[+] Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

• [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

  Posté par free2.org (page perso, ) le 14/12/2003 à 14:07. (lien). Évalué à 8.

  ces fausses "URLs" affichées sont quand meme clairement bizarres (pas de / après le .com) et voila ce qui est affiché dans la barre d'adresse de firebird:
  http://www.microsoft.com%01%00@k-otik.net/bugtraq/12.09.IE.htm(...)
  qund on clique sur l'URL de test de bugtraq
  
  nom@site.com/toto est la syntaxe habituelle des URL pour s'authentifier auprès de certains serveurs (FTP surtout je crois)
  
  bon ok, les novices peuvent se faire avoir donc il vaut mieux changer ce comportenent par défaut

  • [^]Mise à jour News avec versions vulnérables

    Posté par free2.org (page perso, ) le 14/12/2003 à 14:15. (lien). Évalué à 6.

    bon OK j'ai compris ça n'affecte pas vraiment firebird,
    il faut mettre à jour le texte de la News avec les versions vraiment vulnérables:
    
    Mozilla 1.0.2 (Linux) VIEILLE VERSION
    Mozilla 1.5 (Windows)
    
    et donc ne concerne pas firebird 0.7

    • [^]Re: Mise à jour News avec versions vulnérables

      Posté par Gniarf () le 14/12/2003 à 14:18. (lien). Évalué à 5.

      je n'ai pas pu reproduire ça le soucis ni avec Mozilla 1.5 (Windows), ni avec Mozilla Firebird 0.7 (Windows)

      --
      Windows has no users. It has hostages.

      • [^]Re: Mise à jour News avec versions vulnérables

        Posté par Aurélien Girard () le 14/12/2003 à 15:42. (lien). Évalué à 0.

        Chez moi (Direbird 0.7 Linusque) la fausse URL est la seule affichée, mais une grosse flèche noire la suit.

        • [^]Re: Mise à jour News avec versions vulnérables

          Posté par L. R. (Jabber id, page perso, ) le 15/12/2003 à 06:45. (lien). Évalué à 0.

          Marche pas non plus sous WIndows avec Moz 1.5 !

          --
          Quand le chat regarde la tartine beurrée, le sage s'en mord les doigts.
          
          République bananière -- Banana Republic

    • [^]Re: Mise à jour News avec versions vulnérables

      Posté par Troy McClure (page perso, ) le 14/12/2003 à 14:21. (lien). Évalué à 1.

      si, ça marche très bien avec firebird: http://www.prout.com%2Fcoin%00@www.plop.org(...)

      • [^]Re: Mise à jour News avec versions vulnérables

        Posté par free2.org (page perso, ) le 14/12/2003 à 14:38. (lien). Évalué à 2.

        au final j'ai http://www2.plop.org:83/(...) qui s'affiche
        et pas www.prout.com
        
        donc ça marche pas vraiment chez moi

        • [^]Re: Mise à jour News avec versions vulnérables

          Posté par Yann Cochard (page perso, ) le 15/12/2003 à 07:11. (lien). Évalué à 1.

          au final j'ai http://www2.plop.org:83/(...(...)) qui s'affiche et pas www.prout.com
          
          C'est justement ça l'effet recherché !
          
          Exemple :
          www.site-de-ta-banque.com%01%00@site-malicieux.com/
          
          Dans la barre d'adresse tu verras un truc qui commence par l'adresse du site de ta banque, donc tu ne t'inquiète pas. Mais le navigateur affiche la page du site-malicieuxcom, qui récupérera ton mot de passe grâce à une page identique à celle ta banque.
          
          Yann

          • [^]Re: Mise à jour News avec versions vulnérables

            Posté par allcolor (Jabber id, page perso, ) le 15/12/2003 à 07:57. (lien). Évalué à 0.

            Non pas du tout, efface...
            
            Voici l'url...
            
            http://www.prout.com%2Fcoin%00@www.plop.org(...)
            
            Chez lui (et chez moi aussi d'ailleurs), j'ai ceci dans la barre d'url
            
            http://www2.plop.org:83/(...) et non http://www.prout.com(...)
            
            ton exemple est celui-ci :
            
            www.site-de-ta-banque.com%01%00@site-malicieux.com/
            
            donc dans le même ordre qu'au-dessus, ça donne:
            
            site-malicieux.com/ et non www.site-de-ta-banque.com/
            
            Donc pas de bug dans la barre d'url... Lis bien avant de répondre

            --
            All those moments will be lost in time, like tears in the rain.

      • [^]Re: Mise à jour News avec versions vulnérables

        Posté par Erwan (page perso, ) le 14/12/2003 à 14:59. (lien). Évalué à 8.

        Ca ne trompe que la barre d'etat (avant de cliquer sur le lien), pas la barre d'url.

        • [^]Re: Mise à jour News avec versions vulnérables

          Posté par Troy McClure (page perso, ) le 14/12/2003 à 15:58. (lien). Évalué à 5.

          Ah ouais j'avais pas tilté que le bug principal concernait la barre d'url.
          
          Il n'empêche qu'en l'état il y a quand même moyen de faire des blagues de mauvais goût avec ces fausses urls, ne serait-ce que sur la tribune :°)

      • [^]Re: Mise à jour News avec versions vulnérables

        Posté par Jean-Christophe Berthon (page perso, ) le 14/12/2003 à 16:13. (lien). Évalué à 8.

        Effectivement,
        Avec ton URL (sans le %01 qui affiche un gros carré comme caractère) Mozilla 1.5 tout comme Firebird 0.7 se font avoir en ce qui concerne la barre d'état seulement.
        
        Apparement, Opera (en version 7.23) affiche correctement l'URL que se soit avec le bug d'IE ou celui de Mozilla/Firebird. De plus lorsque l'on clique sur l'URL, un avertissement apparait!
        
        Bref, voici les navigateurs vulnérables au %00 ou %01:
        - Mozilla 1.5 (windows)
        - Firebird 0.7 (windows)
        - Internet Explorer 6 SP1 (windows)
        
        Et ceux qui ne le sont pas:
        - lynx (linux)
        - Opera 7.23 (windows)
        
        Pour les autres versions/navigateurs, il faut tester :-)

        • [^]Re: Mise à jour News avec versions vulnérables

          Posté par gyom () le 14/12/2003 à 23:29. (lien). Évalué à 2.

          Avec Mozilla 1.6b aussi ls bug est reproduit

          --
          gyom

          • [^]Re: Mise à jour News avec versions vulnérables

            Posté par Ackira () le 15/12/2003 à 09:17. (lien). Évalué à 2.

            Mon mozilla (vieille version) n'est pas vulnérable :
            Mozilla 1.3
            
            Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.3) Gecko/20030430 Debian/1.3-5
            
            C'est le packet debian.

        • [^]Re: Mise à jour News avec versions vulnérables

          Posté par Philippe Fremy (page perso, ) le 15/12/2003 à 09:07. (lien). Évalué à 1.

          Et sur khtml/konqueror ? Pas de probleme :-) Je suis sous la beta2 de KDE 3.2 et je vois bien dans la barre d'etat la gentille et le mechante URL cote a cote.

          --
          phil.freehackers.org

          • [^]Re: Mise à jour News avec versions vulnérables

            Posté par Mathias Bavay (page perso, ) le 15/12/2003 à 15:03. (lien). Évalué à 1.

            Argh ! Mon konqueror 3.1.0 se fait avoir ! (en titre de Tab, j'ai Microsoft.COM avec l'URL de test). C'est bizard d'ailleur qu'il se mette a passer certaines choses en majuscules...
            
            Mathias

            • [^]Re: Mise à jour News avec versions vulnérables

              Posté par Tian (page perso, ) le 15/12/2003 à 16:49. (lien). Évalué à 1.

              Le titre de l'onglet est celui de la page (dans les balises title) qui se trouve etre : microsoft.COM?
              
              Regarde le source de la page sur laquelle tu arrives pour t'en convaincre ;)

        • [^]Re: Mise à jour News avec versions vulnérables

          Posté par lbz lbz (page perso, ) le 15/12/2003 à 09:40. (lien). Évalué à 1.

          je viens de tester au boulot
          Internet Explorer 5.5 (win) =>vunerable

        • [^]Re: Mise à jour News avec versions vulnérables

          Posté par calandoa () le 15/12/2003 à 09:42. (lien). Évalué à 1.

          Opera 7.11 sous linux gère très bien l'url, et affiche aussi l'avertissement...
          
          Ça déchire opera!

    • [^]Re: Mise à jour News avec versions vulnérables

      Posté par Victor STINNER (page perso, ) le 14/12/2003 à 20:03. (lien). Évalué à 1.

      Firebird 0.6.1 Windows n'est pas affecté ;-)
      
      @+ Haypo

    • [^]Re: Mise à jour News avec versions vulnérables

      Posté par Mickaël L () le 15/12/2003 à 09:17. (lien). Évalué à 1.

      Mozilla 1.4 est affecté on dirait. Enfin, c'est une version Debian, on ne sais jamais ce qu'il y a dedans.
      
      Le À propos de Mozilla annonce
      Gecko/20030908 Debian/1.4-4

      • [^]Re: Mise à jour News avec versions vulnérables

        Posté par Dorianbis (page perso, ) le 15/12/2003 à 17:39. (lien). Évalué à 1.

        oui, pareil pour Mozilla 1.4.1
        Il n'y donc pas que la 1.0.2 sous Linux qui est affectée comme indiqué sur le site K-Otik

  • [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

    Posté par lordcow () le 14/12/2003 à 20:51. (lien). Évalué à 1.

    >http://www.microsoft.com%01%00@k-otik.net/bugtraq/12.09.IE.htm(...)
    Marrant. dans mon galeon, ça affiche le dernier message qu'il y a eu dans la barre de status.
    >http://www.microsoft.com%00@k-otik.net/bugtraq/12.09.IE.htm(...)
    et celle là affiche juste www.microsoft.com

    --
    Je est un autre.

    • [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

      Posté par ASpirit () le 14/12/2003 à 21:13. (lien). Évalué à 1.

      Tu as quelle version de Galeon ?
      
      Pour ma part, Galeon 1.3.10 affiche la même chose pour les deux. C'est à dire l'adresse du Grand Méchant.

      --
      http - Blog de photographies libres - http

      • [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

        Posté par lordcow () le 15/12/2003 à 10:15. (lien). Évalué à 1.

        J'ai aussi une 1.3.10.
        Disons que ça affiche la même chose sur les 2 si tu commence à survoler la 2 eme URL.
        La premiere URL affiche bizarement le message précédent. ça peut être "Chargement de la page", si tu n'a survolé aucun lien avant. ou mi**soft.com si tu a survolé l'autre lien juste avant.

        --
        Je est un autre.

        • [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

          Posté par ASpirit () le 15/12/2003 à 10:43. (lien). Évalué à 1.

          Ohhh fallait la trouver la subtilité !
          
          En effet j'ai la même chose.

          --
          http - Blog de photographies libres - http

    • [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

      Posté par L. R. (Jabber id, page perso, ) le 15/12/2003 à 06:48. (lien). Évalué à 1.

      En soit c'est normal, vu que le %00 correspond à l'ASCII 0 et donc à la fin de chaîne si je nm'abuse.
      
      "Normal", pas tellement en fait vu qu'ils auraient pu vérifier ça aussi =)
      
      Et j'ai du mal à comprendre pourquoi faudrait un %01 devant :/

      --
      Quand le chat regarde la tartine beurrée, le sage s'en mord les doigts.
      
      République bananière -- Banana Republic

  • [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

    Posté par Wajsberg Julien () le 14/12/2003 à 23:42. (lien). Évalué à 1.

    > nom@site.com/toto est la syntaxe habituelle des URL pour s'authentifier auprès de certains serveurs (FTP surtout je crois)
    
    C'est la syntaxe pour une URL pour donner des login/mots de passe. C'est surtout utilisé dans les navigateurs, mais également ailleurs: par exemple, ncftp peut prendre ce type d'url en argument :)
    
    donc http://user:pass@site:port/path/to/file(...)

• [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

  Posté par nooky59 () le 16/12/2003 à 10:10. (lien). Évalué à 1.

  Ouaips, tu m'étonnes IE est vachement en avance, ils ont eu cette même faille de sécurité signalée il y a quelques jours...
  
  Là, où çà devient marrant c'est que Microsoft ne prévoient pas de publier de pack de correctif mensuel en Décembre donc tu vas rester avec cette faille dans IE jusqu'en Janvier. C'est du foutage de gueule, tu parles d'une avance.
  
  Mozilla est donc beaucoup mieux, plus réactif au niveau sécurité et comment une suite logicielle qui respecte les standards, propose des choses comme la navigation par onglet, l'anti pop-up, la gestion des mots de passe, la protection de l'ensemble de la suite par un mot de passe de sécurité unique pourrait être en retard sur IE...

Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

• [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

  Posté par ploum (page perso, ) le 14/12/2003 à 14:09. (lien). Évalué à 1.

  ben aucun spoofing visible sur firebird 0.7.. Bref, on est protégé

  • [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

    Posté par passant (page perso, ) le 14/12/2003 à 14:24. (lien). Évalué à 1.

    vulnérable.
    
    Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.5) Gecko/20031007 Firebird/0.7

    --
    --

  • [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

    Posté par David pasmalin (page perso, ) le 14/12/2003 à 14:24. (lien). Évalué à 1.

    mmmm apres verif pour moi le bug existe sous firebird 0.7 (au niveau du statusbar)
    
    nan ?
    
    pm

    • [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

      Posté par gnap gnap (page perso, ) le 14/12/2003 à 15:05. (lien). Évalué à 3.

      La barre d'état, c'est franchement moins critique que la barre d'url !

      • [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

        Posté par Matthieu C () le 14/12/2003 à 16:12. (lien). Évalué à 6.

        surtout qu'un coup de javascript suffit a la modifie : c'est ce que fait dlfp sur les liens des news : qd tu met t'as souris dessus tu voit l'adresse du site, mais en realité c'est https://linuxfr.org/redirect/30574.html(...) par exemple...

        • [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

          Posté par Matthieu C () le 14/12/2003 à 16:15. (lien). Évalué à 4.

          j'oubliais sous mozilla on peut le desactiver ce comportement, en décochant dans preference -> avancé -> scripts -> "allow script to change status bar text"...

Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

• [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

  Posté par j () le 14/12/2003 à 20:25. (lien). Évalué à 3.

  au lieu d'utilise example.com comme il se doit...

  • [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

    Posté par Yann Cochard (page perso, ) le 15/12/2003 à 07:14. (lien). Évalué à 2.

    Ah ben oui :
    www.example.com%01%00@example.com/
    
    Super ;-)
    
    OK je --> []

  • [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

    Posté par Ramso (page perso, ) le 15/12/2003 à 09:19. (lien). Évalué à 2.

    Oui j'ai appris ça, la RFC prévoit example.com pour donner un exemple et donc il n'est pas à vendre.

    --
    Groar !

Mozilla partiellement vulnérable au défaut de sécurité de mystification d'URL d'Internet Explorer

Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

• [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

  Posté par Gniarf () le 14/12/2003 à 20:32. (lien). Évalué à 1.

  si, si, la faille de sécurité est même http://www.microsoft.com(...)

  --
  Windows has no users. It has hostages.

Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

• [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

  Posté par choocroot () le 14/12/2003 à 19:25. (lien). Évalué à 6.

  « ... et j'ai du mal à comprendre qu'on en parle autant. »
  
  Je prefere qu'on en parle, plutot que de le passer sous silence, parce qu'IE et Mozilla ne sont peut être pas les seuls a être touchés par ce défaut...
  
  « J'ai vu des remarques stipulant que mozz est vulnérable à la même faille qu'ie, ce qui est loin d'être vrai. »
  
  Ce n'est peut être pas grave, mais avoir dans son code un comportement qu'on a pas prévus c'est toujours embêtant et rien ne dit qu'on ne puisse pas faire des choses plus embêtante avec. Je ne serais pas surpris que beaucoup de personnes soient en train de vérifier leur code de gestion des URI en ce moment même :)

  • [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

    Posté par Nap () le 14/12/2003 à 20:44. (lien). Évalué à 1.

    IE et Mozilla ne sont peut être pas les seuls a être touchés par ce défaut...
    
    sous epiphany la barre d'état beug (faux nom + point d'interrogation)

Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

• [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

  Posté par Mes Zigues () le 15/12/2003 à 22:02. (lien). Évalué à 1.

  "Peu de gens désactivent l'écriture dans la barre de status par les javascripts."
  
  Beaucoup plus que tu ne le penses et surtout inconsciemment par exemple en mettant du texte qui défile dans la barre d'état.
  
  A ce propos dans Mozilla, quand on navigue avec des onglets, c'est le denier onglet qui a écrit dans la barre d'état qui affiche du contenu dans la barre d'état.
  
  Jusqu'à maintenant, je trouvais cela normal, l'ecmascript s'exécute à l'ouverture de la page. Mais est-ce vraiement normal, ne faudrait-il pas que l'ecmascript s'exécute à l'affichage de l'onglet ?
  
  PS : on doit dire ecmascript car maintenant c'est l'ECMA qui stansdardise le javascript, de plus n'a rien à voir avec java.

  • [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

    Posté par Éric (Jabber id, page perso, ) le 16/12/2003 à 09:57. (lien). Évalué à 1.

    > PS : on doit dire ecmascript car maintenant c'est l'ECMA qui stansdardise le javascript, de plus
    > n'a rien à voir avec java.
    
    Pas vraiment,
    
    Javascript, jscript et Rihno* sont tous trois des implémentations du standard ecma, mais ce sont bien des langages à part entière avec des différences
    
    * (je peux me tromper dans ce dernier nom mais j'ai la flemme de vérifier)

Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

• [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

  Posté par ASpirit () le 14/12/2003 à 21:15. (lien). Évalué à 2.

  Konqueror est basé sur KHTML qui est totalement différent de Gecko...
  
  Moins compatible malheureusement mais ça se comprend.
  
  Fais des testes avec certaines pages et tu verras que c'est parfois bien différent.

  --
  http - Blog de photographies libres - http

Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

• [^]Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability

  Posté par _hugo_ (page perso, ) le 15/12/2003 à 11:12. (lien). Évalué à 0.

  C'est la stagiaire qui s'occupait des patchs, il a fini son stage !

  --
  www.DigitalSpirit.org

Correction de la nouvelle !!!!!!!!!!!!!!!

• [+] [^]Re: Correction de la nouvelle !!!!!!!!!!!!!!!

  Posté par Eric Bénard (page perso, ) le 15/12/2003 à 09:53. (lien). Évalué à -2.

  C'est un peu dommage de vouloir franciser tous les mots jusqu'à obtenir quelque chose de parfaitement incompréhensible ...
  
  "Mystification de l'URL" ... nous devnons aussi couillons que les américains avec leurs "Liberty Fries" :-D
  
  Il y a des termes anglais très utilisés et qui signifient quelque chose de concret, pourquoi les remplacer par des traductions étranges qui n'évoquent rien tant elles sont peu utilisées en pratique (autre exemple : thread => filament, socket => prise qui rendent la lecture "étrange" de certains articles dans l'excellent "Linux Les Dossiers" sur le C) ?

  • [^]Re: Correction de la nouvelle !!!!!!!!!!!!!!!

    Posté par gnap gnap (page perso, ) le 15/12/2003 à 10:13. (lien). Évalué à 6.

    « Mystification de l'URL" ... nous devnons aussi couillons que les américains avec leurs "Liberty Fries" :-D »
    
    Tu n'as pas l'impression de tout mélanger ?
    
    Va parler de « URL spoofing » à n'importe qui hormis un informaticien, il est probable qu'il n'aura aucune idée de ce dont tu parles. Mystification d'URL est nettement plus abordable.
    
    Mais tout ceci n'a franchement rien à voir avec le fait de renommer un aliment pour se plaindre de l'attitude internationale d'un pays !
    
    J'ajouterais que tes « termes anglais très utilisés » ne signifient que quelque chose de concret à tes yeux parce que ces termes anglais en eux même n'évoquent pas grand chose pour toi (pour un anglophone, thread n'est pas plus ni moins concret que « filament » pour un francophone).

  • [^]Re: Correction de la nouvelle !!!!!!!!!!!!!!!

    Posté par bobsinclar5 () le 15/12/2003 à 10:27. (lien). Évalué à 4.

    Je n'ai pas demander à traduire les termes thread ou socket :-)
    
    Je trouve seulement que "mystification de l'URL" est beaucoup plus parlant que "URL spoofing" !
    
    Si je dis ton "URL est mystifiée", j'ai plus de chance d'être compris que si je dis ton "URL est spoofée" (qui est incorrect).
    
    Si certains sont difficilement traduisibles (pixel, bit, soket, ...) ne nous laissons pas envahir par les termes anglais et utilisons le terme français s'il existe.
    
    LinuxFr est un site d'informations en français, donc écrivons français ! Pour les autres http://slashdot.org/(...) !

  • [^]Re: Correction de la nouvelle !!!!!!!!!!!!!!!

    Posté par Zorro () le 15/12/2003 à 11:45. (lien). Évalué à 6.

    Incompréhensible parce que mal traduit !
    "Spoofing" se traduit bien mieux par "usurpation", je trouve.
    Mais bon, si tu sais pas ce que veut dire "mystification", faut peut-être retourner à l'école ? Perso, quand je vois "mystification", je sais tout de suite de quoi ça parle, et je préfère utiliser le mot français qui traduit mieux ma pensée que le mot anglais que seuls comprendront les initiés.

    • [^]Re: Correction de la nouvelle !!!!!!!!!!!!!!!

      Posté par Eric Bénard (page perso, ) le 15/12/2003 à 15:20. (lien). Évalué à 1.

      Je trouve effectivement le terme "usurpation" plus adéquat.
      Quant à retourner à l'école je n'ai pas l'honneur de connaître Monsieur Zorro et je ne le juge pas il pourrait faire de même en retour car ce n'est pas le sens du mot qui m'a fait réagir mais la traduction que je trouve peu compréhensible dans le contexte c'est tout.
      Enfin, un non initié répondra : mystification de quoi ? ;-)

      • [^]Re: Correction de la nouvelle !!!!!!!!!!!!!!!

        Posté par Bruno Ethvignot (page perso, ) le 15/12/2003 à 17:07. (lien). Évalué à 1.

        Enfin, un non initié répondra : mystification de quoi ? ;-)
        Ben de l'URL, "mystification de l'URL". Normal que tu ne piges rien, faut lire tous les mots de la phrase :-)

    • [^]Re: Correction de la nouvelle !!!!!!!!!!!!!!!

      Posté par Bruno Ethvignot (page perso, ) le 15/12/2003 à 17:04. (lien). Évalué à 1.

      Incompréhensible parce que mal traduit !
      
      Le mot "mystification" est celui proposé par http://www.granddictionnaire.com(...) .
      Et je le trouve plus adapté à la réalité. Puisque mystifier c'est duper, ce qui est plus le cas, alors qu'usurper c'est s'emparer de quelque chose.
      
      Mystifier :
      Tromper (qqn) en abusant de sa crédulité et s'amuser à ses dépends . V Abuser, duper, leurrer.
      
      Usurper :
      S'approprier sans droit, par la violence ou la fraude (un pouvoir, une dignité, un bien) V. Arroger (s'), attribuer (s'), emparer (s'). Usurper un pouvoir, un titre, un nom, des honneurs. Obtenir de façon illégitime.

Re: Vulnérabilité de mystification de l'URL dans la barre d'état de Mozilla

• [^]Re: Vulnérabilité de mystification de l'URL dans la barre d'état de Mozilla

  Posté par MagicNinja (page perso, ) le 15/12/2003 à 12:17. (lien). Évalué à 2.

  > Personne ne regarde cette barre d'état, qui est martyrisé quotidiennement par du javascript.
  
  Pour que les barres d'état ne deviennent pas des martyrs : Preferences -> Advanced -> Script & Plugins -> Change status bar text (comme dit plus haut dans les commentaires :)
  
  Sauvons nos barres d'état :)

• [^]Re: Vulnérabilité de mystification de l'URL dans la barre d'état de Mozilla

  Posté par Zenitram (page perso, ) le 15/12/2003 à 22:57. (lien). Évalué à 1.

  Pareil.
  
  En voyant la news, je me suis dit "ben non alors!"
  
  Je teste, je lance mon IE adoré (ca faisait un moment, j'ai mis du temps a le retrouver :) ), et ca marche : microsoft.com affiche des ocnnerie, le spoofing marche. idem pour la barre de tache.
  
  Hop, allez, mon petit Firebird : commence par etre louche, il y a un gros carré a la fin de texte. De toutes facon, on s'en fout, n'importe quel webmaster peut faire ce qu'uil veut, pas grave. Je clique dessus. Ben euh... je vois une URL bizarre, hop c'est bon Firebird n'est pas atteint.
  
  Faut qu'on m'explique ou est vraiment la vulnérabilité.
  Pour moi, ce n'est pas du tout une vulnérabilité : personne ne peut exploiter la chose, un webmaster pouvait deja faire la meme chose avec JavaScript.
  C'est un bug mineur, rien de plus.
  
  Si on commence a parler de tous les bugs mineurs de toutes les applis...

  • [^]Re: Vulnérabilité de mystification de l'URL dans la barre d'état de Mozilla

    Posté par Matthieu Moy (page perso, ) le 15/12/2003 à 23:06. (lien). Évalué à 2.

    > il y a un gros carré a la fin de texte.
    
    Pas ici en principe
    
    http://www.microsoft.com%2F%00@linuxfr.org/(...)
    
    > un webmaster pouvait deja faire la meme chose avec JavaScript.
    
    Sauf que les parano ont tous désactivé cette fonctionalité, et ont donc confiance en leur barre de status. (Advanced > Scripts & plugins dans les préférences de Moz.)
    
    Donc, c'est une vulnérabilité pour les paranos, et un bug mineur pour les gens normaux.

    • [^]Re: Vulnérabilité de mystification de l'URL dans la barre d'état de Mozilla

      Posté par Mathieu Pillard (page perso, ) le 16/12/2003 à 05:03. (lien). Évalué à 1.

      Les paranos n'ont confiance en rien, c'est pas la desactivation de la manipulation de la barre d'etat en javascript qui va leur faire avoir confiance dans cette barre... Tant que yaura des gps dans nos alims on est pas a l'abris...