paragraphe que sa présence est obligatoire.
et les proxys se regler.
Les proxys qui le filtrent le font exprès en général, c'est perçu comme
une augmentation de la confidentialité.
Ce n'est de plus pas nécessairement sous contrôle de l'utilisateur final
(ex: proxy du FAI)
--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
A vrai dire, si le navigateur supporte HTTP 1.1 ca doit le faire (http://www.ietf.org/rfc/rfc2616.txt , 14.36),
Non, rien ne dit dans ce paragraphe que sa présence est obligatoire.
et les proxys se regler.
Les proxys qui le filtrent le font exprès en général, c'est perçu comme une augmentation de la confidentialité. Ce n'est de plus pas nécessairement sous contrôle de l'utilisateur final (ex: proxy du FAI)
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
ludo06
Patrick Mevzek wrote:
A vrai dire, si le navigateur supporte HTTP 1.1 ca doit le faire (http://www.ietf.org/rfc/rfc2616.txt , 14.36),
Non, rien ne dit dans ce paragraphe que sa présence est obligatoire.
Merci de ne pas en avoir dit plus, ca fait un bail que ca existe en plus
(HTTP 0.9) et effectivement j'ai vu, trop tard, que ca n'etait pas obligatoire du tout (je regarde pour voir comment ca se passe dans firefox afin de ne plus dire de betises et de savoir ce qu'il se passe en realite). Desole de parler trop vite, et de citer des references que j'en suis sur tu connais deja.
Par contre justement dans ce paragrpahe il est dit que l'agent utilisateur devrait proposer d'utiliser ou pas ce champ. Il y a des exemple de navigateurs qui permettent de regler son usage a travers l'interface utilisateur a votre connaissance ? (Amaya ? :-)
et les proxys se regler.
Les proxys qui le filtrent le font exprès en général, c'est perçu comme une augmentation de la confidentialité. Tout a fait, j'imagine le cas d'un referer sur l'intranet par exemple
qui si il est transmis divulgue des informations privees.
Ce n'est de plus pas nécessairement sous contrôle de l'utilisateur final (ex: proxy du FAI)
Merci pour tes remarques et bon dimanche,
-- Cordialement, Ludo - http://www.ubik-products.com --- "L'amour pour principe et l'ordre pour base; le progres pour but" (A.Comte)
Patrick Mevzek wrote:
A vrai dire, si le navigateur supporte HTTP 1.1 ca doit le faire
(http://www.ietf.org/rfc/rfc2616.txt , 14.36),
Non, rien ne dit dans ce paragraphe que sa présence est obligatoire.
Merci de ne pas en avoir dit plus, ca fait un bail que ca existe en plus
(HTTP 0.9) et effectivement j'ai vu, trop tard, que ca n'etait pas
obligatoire du tout (je regarde pour voir comment ca se passe dans
firefox afin de ne plus dire de betises et de savoir ce qu'il se passe
en realite). Desole de parler trop vite, et de citer des references que
j'en suis sur tu connais deja.
Par contre justement dans ce paragrpahe il est dit que l'agent
utilisateur devrait proposer d'utiliser ou pas ce champ. Il y a des
exemple de navigateurs qui permettent de regler son usage a travers
l'interface utilisateur a votre connaissance ? (Amaya ? :-)
et les proxys se regler.
Les proxys qui le filtrent le font exprès en général, c'est perçu comme
une augmentation de la confidentialité.
Tout a fait, j'imagine le cas d'un referer sur l'intranet par exemple
qui si il est transmis divulgue des informations privees.
Ce n'est de plus pas nécessairement sous contrôle de l'utilisateur final
(ex: proxy du FAI)
Merci pour tes remarques et bon dimanche,
--
Cordialement,
Ludo - http://www.ubik-products.com
---
"L'amour pour principe et l'ordre pour base; le progres pour but" (A.Comte)
A vrai dire, si le navigateur supporte HTTP 1.1 ca doit le faire (http://www.ietf.org/rfc/rfc2616.txt , 14.36),
Non, rien ne dit dans ce paragraphe que sa présence est obligatoire.
Merci de ne pas en avoir dit plus, ca fait un bail que ca existe en plus
(HTTP 0.9) et effectivement j'ai vu, trop tard, que ca n'etait pas obligatoire du tout (je regarde pour voir comment ca se passe dans firefox afin de ne plus dire de betises et de savoir ce qu'il se passe en realite). Desole de parler trop vite, et de citer des references que j'en suis sur tu connais deja.
Par contre justement dans ce paragrpahe il est dit que l'agent utilisateur devrait proposer d'utiliser ou pas ce champ. Il y a des exemple de navigateurs qui permettent de regler son usage a travers l'interface utilisateur a votre connaissance ? (Amaya ? :-)
et les proxys se regler.
Les proxys qui le filtrent le font exprès en général, c'est perçu comme une augmentation de la confidentialité. Tout a fait, j'imagine le cas d'un referer sur l'intranet par exemple
qui si il est transmis divulgue des informations privees.
Ce n'est de plus pas nécessairement sous contrôle de l'utilisateur final (ex: proxy du FAI)
Merci pour tes remarques et bon dimanche,
-- Cordialement, Ludo - http://www.ubik-products.com --- "L'amour pour principe et l'ordre pour base; le progres pour but" (A.Comte)
