Articles : Nouvelle forme d'arnaque : l'usurpation d'identité de site web via XUL
Posté par Pedro. Modéré le 29 juillet 2004.
Il s'agit d'un inquiétant problème de sécurité, apparemment non-résolu pour le moment.
Avec Gecko, un nouveau langage est apparu : le XUL. Ce langage permet la création d'applications complètes. Ainsi Mozilla peut servir de plate-forme pour lancer tout un tas d'applications écrites en XUL. Au premier rang de ces applications figure bien sûr le navigateur de Mozilla.
Mais voila, une nouvelle forme de « phishing » apparaît en même temps. En effet quand on fait pointer Gecko sur une URL « XUL », il lance l'application. Mais voila, que faire si la dite application simule une nouvelle fenêtre de navigation, avec l'URL de votre banque dans la barre d'adresse, un petit cadenas dans le coin, un vrai-faux certificat etc ... ?!
![[en]](../images/en.png)
Démo (9887 hits)-
Captures d'écran (6801 hits)
> Lire la dépêche (99 commentaires, moyenne: 2,7).
Vous avez demandé le commentaire #453760.
Run by 
Cette page a été générée par Templeet en 0.0755s (dont 0.0101 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
[+] Oui mais..
Et pour une fois il n'y a pas d'excuse car IE n'est évidemment pas concerné !
Oui mais au moins ça ne mettra pas 8 mois à être corrigé.
[^]Re: Oui mais..
Qu'est ce qui te permet de faire cette prediction optimiste ?
Le probleme souleve est au coeur du fonctionnement de XUL. A premiere vue, le spoofer fait exactement ce pour quoi XUL a ete prevu. Donc la facon la plus simple de remedier au probleme, c'est de supprimer l'execution XUL. Ah ouai, mais ca risque de serieuseement diminuer les possiblites du browser.
Bref, avant de predire, j'attends de vois ce que va proposer la communaute mozilla.
phil.freehackers.org
[^]Re: Oui mais..
Java permettait déjà de faire ça, et les navigateurs ont contourné le problème en affichant un bandeau jaune "attention, ceci est une applet". Il suffit de faire pareil, d'une manière ou d'une autre, et de marquer les applications qui ne sont pas "fiables".
[^]Re: Oui mais..
Si on fait Informations sur la page, on voit que l'url n'est pas la meme que celle indiquée dans la fausse barre d'adresse.
Peut etre qu'une detection à ce niveau pourrait limiter les supercheries.
Tout comme les Marque-pages qui sont vides et d'autres menus incomplet. Je ne sais pas si avec XUL on peut recuperer les favoris du profil ou si le gars n'est pas allé jusqu'au bout de l'imitation de la fenetre...
[^]Re: Oui mais..
Tout comme les Marque-pages qui sont vides et d'autres menus incomplet. Je ne sais pas si avec XUL on peut recuperer les favoris du profil ou si le gars n'est pas allé jusqu'au bout de l'imitation de la fenetre...
Les deux. D'après le premier lien, il suffirait de quelqu'un d'assez motivé pour tout coder avec la restriction que XUL ne peut aller lire les préférences.
Le scheme c'est bien.
[^]Re: Oui mais..
XUL ne peut aller lire les préférences.
C'est peut-être là que se trouve la solution. Il faudrait mettre dans les préférences un truc "à soi", pas exemple une icone, un style, un truc visuel. XUL ne pouvant y accéder, on verrait - au sens propre - tout de suite la différence.
C'est ce qui se passe avec les favoris sur cette démo ; là il faut ouvrir le menu bookmarks pour voir le contenu et se rendre compte de la supercherie, mais on pourrait tout à fait avoir quelque chose de plus visuel directement.
[^]Re: Oui mais..
Oui mais non. À tout réglage il faudra une valeur par défaut, et s'il y a une valeur par défaut, au moins 80% des gens ne la changera jamais. Pour que ce soit sûr, il faut que ça ne dépend pas d'une action de l'utilisateur.
L'attaque consiste à faire une interface B qui ressemble à l'interface A. Le schéma de solution contre cette attaque, c'est d'imposer quelque chose qui s'affiche sur l'interface B et pas sur l'interface A. Ainsi il est impossible de faire une interface B qui ressemble à A, et ça ne dépend pas de l'utilisateur.
Ici ça doit être simple à mettre en oeuvre: une fenêtre contenant une interface non fiable doit imposer quelque chose de visuel pour la différencier d'une interface fiable (ici: une fenêtre venant du logiciel et pas d'un code externe).
[^]Re: Oui mais..
<troll>
8 mois ? C'est bizarre, il me semblait que tous les problèmes liés à l'ActiveX ne sont pas encore corrigé pourtant
</troll>
[^]Re: Oui mais..
C'est quoi les problèmes liés à l'ActiveX?
[+] [^]Re: Oui mais..
C'est quoi l'ActiveX ?
[+] [^]Re: Oui mais..
L'activeX ?
[^]Re: Oui mais..
Non, non, on écrit : Hacktiviste
[+] [^]Re: Oui mais..
La quoi ?
[+] [^]Re: Oui mais..
l'aqua ? c'est un truc des macs
(allez-y elle est facile)
[^]Re: Oui mais..
c'est encore un truc pour les sites coquins ? Je connais pas celui-là...
A moins que ce ne soit encore un fork de XFree ?