Pourquoi, quand je clique sur www.paypal.com, je ne vais pas chez paypal !
10 réponses
dominique
Bonjour,
Je lis l'article suivant :
http://www.infos-du-net.com/news/4231-vulnerabilit%E9-navigateurs.html
Visiblement, « tous » les navigateurs auraient une faille de sécurité
lié à l'internationalisation du codage des caractères.
D'après l'article, lorsque je clique, depuis un spam de voyous, sur le
lien www.paypal.com, ce n'est pas ces caractères qui sont envoyés sur la
toile mais d'autres caractères. Cependant, c'est bien www.paypal.com qui
figure dans ma barre d'URL.
C'est pourquoi paypal conseille de toujours passer par la saisie à la
main de leur URL et de ne pas se fier aux liens reçus en spam.
Au-delà de ce conseil, j'en comprends aujourd'hui les motivations
profondes : s'assurer des caractères qui partent.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pascal Chevrel
Le 10/02/2005 08:08, dominique a ecrit :
Bonjour, Je lis l'article suivant : http://www.infos-du-net.com/news/4231-vulnerabilit%E9-navigateurs.html
Visiblement, « tous » les navigateurs auraient une faille de sécurité lié à l'internationalisation du codage des caractères.
Tous les navigateurs qui supportent les noms de domaines internationaux (idn), c'est à dire tous les navogateurs actuels ainsi qu'IE si on a installé le plugin verisign pour accéder aux IDN.
D'après l'article, lorsque je clique, depuis un spam de voyous, sur le lien www.paypal.com, ce n'est pas ces caractères qui sont envoyés sur la toile mais d'autres caractères. Cependant, c'est bien www.paypal.com qui figure dans ma barre d'URL. C'est pourquoi paypal conseille de toujours passer par la saisie à la main de leur URL et de ne pas se fier aux liens reçus en spam. Au-delà de ce conseil, j'en comprends aujourd'hui les motivations profondes : s'assurer des caractères qui partent.
Bonjour,
Je lis l'article suivant :
http://www.infos-du-net.com/news/4231-vulnerabilit%E9-navigateurs.html
Visiblement, « tous » les navigateurs auraient une faille de sécurité
lié à l'internationalisation du codage des caractères.
Tous les navigateurs qui supportent les noms de domaines internationaux
(idn), c'est à dire tous les navogateurs actuels ainsi qu'IE si on a
installé le plugin verisign pour accéder aux IDN.
D'après l'article, lorsque je clique, depuis un spam de voyous, sur le
lien www.paypal.com, ce n'est pas ces caractères qui sont envoyés sur la
toile mais d'autres caractères. Cependant, c'est bien www.paypal.com qui
figure dans ma barre d'URL.
C'est pourquoi paypal conseille de toujours passer par la saisie à la
main de leur URL et de ne pas se fier aux liens reçus en spam.
Au-delà de ce conseil, j'en comprends aujourd'hui les motivations
profondes : s'assurer des caractères qui partent.
Bonjour, Je lis l'article suivant : http://www.infos-du-net.com/news/4231-vulnerabilit%E9-navigateurs.html
Visiblement, « tous » les navigateurs auraient une faille de sécurité lié à l'internationalisation du codage des caractères.
Tous les navigateurs qui supportent les noms de domaines internationaux (idn), c'est à dire tous les navogateurs actuels ainsi qu'IE si on a installé le plugin verisign pour accéder aux IDN.
D'après l'article, lorsque je clique, depuis un spam de voyous, sur le lien www.paypal.com, ce n'est pas ces caractères qui sont envoyés sur la toile mais d'autres caractères. Cependant, c'est bien www.paypal.com qui figure dans ma barre d'URL. C'est pourquoi paypal conseille de toujours passer par la saisie à la main de leur URL et de ne pas se fier aux liens reçus en spam. Au-delà de ce conseil, j'en comprends aujourd'hui les motivations profondes : s'assurer des caractères qui partent.
D'après l'article, lorsque je clique, depuis un spam de voyous, sur le lien www.paypal.com, ce n'est pas ces caractères qui sont envoyés sur la toile mais d'autres caractères.
Qui est un peu confus sur la réalité technique (mélange Unicode / UTF-8 / Punycode)
Voir aussi plus simplement, le post de JM Desperrier ici-même il y a quelques jours : <http://www.google.fr/groups?q=group:fr.comp.infosystemes.www.navigateurs+insubject:mozilla+insubject:faille&hl=fr&lr=&c2coff=1&selm=cuaiau%244tj%241%40reader1.imaginet.fr&rnum=5>
Pascal Chevrel wrote:
D'après l'article, lorsque je clique, depuis un spam de voyous, sur le
lien www.paypal.com, ce n'est pas ces caractères qui sont envoyés sur
la toile mais d'autres caractères.
Qui est un peu confus sur la réalité technique (mélange Unicode / UTF-8
/ Punycode)
Voir aussi plus simplement, le post de JM Desperrier ici-même il y a
quelques jours :
<http://www.google.fr/groups?q=group:fr.comp.infosystemes.www.navigateurs+insubject:mozilla+insubject:faille&hl=fr&lr=&c2coff=1&selm=cuaiau%244tj%241%40reader1.imaginet.fr&rnum=5>
D'après l'article, lorsque je clique, depuis un spam de voyous, sur le lien www.paypal.com, ce n'est pas ces caractères qui sont envoyés sur la toile mais d'autres caractères.
Qui est un peu confus sur la réalité technique (mélange Unicode / UTF-8 / Punycode)
Voir aussi plus simplement, le post de JM Desperrier ici-même il y a quelques jours : <http://www.google.fr/groups?q=group:fr.comp.infosystemes.www.navigateurs+insubject:mozilla+insubject:faille&hl=fr&lr=&c2coff=1&selm=cuaiau%244tj%241%40reader1.imaginet.fr&rnum=5>
Jean-Marc Desperrier
Pierre Goiffon wrote:
Qui est un peu confus sur la réalité technique (mélange Unicode / UTF-8 / Punycode)
Je ne pense pas trop, il est vrai que Tristan Nitot aurait pu se passer de parler d'UTF-8, mais son billet indique un certain nombre de points importants qui manquaient dans mon message précédent. Les deux sont franchement complémentaires.
Voir aussi plus simplement, le post de JM Desperrier ici-même il y a quelques jours : <http://www.google.fr/groups?q=group:fr.comp.infosystemes.www.navigateurs+insubject:mozilla+insubject:faille&hl=fr&lr=&c2coff=1&selm=cuaiau%244tj%241%40reader1.imaginet.fr&rnum=5>
Et j'exagérais un peu à ce moment en disant que FF/Mz ne peuvent rien faire, on peut envisager des solutions, mais ce serait plus propre au niveau des gestionnaires de noms de domaine.
Pierre Goiffon wrote:
Qui est un peu confus sur la réalité technique (mélange Unicode / UTF-8
/ Punycode)
Je ne pense pas trop, il est vrai que Tristan Nitot aurait pu se passer
de parler d'UTF-8, mais son billet indique un certain nombre de points
importants qui manquaient dans mon message précédent. Les deux sont
franchement complémentaires.
Voir aussi plus simplement, le post de JM Desperrier ici-même il y a
quelques jours :
<http://www.google.fr/groups?q=group:fr.comp.infosystemes.www.navigateurs+insubject:mozilla+insubject:faille&hl=fr&lr=&c2coff=1&selm=cuaiau%244tj%241%40reader1.imaginet.fr&rnum=5>
Et j'exagérais un peu à ce moment en disant que FF/Mz ne peuvent rien
faire, on peut envisager des solutions, mais ce serait plus propre au
niveau des gestionnaires de noms de domaine.
Qui est un peu confus sur la réalité technique (mélange Unicode / UTF-8 / Punycode)
Je ne pense pas trop, il est vrai que Tristan Nitot aurait pu se passer de parler d'UTF-8, mais son billet indique un certain nombre de points importants qui manquaient dans mon message précédent. Les deux sont franchement complémentaires.
Voir aussi plus simplement, le post de JM Desperrier ici-même il y a quelques jours : <http://www.google.fr/groups?q=group:fr.comp.infosystemes.www.navigateurs+insubject:mozilla+insubject:faille&hl=fr&lr=&c2coff=1&selm=cuaiau%244tj%241%40reader1.imaginet.fr&rnum=5>
Et j'exagérais un peu à ce moment en disant que FF/Mz ne peuvent rien faire, on peut envisager des solutions, mais ce serait plus propre au niveau des gestionnaires de noms de domaine.
Vincent Lefevre
Dans l'article <cuflsd$36a$, Jean-Marc Desperrier écrit:
Et j'exagérais un peu à ce moment en disant que FF/Mz ne peuvent rien faire, on peut envisager des solutions, mais ce serait plus propre au niveau des gestionnaires de noms de domaine.
Le problème des solutions est qu'elles ne marcheront jamais parfaitement et elles donneront l'impression de se sentir en sécurité, alors que tous les problèmes ne seront pas résolus.
Dans l'article <cuflsd$36a$1@reader1.imaginet.fr>,
Jean-Marc Desperrier <jmdesp@alussinan.org> écrit:
Et j'exagérais un peu à ce moment en disant que FF/Mz ne peuvent
rien faire, on peut envisager des solutions, mais ce serait plus
propre au niveau des gestionnaires de noms de domaine.
Le problème des solutions est qu'elles ne marcheront jamais
parfaitement et elles donneront l'impression de se sentir en
sécurité, alors que tous les problèmes ne seront pas résolus.
Dans l'article <cuflsd$36a$, Jean-Marc Desperrier écrit:
Et j'exagérais un peu à ce moment en disant que FF/Mz ne peuvent rien faire, on peut envisager des solutions, mais ce serait plus propre au niveau des gestionnaires de noms de domaine.
Le problème des solutions est qu'elles ne marcheront jamais parfaitement et elles donneront l'impression de se sentir en sécurité, alors que tous les problèmes ne seront pas résolus.
Bonjour, Je lis l'article suivant : http://www.infos-du-net.com/news/4231-vulnerabilit%E9-navigateurs.html
Visiblement, « tous » les navigateurs auraient une faille de sécurité lié à l'internationalisation du codage des caractères. D'après l'article, lorsque je clique, depuis un spam de voyous, sur le lien www.paypal.com, ce n'est pas ces caractères qui sont envoyés sur la toile mais d'autres caractères. Cependant, c'est bien www.paypal.com qui figure dans ma barre d'URL.
Pour info, l'extension spoofstick (http://www.corestreet.com/spoofstick/) vient d'être mise à jour pour ce problème. Je vous conseille donc fort vivement de l'installer...
Ça donne : http://cjoint.com/?cljv3inKJC
-- Serge http://leserged.online.fr/ Mon blog: http://cahierdesergio.free.fr/ Soutenez le libre: http://www.framasoft.org
dominique avait soumis l'idée :
Bonjour,
Je lis l'article suivant :
http://www.infos-du-net.com/news/4231-vulnerabilit%E9-navigateurs.html
Visiblement, « tous » les navigateurs auraient une faille de sécurité lié à
l'internationalisation du codage des caractères.
D'après l'article, lorsque je clique, depuis un spam de voyous, sur le lien
www.paypal.com, ce n'est pas ces caractères qui sont envoyés sur la toile
mais d'autres caractères. Cependant, c'est bien www.paypal.com qui figure
dans ma barre d'URL.
Pour info, l'extension spoofstick
(http://www.corestreet.com/spoofstick/) vient d'être mise à jour pour
ce problème. Je vous conseille donc fort vivement de l'installer...
Ça donne : http://cjoint.com/?cljv3inKJC
--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Bonjour, Je lis l'article suivant : http://www.infos-du-net.com/news/4231-vulnerabilit%E9-navigateurs.html
Visiblement, « tous » les navigateurs auraient une faille de sécurité lié à l'internationalisation du codage des caractères. D'après l'article, lorsque je clique, depuis un spam de voyous, sur le lien www.paypal.com, ce n'est pas ces caractères qui sont envoyés sur la toile mais d'autres caractères. Cependant, c'est bien www.paypal.com qui figure dans ma barre d'URL.
Pour info, l'extension spoofstick (http://www.corestreet.com/spoofstick/) vient d'être mise à jour pour ce problème. Je vous conseille donc fort vivement de l'installer...
Ça donne : http://cjoint.com/?cljv3inKJC
-- Serge http://leserged.online.fr/ Mon blog: http://cahierdesergio.free.fr/ Soutenez le libre: http://www.framasoft.org
Jean-Marc Desperrier
Vincent Lefevre wrote:
Dans l'article <cuflsd$36a$, Jean-Marc Desperrier écrit:
Et j'exagérais un peu à ce moment en disant que FF/Mz ne peuvent rien faire, on peut envisager des solutions, mais ce serait plus propre au niveau des gestionnaires de noms de domaine.
Le problème des solutions est qu'elles ne marcheront jamais parfaitement et elles donneront l'impression de se sentir en sécurité, alors que tous les problèmes ne seront pas résolus.
Je conseille de débrancher le cable réseau, puis de se placer dans une cage de faraday pour résoudre tous les problèmes.
C'est le boulot des experts sécurité de mettre en lumière les failles qui existent. Si les solutions trouvées pour l'IDN ne sont pas assez efficaces, ils le mettront à jour, jusqu'à ce qu'on arrive à un état où plus rien de très convainquant ne sorte de cela.
Vincent Lefevre wrote:
Dans l'article <cuflsd$36a$1@reader1.imaginet.fr>,
Jean-Marc Desperrier <jmdesp@alussinan.org> écrit:
Et j'exagérais un peu à ce moment en disant que FF/Mz ne peuvent
rien faire, on peut envisager des solutions, mais ce serait plus
propre au niveau des gestionnaires de noms de domaine.
Le problème des solutions est qu'elles ne marcheront jamais
parfaitement et elles donneront l'impression de se sentir en
sécurité, alors que tous les problèmes ne seront pas résolus.
Je conseille de débrancher le cable réseau, puis de se placer dans une
cage de faraday pour résoudre tous les problèmes.
C'est le boulot des experts sécurité de mettre en lumière les failles
qui existent. Si les solutions trouvées pour l'IDN ne sont pas assez
efficaces, ils le mettront à jour, jusqu'à ce qu'on arrive à un état où
plus rien de très convainquant ne sorte de cela.
Dans l'article <cuflsd$36a$, Jean-Marc Desperrier écrit:
Et j'exagérais un peu à ce moment en disant que FF/Mz ne peuvent rien faire, on peut envisager des solutions, mais ce serait plus propre au niveau des gestionnaires de noms de domaine.
Le problème des solutions est qu'elles ne marcheront jamais parfaitement et elles donneront l'impression de se sentir en sécurité, alors que tous les problèmes ne seront pas résolus.
Je conseille de débrancher le cable réseau, puis de se placer dans une cage de faraday pour résoudre tous les problèmes.
C'est le boulot des experts sécurité de mettre en lumière les failles qui existent. Si les solutions trouvées pour l'IDN ne sont pas assez efficaces, ils le mettront à jour, jusqu'à ce qu'on arrive à un état où plus rien de très convainquant ne sorte de cela.
Fabien LE LEZ
On Fri, 11 Feb 2005 09:16:39 +0100, Sergio :
http://cjoint.com/?cljv3inKJC
Wow... Il ne te reste plus beaucoup de place pour afficher les pages web ! Heureusement que celle-ci est courte :-)
-- ;-)
On Fri, 11 Feb 2005 09:16:39 +0100, Sergio
<laposte@serge.delbono.net.invalid>:
http://cjoint.com/?cljv3inKJC
Wow... Il ne te reste plus beaucoup de place pour afficher les pages
web ! Heureusement que celle-ci est courte :-)
Wow... Il ne te reste plus beaucoup de place pour afficher les pages web ! Heureusement que celle-ci est courte :-)
-- ;-)
Vincent Lefevre
Dans l'article <cuhq7u$ec3$, Jean-Marc Desperrier écrit:
Je conseille de débrancher le cable réseau, puis de se placer dans une cage de faraday pour résoudre tous les problèmes.
C'est le boulot des experts sécurité de mettre en lumière les failles qui existent. Si les solutions trouvées pour l'IDN ne sont pas assez efficaces, ils le mettront à jour, jusqu'à ce qu'on arrive à un état où plus rien de très convainquant ne sorte de cela.
Non, la véritable solution est de ne pas suivre un lien d'une page externe pour aller sur un site sensible (e.g. sa banque).
Je rappelle que l'IDN n'est pas le seul problème. Il y a aussi la ressemblance entre le "l" et le "1" (comment faire pour savoir lequel est le "bon" à part un système de liste?), mais aussi la présence ou non d'un tiret, les divers TLD possibles... Il y a aussi le problème du onclick prioritaire sur le href, alors que c'est la valeur du href qui est affichée en tooltip ou dans une barre d'état.
En attendant, les développeurs de Mozilla ne se préoccupent pas du fait que Mozilla puisse exécuter une commande insérée dans une URL fournie par une application externe (e.g. lecteur RSS)...
Dans l'article <cuhq7u$ec3$1@reader1.imaginet.fr>,
Jean-Marc Desperrier <jmdesp@alussinan.org> écrit:
Je conseille de débrancher le cable réseau, puis de se placer dans
une cage de faraday pour résoudre tous les problèmes.
C'est le boulot des experts sécurité de mettre en lumière les
failles qui existent. Si les solutions trouvées pour l'IDN ne sont
pas assez efficaces, ils le mettront à jour, jusqu'à ce qu'on arrive
à un état où plus rien de très convainquant ne sorte de cela.
Non, la véritable solution est de ne pas suivre un lien d'une page
externe pour aller sur un site sensible (e.g. sa banque).
Je rappelle que l'IDN n'est pas le seul problème. Il y a aussi la
ressemblance entre le "l" et le "1" (comment faire pour savoir lequel
est le "bon" à part un système de liste?), mais aussi la présence ou
non d'un tiret, les divers TLD possibles... Il y a aussi le problème
du onclick prioritaire sur le href, alors que c'est la valeur du href
qui est affichée en tooltip ou dans une barre d'état.
En attendant, les développeurs de Mozilla ne se préoccupent pas du
fait que Mozilla puisse exécuter une commande insérée dans une URL
fournie par une application externe (e.g. lecteur RSS)...
Dans l'article <cuhq7u$ec3$, Jean-Marc Desperrier écrit:
Je conseille de débrancher le cable réseau, puis de se placer dans une cage de faraday pour résoudre tous les problèmes.
C'est le boulot des experts sécurité de mettre en lumière les failles qui existent. Si les solutions trouvées pour l'IDN ne sont pas assez efficaces, ils le mettront à jour, jusqu'à ce qu'on arrive à un état où plus rien de très convainquant ne sorte de cela.
Non, la véritable solution est de ne pas suivre un lien d'une page externe pour aller sur un site sensible (e.g. sa banque).
Je rappelle que l'IDN n'est pas le seul problème. Il y a aussi la ressemblance entre le "l" et le "1" (comment faire pour savoir lequel est le "bon" à part un système de liste?), mais aussi la présence ou non d'un tiret, les divers TLD possibles... Il y a aussi le problème du onclick prioritaire sur le href, alors que c'est la valeur du href qui est affichée en tooltip ou dans une barre d'état.
En attendant, les développeurs de Mozilla ne se préoccupent pas du fait que Mozilla puisse exécuter une commande insérée dans une URL fournie par une application externe (e.g. lecteur RSS)...
En attendant, les développeurs de Mozilla ne se préoccupent pas du fait que Mozilla puisse exécuter une commande insérée dans une URL fournie par une application externe (e.g. lecteur RSS)...
??? C'est pas une fonctionnalité de base d'un navigateur ? C'est pas bien de cliquer sur un lien que tu cites dans message à partir du lecteur de news ?
-- Serge http://leserged.online.fr/ Mon blog: http://cahierdesergio.free.fr/ Soutenez le libre: http://www.framasoft.org
Il se trouve que Vincent Lefevre a formulé :
En attendant, les développeurs de Mozilla ne se préoccupent pas du
fait que Mozilla puisse exécuter une commande insérée dans une URL
fournie par une application externe (e.g. lecteur RSS)...
??? C'est pas une fonctionnalité de base d'un navigateur ? C'est pas
bien de cliquer sur un lien que tu cites dans message à partir du
lecteur de news ?
--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
En attendant, les développeurs de Mozilla ne se préoccupent pas du fait que Mozilla puisse exécuter une commande insérée dans une URL fournie par une application externe (e.g. lecteur RSS)...
??? C'est pas une fonctionnalité de base d'un navigateur ? C'est pas bien de cliquer sur un lien que tu cites dans message à partir du lecteur de news ?
-- Serge http://leserged.online.fr/ Mon blog: http://cahierdesergio.free.fr/ Soutenez le libre: http://www.framasoft.org
Vincent Lefevre
Dans l'article , Sergio écrit:
Il se trouve que Vincent Lefevre a formulé :
> En attendant, les développeurs de Mozilla ne se préoccupent pas du > fait que Mozilla puisse exécuter une commande insérée dans une URL > fournie par une application externe (e.g. lecteur RSS)...
??? C'est pas une fonctionnalité de base d'un navigateur ? C'est pas bien de cliquer sur un lien que tu cites dans message à partir du lecteur de news ?
Oui, mais faudrait pas que ça exécute du code fourni dans l'URL!
Exemple: un clic sur http://n.importe.quoi/`shutdown` peut avoir pour effet d'éteindre la machine.
Dans l'article <mn.62597d52c8126563.9866@serge.delbono.net.invalid>,
Sergio <laposte@serge.delbono.net.invalid> écrit:
Il se trouve que Vincent Lefevre a formulé :
> En attendant, les développeurs de Mozilla ne se préoccupent pas du
> fait que Mozilla puisse exécuter une commande insérée dans une URL
> fournie par une application externe (e.g. lecteur RSS)...
??? C'est pas une fonctionnalité de base d'un navigateur ? C'est pas
bien de cliquer sur un lien que tu cites dans message à partir du
lecteur de news ?
Oui, mais faudrait pas que ça exécute du code fourni dans l'URL!
Exemple: un clic sur http://n.importe.quoi/`shutdown` peut avoir
pour effet d'éteindre la machine.
> En attendant, les développeurs de Mozilla ne se préoccupent pas du > fait que Mozilla puisse exécuter une commande insérée dans une URL > fournie par une application externe (e.g. lecteur RSS)...
??? C'est pas une fonctionnalité de base d'un navigateur ? C'est pas bien de cliquer sur un lien que tu cites dans message à partir du lecteur de news ?
Oui, mais faudrait pas que ça exécute du code fourni dans l'URL!
Exemple: un clic sur http://n.importe.quoi/`shutdown` peut avoir pour effet d'éteindre la machine.
