Une banque en ligne change à partir de fin mars (ils ont pas
osé dire début avril à cause du poisson) la façon de composer
le code secret pour accéder à son compte.
Je cite:
"A compter de fin mars 2005, la saisie de votre code secret va évoluer.
Jusqu'ici, vous deviez saisir votre code secret à l'aide du clavier dans
un champ prévu à cet effet.
Désormais, vous disposerez à l'écran d'une grille de 25 cases sur laquelle
les 10 chiffres (0 à 9) sont positionnés de manière aléatoire à chaque
nouvelle connexion. Vous devrez cliquer à l'aide de votre souris et dans
l'ordre sur les 6 chiffres correspondants à votre code secret."
Qui peut expliquer l'intéret du nouveau procédé.
merci
ast.
On Tue Mar 15 2005 at 18:54, Patrick 'Zener' Brunet wrote:
Ca va forcer les gens à ne plus utiliser la fonction de mémorisation des mots de passe du navigateur
On peut sauver un mot de passe entré par clic clic ??
Mal lu ! J'ai dit "ne plus utiliser". Pour autant que l'on puisse avoir des rudiments de sécurité et ne pas avoir désactivé immédiatement cette option de saisie automatique (des champs de formulaire) qui est active par défaut :-)
Cordialement,
--
/*************************************** * Patrick BRUNET * E-mail: lien sur http://zener131.free.fr/ContactMe ***************************************/
Bonjour.
"Michel Arboi" <arboi@alussinan.org> a écrit dans le message de news:
m3wts8dmut.fsf@alussinan.org...
On Tue Mar 15 2005 at 18:54, Patrick 'Zener' Brunet wrote:
Ca va forcer les gens à ne plus utiliser la fonction de mémorisation des
mots de passe du navigateur
On peut sauver un mot de passe entré par clic clic ??
Mal lu ! J'ai dit "ne plus utiliser".
Pour autant que l'on puisse avoir des rudiments de sécurité et ne pas avoir
désactivé immédiatement cette option de saisie automatique (des champs de
formulaire) qui est active par défaut :-)
Cordialement,
--
/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/
On Tue Mar 15 2005 at 18:54, Patrick 'Zener' Brunet wrote:
Ca va forcer les gens à ne plus utiliser la fonction de mémorisation des mots de passe du navigateur
On peut sauver un mot de passe entré par clic clic ??
Mal lu ! J'ai dit "ne plus utiliser". Pour autant que l'on puisse avoir des rudiments de sécurité et ne pas avoir désactivé immédiatement cette option de saisie automatique (des champs de formulaire) qui est active par défaut :-)
Cordialement,
--
/*************************************** * Patrick BRUNET * E-mail: lien sur http://zener131.free.fr/ContactMe ***************************************/
Michel Arboi
On Wed Mar 16 2005 at 14:08, Patrick 'Zener' Brunet wrote:
Mal lu ! J'ai dit "ne plus utiliser".
Effectivement, je n'avais pas les yeux en face des trous.
Pour autant que l'on puisse avoir des rudiments de sécurité et ne pas avoir désactivé immédiatement cette option de saisie automatique
Elle est bien pratique pour la foultitude de sites sans importance qui demandent un mot de passe à la noix. (mais non, je n'utilise pas cette horreur pour ma banque en ligne !)
On Wed Mar 16 2005 at 14:08, Patrick 'Zener' Brunet wrote:
Mal lu ! J'ai dit "ne plus utiliser".
Effectivement, je n'avais pas les yeux en face des trous.
Pour autant que l'on puisse avoir des rudiments de sécurité et ne
pas avoir désactivé immédiatement cette option de saisie automatique
Elle est bien pratique pour la foultitude de sites sans importance qui
demandent un mot de passe à la noix.
(mais non, je n'utilise pas cette horreur pour ma banque en ligne !)
On Wed Mar 16 2005 at 14:08, Patrick 'Zener' Brunet wrote:
Mal lu ! J'ai dit "ne plus utiliser".
Effectivement, je n'avais pas les yeux en face des trous.
Pour autant que l'on puisse avoir des rudiments de sécurité et ne pas avoir désactivé immédiatement cette option de saisie automatique
Elle est bien pratique pour la foultitude de sites sans importance qui demandent un mot de passe à la noix. (mais non, je n'utilise pas cette horreur pour ma banque en ligne !)
Quoi ma gueulle(R) ?
On Mon, 14 Mar 2005 19:03:04 +0100, "ast" wrote:
Une banque en ligne change à partir de fin mars (ils ont pas osé dire début avril à cause du poisson) la façon de composer le code secret pour accéder à son compte.
Je cite:
"A compter de fin mars 2005, la saisie de votre code secret va évoluer. Jusqu'ici, vous deviez saisir votre code secret à l'aide du clavier dans un champ prévu à cet effet. Désormais, vous disposerez à l'écran d'une grille de 25 cases sur laquelle les 10 chiffres (0 à 9) sont positionnés de manière aléatoire à chaque nouvelle connexion. Vous devrez cliquer à l'aide de votre souris et dans l'ordre sur les 6 chiffres correspondants à votre code secret."
Qui peut expliquer l'intéret du nouveau procédé. merci ast.
A eviter que des yeux memorisent le code en reperant l'emplacement.
J'en ai deja vu un sur un distrbanque afin que ceux qui louchent au dessus de ton epaule memorise l'emplacement mais pas le code, et comme les chiffres sont affiché aleatoirement....
On Mon, 14 Mar 2005 19:03:04 +0100, "ast" <az@er.ty> wrote:
Une banque en ligne change à partir de fin mars (ils ont pas
osé dire début avril à cause du poisson) la façon de composer
le code secret pour accéder à son compte.
Je cite:
"A compter de fin mars 2005, la saisie de votre code secret va évoluer.
Jusqu'ici, vous deviez saisir votre code secret à l'aide du clavier dans
un champ prévu à cet effet.
Désormais, vous disposerez à l'écran d'une grille de 25 cases sur laquelle
les 10 chiffres (0 à 9) sont positionnés de manière aléatoire à chaque
nouvelle connexion. Vous devrez cliquer à l'aide de votre souris et dans
l'ordre sur les 6 chiffres correspondants à votre code secret."
Qui peut expliquer l'intéret du nouveau procédé.
merci
ast.
A eviter que des yeux memorisent le code en reperant l'emplacement.
J'en ai deja vu un sur un distrbanque afin que ceux qui louchent au
dessus de ton epaule memorise l'emplacement mais pas le code, et comme
les chiffres sont affiché aleatoirement....
Une banque en ligne change à partir de fin mars (ils ont pas osé dire début avril à cause du poisson) la façon de composer le code secret pour accéder à son compte.
Je cite:
"A compter de fin mars 2005, la saisie de votre code secret va évoluer. Jusqu'ici, vous deviez saisir votre code secret à l'aide du clavier dans un champ prévu à cet effet. Désormais, vous disposerez à l'écran d'une grille de 25 cases sur laquelle les 10 chiffres (0 à 9) sont positionnés de manière aléatoire à chaque nouvelle connexion. Vous devrez cliquer à l'aide de votre souris et dans l'ordre sur les 6 chiffres correspondants à votre code secret."
Qui peut expliquer l'intéret du nouveau procédé. merci ast.
A eviter que des yeux memorisent le code en reperant l'emplacement.
J'en ai deja vu un sur un distrbanque afin que ceux qui louchent au dessus de ton epaule memorise l'emplacement mais pas le code, et comme les chiffres sont affiché aleatoirement....
CEO
A part ça, un clic de souris est géré par le système comme un appui de touche, avec seulement des coordonnées en plus, alors les keyloggers vont se
mettre à jour rapidement. Sans parler du surcroît de code JavaScript dans les pages, des images cliquables et autres éléments qui virtuellement pourront être hackés plus discrètement.
Aucune chance que les keylogeur ne fonctionnent. Tout simplement parceque ce n'est pas le chiffre qui est envoyé mais les coordonnées souris.
Le serveur déduit lui-même le chiffre choisi
Voila, AUCUN keyloggeur ne pourra fonctionner car l'association VISUEL / coordonnées n'est pas pret d'etre au point.
CQFD
A part ça, un clic de souris est géré par le système comme un appui de
touche, avec seulement des coordonnées en plus, alors les keyloggers vont
se
mettre à jour rapidement.
Sans parler du surcroît de code JavaScript dans les pages, des images
cliquables et autres éléments qui virtuellement pourront être hackés plus
discrètement.
Aucune chance que les keylogeur ne fonctionnent.
Tout simplement parceque ce n'est pas le chiffre qui est envoyé mais les
coordonnées souris.
Le serveur déduit lui-même le chiffre choisi
Voila, AUCUN keyloggeur ne pourra fonctionner car l'association VISUEL /
coordonnées n'est pas pret d'etre au point.
A part ça, un clic de souris est géré par le système comme un appui de touche, avec seulement des coordonnées en plus, alors les keyloggers vont se
mettre à jour rapidement. Sans parler du surcroît de code JavaScript dans les pages, des images cliquables et autres éléments qui virtuellement pourront être hackés plus discrètement.
Aucune chance que les keylogeur ne fonctionnent. Tout simplement parceque ce n'est pas le chiffre qui est envoyé mais les coordonnées souris.
Le serveur déduit lui-même le chiffre choisi
Voila, AUCUN keyloggeur ne pourra fonctionner car l'association VISUEL / coordonnées n'est pas pret d'etre au point.
CQFD
Quoi ma gueulle(R) ?
On Sat, 19 Mar 2005 09:51:03 +0100, "CEO" wrote:
Voila, AUCUN keyloggeur ne pourra fonctionner car l'association VISUEL / coordonnées n'est pas pret d'etre au point.
Il y a des keylogger avec capture d'ecran....
On Sat, 19 Mar 2005 09:51:03 +0100, "CEO" <nomail@nowhere.tv> wrote:
Voila, AUCUN keyloggeur ne pourra fonctionner car l'association VISUEL /
coordonnées n'est pas pret d'etre au point.
Voila, AUCUN keyloggeur ne pourra fonctionner car l'association VISUEL / coordonnées n'est pas pret d'etre au point.
Il y a des keylogger avec capture d'ecran....
Patrick 'Zener' Brunet
Bonjour.
"CEO" a écrit dans le message de news: 423be6e7$0$3140$
A part ça, un clic de souris est géré par le système comme un appui de touche, avec seulement des coordonnées en plus, alors les keyloggers vont
se
mettre à jour rapidement. Sans parler du surcroît de code JavaScript dans les pages, des images cliquables et autres éléments qui virtuellement pourront être hackés plus
discrètement.
Aucune chance que les keylogeur ne fonctionnent. Tout simplement parceque ce n'est pas le chiffre qui est envoyé mais les coordonnées souris.
Le serveur déduit lui-même le chiffre choisi
Voila, AUCUN keyloggeur ne pourra fonctionner car l'association VISUEL / coordonnées n'est pas pret d'etre au point.
CQFD
CQFD reste à voir : J'espère bien que le but de la manip ne sera pas de renvoyer le résultat de la "saisie sécurisée" en clair dans une requête HTTP, mais on en a vu d'autres, non ? :-)
Plus sérieusement : Le keylogger a la possibilité de savoir sur quelles coordonnées de l'écran ont été faits les clics. Il est donc facile d'en déduire le pattern géographique. Il ne reste plus qu'à retrouver quels chiffres se trouvaient aux positions correspondantes. Or ces chiffres sont des images ou une autre forme d'inserts HTML, et on peut imaginer que le code HTML de la page sera assez rigide dans sa structure. On peut donc supposer que les URL identifiant ces inserts HTML seront aussi assez faciles à localiser dans le code (un novice codera ça en 20mn). Il ne reste donc plus qu'à souhaiter que les noms de ces inserts fassent l'objet d'un encodage dynamique strictement imprévisible ! Mais là j'ai un petit doute... C'est tellement plus simple de faire tourner des icônes standards selon une séquence pseudo-aléatoire :-) Sans compter que si le keylogger travaille en temps réel, un site pirate peut très bien réclamer sa propre copie de la même page et des images intéressantes. D'ailleurs le keylogger peut le faire aussi de manière autonome, tout se trouve dans le cache du navigateur, les noms de fichiers ***finaux*** sont connus, il suffit d'en mémoriser quelques octets...
Bref, face à un keylogger dédié à la tâche, et utilisant les APIs de base de Windows, ça n'apporte strictement rien (sinon le fun) par rapport à la simple saisie au clavier du mot de passe, le navigateur dans son principe est et reste un libre-service.
Cordialement,
--
/*************************************** * Patrick BRUNET * E-mail: lien sur http://zener131.free.fr/ContactMe ***************************************/
Bonjour.
"CEO" <nomail@nowhere.tv> a écrit dans le message de news:
423be6e7$0$3140$8fcfb975@news.wanadoo.fr...
A part ça, un clic de souris est géré par le système comme un appui de
touche, avec seulement des coordonnées en plus, alors les keyloggers
vont
se
mettre à jour rapidement.
Sans parler du surcroît de code JavaScript dans les pages, des images
cliquables et autres éléments qui virtuellement pourront être hackés
plus
discrètement.
Aucune chance que les keylogeur ne fonctionnent.
Tout simplement parceque ce n'est pas le chiffre qui est envoyé mais les
coordonnées souris.
Le serveur déduit lui-même le chiffre choisi
Voila, AUCUN keyloggeur ne pourra fonctionner car l'association VISUEL /
coordonnées n'est pas pret d'etre au point.
CQFD
CQFD reste à voir : J'espère bien que le but de la manip ne sera pas de
renvoyer le résultat de la "saisie sécurisée" en clair dans une requête
HTTP, mais on en a vu d'autres, non ? :-)
Plus sérieusement :
Le keylogger a la possibilité de savoir sur quelles coordonnées de l'écran
ont été faits les clics. Il est donc facile d'en déduire le pattern
géographique. Il ne reste plus qu'à retrouver quels chiffres se trouvaient
aux positions correspondantes.
Or ces chiffres sont des images ou une autre forme d'inserts HTML, et on
peut imaginer que le code HTML de la page sera assez rigide dans sa
structure. On peut donc supposer que les URL identifiant ces inserts HTML
seront aussi assez faciles à localiser dans le code (un novice codera ça en
20mn).
Il ne reste donc plus qu'à souhaiter que les noms de ces inserts fassent
l'objet d'un encodage dynamique strictement imprévisible ! Mais là j'ai un
petit doute... C'est tellement plus simple de faire tourner des icônes
standards selon une séquence pseudo-aléatoire :-)
Sans compter que si le keylogger travaille en temps réel, un site pirate
peut très bien réclamer sa propre copie de la même page et des images
intéressantes.
D'ailleurs le keylogger peut le faire aussi de manière autonome, tout se
trouve dans le cache du navigateur, les noms de fichiers ***finaux*** sont
connus, il suffit d'en mémoriser quelques octets...
Bref, face à un keylogger dédié à la tâche, et utilisant les APIs de base de
Windows, ça n'apporte strictement rien (sinon le fun) par rapport à la
simple saisie au clavier du mot de passe, le navigateur dans son principe
est et reste un libre-service.
Cordialement,
--
/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/
"CEO" a écrit dans le message de news: 423be6e7$0$3140$
A part ça, un clic de souris est géré par le système comme un appui de touche, avec seulement des coordonnées en plus, alors les keyloggers vont
se
mettre à jour rapidement. Sans parler du surcroît de code JavaScript dans les pages, des images cliquables et autres éléments qui virtuellement pourront être hackés plus
discrètement.
Aucune chance que les keylogeur ne fonctionnent. Tout simplement parceque ce n'est pas le chiffre qui est envoyé mais les coordonnées souris.
Le serveur déduit lui-même le chiffre choisi
Voila, AUCUN keyloggeur ne pourra fonctionner car l'association VISUEL / coordonnées n'est pas pret d'etre au point.
CQFD
CQFD reste à voir : J'espère bien que le but de la manip ne sera pas de renvoyer le résultat de la "saisie sécurisée" en clair dans une requête HTTP, mais on en a vu d'autres, non ? :-)
Plus sérieusement : Le keylogger a la possibilité de savoir sur quelles coordonnées de l'écran ont été faits les clics. Il est donc facile d'en déduire le pattern géographique. Il ne reste plus qu'à retrouver quels chiffres se trouvaient aux positions correspondantes. Or ces chiffres sont des images ou une autre forme d'inserts HTML, et on peut imaginer que le code HTML de la page sera assez rigide dans sa structure. On peut donc supposer que les URL identifiant ces inserts HTML seront aussi assez faciles à localiser dans le code (un novice codera ça en 20mn). Il ne reste donc plus qu'à souhaiter que les noms de ces inserts fassent l'objet d'un encodage dynamique strictement imprévisible ! Mais là j'ai un petit doute... C'est tellement plus simple de faire tourner des icônes standards selon une séquence pseudo-aléatoire :-) Sans compter que si le keylogger travaille en temps réel, un site pirate peut très bien réclamer sa propre copie de la même page et des images intéressantes. D'ailleurs le keylogger peut le faire aussi de manière autonome, tout se trouve dans le cache du navigateur, les noms de fichiers ***finaux*** sont connus, il suffit d'en mémoriser quelques octets...
Bref, face à un keylogger dédié à la tâche, et utilisant les APIs de base de Windows, ça n'apporte strictement rien (sinon le fun) par rapport à la simple saisie au clavier du mot de passe, le navigateur dans son principe est et reste un libre-service.
Cordialement,
--
/*************************************** * Patrick BRUNET * E-mail: lien sur http://zener131.free.fr/ContactMe ***************************************/
AMcD®
Patrick 'Zener' Brunet wrote:
CQFD reste à voir : J'espère bien que le but de la manip ne sera pas de renvoyer le résultat de la "saisie sécurisée" en clair dans une requête HTTP, mais on en a vu d'autres, non ? :-)
Plus sérieusement : Le keylogger a la possibilité de savoir sur quelles coordonnées de l'écran ont été faits les clics. Il est donc facile d'en déduire le pattern géographique. Il ne reste plus qu'à retrouver quels chiffres se trouvaient aux positions correspondantes. Or ces chiffres sont des images ou une autre forme d'inserts HTML, et on peut imaginer que le code HTML de la page sera assez rigide dans sa structure. On peut donc supposer que les URL identifiant ces inserts HTML seront aussi assez faciles à localiser dans le code (un novice codera ça en 20mn). Il ne reste donc plus qu'à souhaiter que les noms de ces inserts fassent l'objet d'un encodage dynamique strictement imprévisible ! Mais là j'ai un petit doute... C'est tellement plus simple de faire tourner des icônes standards selon une séquence pseudo-aléatoire :-) Sans compter que si le keylogger travaille en temps réel, un site pirate peut très bien réclamer sa propre copie de la même page et des images intéressantes. D'ailleurs le keylogger peut le faire aussi de manière autonome, tout se trouve dans le cache du navigateur, les noms de fichiers ***finaux*** sont connus, il suffit d'en mémoriser quelques octets...
Bref, face à un keylogger dédié à la tâche, et utilisant les APIs de base de Windows, ça n'apporte strictement rien (sinon le fun) par rapport à la simple saisie au clavier du mot de passe, le navigateur dans son principe est et reste un libre-service.
Cordialement,
Eh oui, c'est ce que je disais dans un autre post ; faut voir la gueule finale du truc avant de se prononcer, mais ça m'a tout l'air d'un truc pour rassurer les gens comme CEO, qui prennent pour acquis tout ce qu'on leur sort dès lors qu'il s'agit de sécurité et que c'est présenté sous une forme crédible :-(, pas un truc sûr.
-- AMcD®
http://arnold.mcdonald.free.fr/
Patrick 'Zener' Brunet wrote:
CQFD reste à voir : J'espère bien que le but de la manip ne sera pas
de renvoyer le résultat de la "saisie sécurisée" en clair dans une
requête HTTP, mais on en a vu d'autres, non ? :-)
Plus sérieusement :
Le keylogger a la possibilité de savoir sur quelles coordonnées de
l'écran ont été faits les clics. Il est donc facile d'en déduire le
pattern géographique. Il ne reste plus qu'à retrouver quels chiffres
se trouvaient aux positions correspondantes.
Or ces chiffres sont des images ou une autre forme d'inserts HTML, et
on peut imaginer que le code HTML de la page sera assez rigide dans sa
structure. On peut donc supposer que les URL identifiant ces inserts
HTML seront aussi assez faciles à localiser dans le code (un novice
codera ça en 20mn).
Il ne reste donc plus qu'à souhaiter que les noms de ces inserts
fassent l'objet d'un encodage dynamique strictement imprévisible !
Mais là j'ai un petit doute... C'est tellement plus simple de faire
tourner des icônes standards selon une séquence pseudo-aléatoire :-)
Sans compter que si le keylogger travaille en temps réel, un site
pirate peut très bien réclamer sa propre copie de la même page et des
images intéressantes.
D'ailleurs le keylogger peut le faire aussi de manière autonome, tout
se trouve dans le cache du navigateur, les noms de fichiers
***finaux*** sont connus, il suffit d'en mémoriser quelques octets...
Bref, face à un keylogger dédié à la tâche, et utilisant les APIs de
base de Windows, ça n'apporte strictement rien (sinon le fun) par
rapport à la simple saisie au clavier du mot de passe, le navigateur
dans son principe est et reste un libre-service.
Cordialement,
Eh oui, c'est ce que je disais dans un autre post ; faut voir la gueule
finale du truc avant de se prononcer, mais ça m'a tout l'air d'un truc pour
rassurer les gens comme CEO, qui prennent pour acquis tout ce qu'on leur
sort dès lors qu'il s'agit de sécurité et que c'est présenté sous une forme
crédible :-(, pas un truc sûr.
CQFD reste à voir : J'espère bien que le but de la manip ne sera pas de renvoyer le résultat de la "saisie sécurisée" en clair dans une requête HTTP, mais on en a vu d'autres, non ? :-)
Plus sérieusement : Le keylogger a la possibilité de savoir sur quelles coordonnées de l'écran ont été faits les clics. Il est donc facile d'en déduire le pattern géographique. Il ne reste plus qu'à retrouver quels chiffres se trouvaient aux positions correspondantes. Or ces chiffres sont des images ou une autre forme d'inserts HTML, et on peut imaginer que le code HTML de la page sera assez rigide dans sa structure. On peut donc supposer que les URL identifiant ces inserts HTML seront aussi assez faciles à localiser dans le code (un novice codera ça en 20mn). Il ne reste donc plus qu'à souhaiter que les noms de ces inserts fassent l'objet d'un encodage dynamique strictement imprévisible ! Mais là j'ai un petit doute... C'est tellement plus simple de faire tourner des icônes standards selon une séquence pseudo-aléatoire :-) Sans compter que si le keylogger travaille en temps réel, un site pirate peut très bien réclamer sa propre copie de la même page et des images intéressantes. D'ailleurs le keylogger peut le faire aussi de manière autonome, tout se trouve dans le cache du navigateur, les noms de fichiers ***finaux*** sont connus, il suffit d'en mémoriser quelques octets...
Bref, face à un keylogger dédié à la tâche, et utilisant les APIs de base de Windows, ça n'apporte strictement rien (sinon le fun) par rapport à la simple saisie au clavier du mot de passe, le navigateur dans son principe est et reste un libre-service.
Cordialement,
Eh oui, c'est ce que je disais dans un autre post ; faut voir la gueule finale du truc avant de se prononcer, mais ça m'a tout l'air d'un truc pour rassurer les gens comme CEO, qui prennent pour acquis tout ce qu'on leur sort dès lors qu'il s'agit de sécurité et que c'est présenté sous une forme crédible :-(, pas un truc sûr.
-- AMcD®
http://arnold.mcdonald.free.fr/
AMcD®
CEO wrote:
Voila, AUCUN keyloggeur ne pourra fonctionner car l'association VISUEL / coordonnées n'est pas pret d'etre au point.
Bah non voyons. Les hackers, ce sont tous des ânes. Ils savent même pas récupérer les coordonnées d'un curseur pour voir ce qu'il y a dessous, tu vois un peu le niveau...
-- AMcD®
http://arnold.mcdonald.free.fr/
CEO wrote:
Voila, AUCUN keyloggeur ne pourra fonctionner car l'association
VISUEL / coordonnées n'est pas pret d'etre au point.
Bah non voyons. Les hackers, ce sont tous des ânes. Ils savent même pas
récupérer les coordonnées d'un curseur pour voir ce qu'il y a dessous, tu
vois un peu le niveau...
Voila, AUCUN keyloggeur ne pourra fonctionner car l'association VISUEL / coordonnées n'est pas pret d'etre au point.
Bah non voyons. Les hackers, ce sont tous des ânes. Ils savent même pas récupérer les coordonnées d'un curseur pour voir ce qu'il y a dessous, tu vois un peu le niveau...
-- AMcD®
http://arnold.mcdonald.free.fr/
CEO
Bah non voyons. Les hackers, ce sont tous des ânes. Ils savent même pas récupérer les coordonnées d'un curseur pour voir ce qu'il y a dessous, tu vois un peu le niveau...
Voir ce qu'il ya en dessous ? Tres drole, en dessous, c'est un pixel... de là a que le keyloggeur arrive à deviner le texte qui s'y cache (style OCR) il y a un monde.
Il faudrait un keyloggeur dédié, en effet, sauf que la page de la banque peut etre changée à tout moment et le key loggeur doit alors non seulement être refait, mais aussi ré-implanté dans la machine cible AVANT le prochain changement.
Et bien entendu un key loggeur qui enregistre CHAQUE CLIC, en capturant CHAQUE écran au moment du clic pour ensuite le renvoyer par le NET.
Ca conplexifie largement le boulot du hacker, hein les mecs ?
Mais c'est vrai qu'on peut toujours se monter le bourichon et croire que les programmeurs de site de banque sont tous des ânes. A lire certaines pleurnicheuses on pourrait croire que ces banques se font piller quotidiennement.
Bah non voyons. Les hackers, ce sont tous des ânes. Ils savent même pas
récupérer les coordonnées d'un curseur pour voir ce qu'il y a dessous, tu
vois un peu le niveau...
Voir ce qu'il ya en dessous ? Tres drole, en dessous, c'est un pixel... de
là a que le keyloggeur arrive à deviner le texte qui s'y cache (style OCR)
il y a un monde.
Il faudrait un keyloggeur dédié, en effet, sauf que la page de la banque
peut etre changée à tout moment et le key loggeur doit alors non seulement
être refait, mais aussi ré-implanté dans la machine cible AVANT le prochain
changement.
Et bien entendu un key loggeur qui enregistre CHAQUE CLIC, en capturant
CHAQUE écran au moment du clic pour ensuite le renvoyer par le NET.
Ca conplexifie largement le boulot du hacker, hein les mecs ?
Mais c'est vrai qu'on peut toujours se monter le bourichon et croire que les
programmeurs de site de banque sont tous des ânes. A lire certaines
pleurnicheuses on pourrait croire que ces banques se font piller
quotidiennement.
Bah non voyons. Les hackers, ce sont tous des ânes. Ils savent même pas récupérer les coordonnées d'un curseur pour voir ce qu'il y a dessous, tu vois un peu le niveau...
Voir ce qu'il ya en dessous ? Tres drole, en dessous, c'est un pixel... de là a que le keyloggeur arrive à deviner le texte qui s'y cache (style OCR) il y a un monde.
Il faudrait un keyloggeur dédié, en effet, sauf que la page de la banque peut etre changée à tout moment et le key loggeur doit alors non seulement être refait, mais aussi ré-implanté dans la machine cible AVANT le prochain changement.
Et bien entendu un key loggeur qui enregistre CHAQUE CLIC, en capturant CHAQUE écran au moment du clic pour ensuite le renvoyer par le NET.
Ca conplexifie largement le boulot du hacker, hein les mecs ?
Mais c'est vrai qu'on peut toujours se monter le bourichon et croire que les programmeurs de site de banque sont tous des ânes. A lire certaines pleurnicheuses on pourrait croire que ces banques se font piller quotidiennement.
CEO
Or ces chiffres sont des images ou une autre forme d'inserts HTML, et on peut imaginer que le code HTML de la page sera assez rigide dans sa structure. On peut donc supposer que les URL identifiant ces inserts HTML seront aussi assez faciles à localiser dans le code (un novice codera ça en
20mn).
Avec de l'imagination oui, surement. Sauf que mon imagination me dit que la banque enverra un bon gros GIF unique avec tous les chiffres dedans, composé par le serveur.
Il ne reste donc plus qu'à souhaiter que les noms de ces inserts fassent l'objet d'un encodage dynamique strictement imprévisible ! Mais là j'ai un petit doute... C'est tellement plus simple de faire tourner des icônes standards selon une séquence pseudo-aléatoire :-)
Le propre d'un programmeur dans le domaine de la sécurité n'est pas de faire le plus simple...
Sans compter que si le keylogger travaille en temps réel, un site pirate peut très bien réclamer sa propre copie de la même page et des images intéressantes.
"Réclamer sa propore copie"... Le réclamer au serveur bancaire ?on croit réver...
Bref, face à un keylogger dédié à la tâche, et utilisant les APIs de base de
Windows, ça n'apporte strictement rien (sinon le fun) par rapport à la simple saisie au clavier du mot de passe, le navigateur dans son principe est et reste un libre-service.
non
Or ces chiffres sont des images ou une autre forme d'inserts HTML, et on
peut imaginer que le code HTML de la page sera assez rigide dans sa
structure. On peut donc supposer que les URL identifiant ces inserts HTML
seront aussi assez faciles à localiser dans le code (un novice codera ça
en
20mn).
Avec de l'imagination oui, surement. Sauf que mon imagination me dit que la
banque enverra un bon gros GIF unique avec tous les chiffres dedans, composé
par le serveur.
Il ne reste donc plus qu'à souhaiter que les noms de ces inserts fassent
l'objet d'un encodage dynamique strictement imprévisible ! Mais là j'ai un
petit doute... C'est tellement plus simple de faire tourner des icônes
standards selon une séquence pseudo-aléatoire :-)
Le propre d'un programmeur dans le domaine de la sécurité n'est pas de faire
le plus simple...
Sans compter que si le keylogger travaille en temps réel, un site pirate
peut très bien réclamer sa propre copie de la même page et des images
intéressantes.
"Réclamer sa propore copie"... Le réclamer au serveur bancaire ?on croit
réver...
Bref, face à un keylogger dédié à la tâche, et utilisant les APIs de base
de
Windows, ça n'apporte strictement rien (sinon le fun) par rapport à la
simple saisie au clavier du mot de passe, le navigateur dans son principe
est et reste un libre-service.
Or ces chiffres sont des images ou une autre forme d'inserts HTML, et on peut imaginer que le code HTML de la page sera assez rigide dans sa structure. On peut donc supposer que les URL identifiant ces inserts HTML seront aussi assez faciles à localiser dans le code (un novice codera ça en
20mn).
Avec de l'imagination oui, surement. Sauf que mon imagination me dit que la banque enverra un bon gros GIF unique avec tous les chiffres dedans, composé par le serveur.
Il ne reste donc plus qu'à souhaiter que les noms de ces inserts fassent l'objet d'un encodage dynamique strictement imprévisible ! Mais là j'ai un petit doute... C'est tellement plus simple de faire tourner des icônes standards selon une séquence pseudo-aléatoire :-)
Le propre d'un programmeur dans le domaine de la sécurité n'est pas de faire le plus simple...
Sans compter que si le keylogger travaille en temps réel, un site pirate peut très bien réclamer sa propre copie de la même page et des images intéressantes.
"Réclamer sa propore copie"... Le réclamer au serveur bancaire ?on croit réver...
Bref, face à un keylogger dédié à la tâche, et utilisant les APIs de base de
Windows, ça n'apporte strictement rien (sinon le fun) par rapport à la simple saisie au clavier du mot de passe, le navigateur dans son principe est et reste un libre-service.
