jeudi 24 juillet
April | Agenda du libre | Framasoft | Léa-Linux | Lolix | JeSuisLibre | Eyrolles | LinuxMag | Veni, Vidi, Libri | InLibroVeritas | LinuxGraphic
Faire un don ! | | style | statistiques | contactez-nous | plan | lettre d'information
Accueil :: Dépêches :: Archives :: Proposer une dépêche :: Journaux :: Forums :: Entretiens :: Suivi :: RDF

Liens connexes

Dépêche modérée par

Dépêche éditée par

: Nouvelle forme d'arnaque : l'usurpation d'identité de site web via XUL

Posté par Pedro. Modéré le 29 juillet 2004.
Un nouveau type d'usurpation d'identité (étrangement dénommé phishing) apparaît avec XUL. Un site web peut fabriquer de toutes pièces une interface de navigation pour faire croire au visiteur qu'il est sur un autre site web.

Il s'agit d'un inquiétant problème de sécurité, apparemment non-résolu pour le moment.

Avec Gecko, un nouveau langage est apparu : le XUL. Ce langage permet la création d'applications complètes. Ainsi Mozilla peut servir de plate-forme pour lancer tout un tas d'applications écrites en XUL. Au premier rang de ces applications figure bien sûr le navigateur de Mozilla.

Mais voila, une nouvelle forme de « phishing » apparaît en même temps. En effet quand on fait pointer Gecko sur une URL « XUL », il lance l'application. Mais voila, que faire si la dite application simule une nouvelle fenêtre de navigation, avec l'URL de votre banque dans la barre d'adresse, un petit cadenas dans le coin, un vrai-faux certificat etc ... ?!

> Lire la dépêche (99 commentaires, moyenne: 2,7).  

Essayez le lien donné avec Firefox puis réessayez le avec Konqueror (ou IE si vous y tenez). C'est édifiant. Et pour une fois il n'y a pas d'excuse car IE n'est évidemment pas concerné !

Le second lien donne une capture d'écran si vous n'avez pas un Gecko sous la main.

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

hehe

Posté par manatlan (Jabber id, page perso, ) le 29/07/2004 à 16:39. (lien). Évalué à 10.

ça rends pas du tout bien, quand on force la navigation par onglet à l'aide d'un plugin :
ça affiche un navigateur dans l'onglet ;-)

du coup ; pas de risque de se tromper, non ?!

--
manatlan.com

[+] Oui mais..

Posté par Psylo (page perso, ) le 29/07/2004 à 16:39. (lien). Évalué à -3.

Et pour une fois il n'y a pas d'excuse car IE n'est évidemment pas concerné !
Oui mais au moins ça ne mettra pas 8 mois à être corrigé.

et mozilla ?

Posté par Matthieu C () le 29/07/2004 à 16:42. (lien). Évalué à 2.

Essayez le lien donné avec Firefox puis réessayez le avec Konqueror (ou IE si vous y tenez). C'est édifiant. Et pour une fois il n'y a pas d'excuse car IE n'est évidemment pas concerné !

Pourquoi ca marche pas sous mozilla ?
Code xul incompatible ?

.

Posté par BohwaZ (Jabber id, page perso, ) le 29/07/2004 à 16:49. (lien). Évalué à 6.

Ben heu en fait ça fait ramer ma machine comme pas possible, y'a fallut 2 minutes pour que je puisse killall firefox. Donc c'est pas du tout inaperçu comme effet...

--
bohwaz.net

Rouge

Posté par calvin2001 () le 29/07/2004 à 16:52. (lien). Évalué à 11.

C'est marrant, quand je bouge la souris en maintenant le bouton droit appuyé, l'interface descend et laisse du rouge à la place !
(j'ai le plugin All in One gestures... c'est peut-être ça)

Sinon, c'est vrai que ça peut être dangereux, mais personnellement, quand je vais consulter mes comptes, j'ouvre firefox, et je clique sur un bookmark... Je ne passe pas par un site que je ne connais pas qui me propose un lien vers ma banque...

C'est pas un probleme.

Posté par kruskal () le 29/07/2004 à 16:55. (lien). Évalué à 4.

Grace a cette merveilleuse technologie qu'est Palladium, MS va nous sauver.
On verrouille le firefox pour qu'il puisse plus lancer que les applis XUL signées, et hop, c'est gagné.

-1 et je ->[]

--
République bananière -- Banana Republic

juste comme ça ..

Posté par ploum (page perso, ) le 29/07/2004 à 17:08. (lien). Évalué à 3.

Il est dit que le script ne peut pas lire les préférence comme les bookmarks, etc...

Est-ce que du coup on ne peut pas imaginer un numéro qui serait propre à chaque installation de Firefox (et que l'utilisateur peut à la limite modifié) et qui se mettrait à coté du cadenas quand on est sur un site sécurisé.

On fait un random() au premier lancement de firefox et un popup apparait disant : "Faites uniquement confiance aux sites où le symbole (cadenas) 0897 apparait en faisant bien attention que c'est la valeur 0897 qui apparait et pas une autre"

La valeur peut d'ailleurs être librement modifiée.

Du coup, le pirate peut pas deviner cette valeur..

Bon, c'est vrai que ça demande un surcroit d'attention de l'utilisateur mais quand je rentre un code VISA, je fais bien attention..

De plus, le fait que javascript ne puisse pas faire disparaitre la barre en bas fausse complètement la simulation. On voit deux barres apparaitre mais c'est vrai que tout le monde ne le verrait peut-être pas...

Pas seulement firefox...

Posté par Mathieu Pillard (page perso, ) le 29/07/2004 à 17:17. (lien). Évalué à 9.

Le meme genre de choses est possible en HTML, il faut juste des images... Ya deja eu ce genre de choses sur IE d'ailleurs... Notons tout de meme que le script ne peut pas fermer la fenetre principale, ce qui limite la casse.

Coté solution, Il est question, y compris chez IE d'ailleurs, de faire en sorte d'avoir au moins la barre d'url ou la barre de status sur toutes les fenetres... Avec les dernieres améliorations de firefox dans ce domaine (coloration de la barre d'url si c'est un site sécurisé, domaine a coté du cadenas dans la barre de status) ca devrait aller.

Petit détail

Posté par governator () le 29/07/2004 à 18:44. (lien). Évalué à 1.

J'utilise l'extension webdeveloper (barre remplie d'icones particulièrement utile pour développer des pages web) et celle-ci n'apparait pas dans la fenêtre en question, est-il possible avec XUL de détecter les extensions et les afficher si nécessaire ?

Invevitable...

Posté par ufoot (page perso, ) le 29/07/2004 à 19:41. (lien). Évalué à 12.

C'est normal qu'on ait ce type de soucis.

N'importe quelle interface programmatique implantee sur un client web presente ce type de risque, et bien d'autres. A partir du moment ou le document que l'on visualise comporte plus qu'un simple document reduit a des donnees mais des donnees + du code alors on peut lancer des programmes sur le client et c'est la merde.

Oh bien sur il y a un modele de securite pour eviter les problemes. Les applets Java ont ca, les ActiveX Microsoft ont ca, JavaScript a ca aussi dans une certaine mesure. Le probleme c'est qu'il y a toujours quelque chose qu'on oublie ou qu'on ne peut pas blinder.

Quelque part implanter une machine de turing au sein d'un navigateur c'est tendre le baton pour se faire battre.

La solution XHTML/CSS en banissant les tags et assimiles est certes moins performante et souple que tous les trucs tournant autour de XUL mais au moins c'est blinde.

L'eternel dilemne de la securite: ce qui est pratique n'est pas securise, et ce qui est securise n'est pas pratique.

mouais....

Posté par Denis Bodor (page perso, ) le 29/07/2004 à 20:47. (lien). Évalué à 5.

A prendre avec des pincettes....

D'un autre coté, l'utilisateur lamba sous Windows avec son IE, si tu lui affiche une popup composée de captures et de form il risque aussi de tomber dans le panneau.

Maintenant, le problème de XUL c'est aussi sa nature. C'est un langage et donc il y à interaction. Mais de là à crier au loup...

Enfin, un message affichant un avertissement... certe. Mais vous en connaissez beaucoups des utilisateurs "normaux" et pressés qui lisent les messages, les avertissement concernant les certificats, etc... ? C'est le syndrome "ouais ouais". Exactement celui que l'on constate lors d'une première connexion ssh à un nouvel hôte "bla bla finger print bla bla".... "yes".... "pass"... finit.

Peut-etre

Posté par Chmouel Boudjnah (page perso, ) le 29/07/2004 à 20:48. (lien). Évalué à 1.

Peut-être que une des solutions serais d'utiliser un theme complètement différend de ce que le '''common user'' pourrais avoir.

je me demande comment les gens de mozilla vont pouvoir fixer ce ''bug'' ca va être compliquer car c'est un probleme ''architechturale''.

Prévenir l'utilisateur

Posté par Guillaume Knispel () le 29/07/2004 à 22:46. (lien). Évalué à 7.

Le problème c'est de démarrer aveuglement des applications sans même prévenir l'utilisateur. Et ici on à une preuve que le fait que leur contexte d'execution soit controlé n'y change rien. On aurait pu penser et souhaiter que les développeur n'aient pas refait cette erreur pourtant archi connue, et qu'ils aient au moins prévu un avertissement indiquand que ce qui va apparaitre est une appli XUL.

D'une manière générale on ne devrait plus avoir à redécouvrir que tout changement profond de contexte sans avertissement de l'utilisateur pose potentielement un problème en matière de sécurité voir dans d'autres domaines.

moi j'utilise Mozilla 1.6 et j'ai une erreur

Posté par enzodegap () le 30/07/2004 à 06:47. (lien). Évalué à 0.

C'est normal docteur ?

voilà ce que j'ai:

Erreur de parsing XML : entité non définie
Emplacement : http://www.nd.edu/~jsmith30/xul/test/browser2.xul(...)
Numéro de ligne 20, Colonne 1 :<window id="main-window"
^

[+] Ca ne concerne pas que XUL !

Posté par vincent LECOQ (Jabber id, page perso, ) le 30/07/2004 à 07:14. (lien). Évalué à -4.

Avec n'importe quel langage sous n'importe quel environement on peut faire ce genre de truc ...

Faites une appli (navigateur ...)qui ressemble trait pour trait a une autre, ajoutez lui juste un petit detail qui surveille ce que l'on fait en atttente du moment propice (url de la banque ...) et la vous faites ce qui vous chante au lieu de reagir comme prevu (afficher un fake et recuperer les infos ...)

Ca se fait bien en C/C++/VB/C#/Mono/ ... /Perl/PHP tout ce que vous voulez quoi ...

Dans ce cas, XUL permet certes de le faire sans trop de difficultees, mais j'ai deja fait aussi assez souvent de fausses banieres de login sous netware pour recuperer des pass de mes profs ...

--
Ma signature ici

Déjà presque corrigé...

Posté par Lemm () le 30/07/2004 à 08:09. (lien). Évalué à 3.

Le Bug 245406, celui qui permet d'imiter un certificat et d'activer l'icone d'information de site sécurisé est déjà corrigé depuis hier!

C'est peux être très con...

Posté par dawar (page perso, ) le 30/07/2004 à 08:30. (lien). Évalué à 4.

...mais ajouter un avertissement comme pour l'installation des .XPI a l'ouverture de .XUL reglerais le problème.
Oui, je sais, les gens cliquent sur OK sans se poser de question, mais si t'es assez con pour cliquer OK sur un avertissement sans le lire avant de donner ton numéro de CB, ben t'es con (comme dirait didier super)

La solution est simple !?!

Posté par Hive Arc (page perso, ) le 30/07/2004 à 09:11. (lien). Évalué à 3.

Elle a été déjà été employée pour Java dans les applet ou les applications webstart :

Ajouter un bandeau en bas impossible à supprimer qui précise "Application Web utilisant XUL" sur toute composant de type fenetre ou boite de dialogue.

La difficulté est dans le "impossible à supprimer" sous XUL, est qu'en Java, il y a un méchanisme de sécurité fort qui met en place un bac à sable qui epêche tout application non certifié d'accèder à toutes les fonctionalités critiques (c'est vraiment très solide comme concept car c'est un des fondement de la VM).

J'ai pas vraiment vu de concept de bac à sable en Gecko ... encore fraudrait-il que la spec de XUL le définisse bien sur ;-)

Aller pour conclure, je trouve que ni XUL, ni XAML ne sont vraiment une avancée décisive. Bien sur, ils apportent dans une certaine mesure un découpage MVC, mais l'abstraction par rapport à l'interface est loint d'être parfaite. Devoir passer son temps à "mettre en page" les composant est un travail fastidieux, et il aurait été souhaitable d'avoir une technique qui facilite celà ...

Désactiver XUL

Posté par degeu raoul (page perso, ) le 30/07/2004 à 13:00. (lien). Évalué à 0.

Je me trompe peut etre, mais pourquoi ne pas désactiver XUL ?
Dans le configure, y a une option --disable-xul.

De plus xul est un language uniquement "mozillien" ? Ce qui veut dire les pages xul ne sont 100% avec tous les navigateur du marché ?

Perso, j'en vois pas l'utilité (a tire personnel evidemment), donc je vais tester une compile du 0.9.2 en enlevent xul, on verra bien.

Correctif

Posté par j () le 31/07/2004 à 11:34. (lien). Évalué à 6.

Le réel problème vient du Javascript et plus particulièrement de window.open().

La fonction permet de créer des fenêtres vides, sans aucun élément du navigateur, donc après il est facile d'y mettre n'importe quoi y compris une fausse interface de navigateur.

Solution : ajouter dans le user.js les lignes suivantes :

user_pref(“dom.disable_window_open_feature.menubar”, true);
user_pref(“dom.disable_window_open_feature.location”, true);
user_pref(“dom.disable_window_open_feature.status”, true);

Comme expliqué ici :

http://00f.net/item/65/(...)

Une inquiétude partagée par tous...

Posté par ceituna (page perso, ) le 02/08/2004 à 07:11. (lien). Évalué à 2.

Un des trcus qui me rassurent, c'est de voir que c'est un pb qui inquiète pas mal de personnes ici... : un peu plus de 80h après la publication de la news, 7245 personnes sont allées voir la démo...

D'un coté, ca me rassure par rapport au je m'enfoutisme que je subis au quotidien... :)

Ça marche pas

Posté par oliv () le 02/08/2004 à 07:35. (lien). Évalué à 1.

Firefox 0.9.2
Rien ne se passe. Juste une page blanche avec du texte qui explique ce que je devrais voir, et quelques liens, donc un vers une capture d'écran.

Seulement, je n'ai pas toutes les options "faites ce que vous voulez avec mon ordinateur" activées (le Javascript n'est autorisé qu'à changer les images).

Et le "master security password" alors ?

Posté par Giboyle (page perso, ) le 02/08/2004 à 12:19. (lien). Évalué à 2.

Une question proche...

Paranoïaque et maniaque, j'active le Master Security Password. Que se passe-t-il si on me le fauche ? Je l'ignore, je ne sais s'il serait simple d'accéder aux mots de passe stockés, etc... En revanche, il me semble qu'il est extrèmement simple d'afficher cette fenêtre qui demande le mot de passe principal en la simulant avec un micro JavaScript et du HTML + un formulaire CGI tout bête... Pas besoin de Xuleries.

If navigateur = Moz then <niarf, niarf !> FakePopup(mssg="Quel est votre mot de passe maître ?", sendpasswdto="user123456@hotmail.com", retmssg="Merci boulet !") </niarf!>

et hop... et hop quoi, je ne sais pas, mais hop !...

Propositions faiblardes, mais propositions quand même :
- à l'installation (ou à l'activation de ce cryptage des mots de passe stockés, fonction "spécial paranos"), demander à l'utilisateur de taper une citation de son choix ou de désigner une image sur son disque, qui serait affichée sur cette Popup.
Pas la bonne image, mauvaise citation ? => l'utilisateur averti sera averti...
- Si on retient l'option d'une demande de confirmation avant exécution de code XUL (+ liste blanche de sites autorisés), on pourrait reprendre un truc de Winzip version shareware : la place des boutons était tirée au hasard, ce qui force l'attention de l'utilisateur.
- inviter le client à ne pas confier ses mots de passes essentiels à la machine est une autre manière de tourner le problème...

C'est un peu parallèle comme remarque, désolé...

Remèdes:

Posté par Romain ROUSSEAU (page perso, ) le 10/08/2004 à 14:37. (lien). Évalué à 1.

Une simple personalisation de la GUI suffit pour mettre à mal le script XUL: il est en effet impossible de lire les préférences locales, donc à moins de faire au hasard... D'ailleurs jeter un coup d'oeil dans les bookmarks suffit à s'en rendre compte (heureusement, sinon les offres publicitaires 'ciblées' en fonction des sites consultés ne tarderaient pas à fleurir ^^)

Les changements de thèmes n'y font en revanche rien: toutes les informations graphiques sont reprises depuis le protocole 'local' chrome:// .

Une autre solution envisageable (puisqu'il est impossible de demander à tous les utilisateurs de personnaliser de manière systématique l'interface, sachant de plus que des comportements typiques risquent de se mettre en place (exemple: placer une toolbar en dessous de l'address-bar, etc) serait de demander lors de l'installation/configuration de Firefox à l'utilisateur de rentrer une phrase, un mot-clé, un chiffre ou même une image perso. (pas vraiment un mot-de-passe puisqu'il se retrouverait en clair par la suite). Ce 'grain de sel?' serait stocké dans les préférences toujours, donc innaccessible à un site. Sur chaque site sécurisé, cet élément rapidement identifiable serait présent de manière évidente (exemple: en gras, sur fond rouge, sur la barre de menus).

Pas dur d'expliquer aux gens que le site est réellement sécurisé uniquement si ce petit truc est présent...
:)

A+ (c'était ma première contribution sur ce formidable site :o)

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.3453s (dont 0.0613 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.