Articles : Nouvelle forme d'arnaque : l'usurpation d'identité de site web via XUL
Posté par Pedro. Modéré le 29 juillet 2004.
Il s'agit d'un inquiétant problème de sécurité, apparemment non-résolu pour le moment.
Avec Gecko, un nouveau langage est apparu : le XUL. Ce langage permet la création d'applications complètes. Ainsi Mozilla peut servir de plate-forme pour lancer tout un tas d'applications écrites en XUL. Au premier rang de ces applications figure bien sûr le navigateur de Mozilla.
Mais voila, une nouvelle forme de « phishing » apparaît en même temps. En effet quand on fait pointer Gecko sur une URL « XUL », il lance l'application. Mais voila, que faire si la dite application simule une nouvelle fenêtre de navigation, avec l'URL de votre banque dans la barre d'adresse, un petit cadenas dans le coin, un vrai-faux certificat etc ... ?!
![[en]](../images/en.png)
Démo (9887 hits)-
Captures d'écran (6801 hits)
> Lire la dépêche (99 commentaires, moyenne: 2,7).
Vous avez demandé le commentaire #453834.
Run by 
Cette page a été générée par Templeet en 0.0543s (dont 0.0055 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
hehe
ça rends pas du tout bien, quand on force la navigation par onglet à l'aide d'un plugin :
ça affiche un navigateur dans l'onglet ;-)
du coup ; pas de risque de se tromper, non ?!
manatlan.com
[^]Re: hehe
J'ai la même chose de mon coté avec en plus le fait que ayant réorganisé un peu les différents champs de recherche et les boutons de navigation, cela ne m'apparait pas du tout comme à l'habitude.
Mais sur la plupart des firefox, on doit êtr bluffé.
Cela reste assez inquiétant car derrière cela il y a juste une utilisation de XUL "normale".
[^]Re: hehe
Comme j'ai interdit la disparition de la barre de menu et des boutons, j'ai un navigateur avec deux barres de menus et deux barres de boutons...
[^]Re: hehe
encore mieux, essayer avec la version de firefox sous macos, on a un joli
<-- fake menubar
mais sans barre, puisqu'elle est pas attachée à la fenetre, comme toute application sous macos :)
[^]Re: hehe
idem pour moi, ça fait presque pitié tellement c'est gros...
Si on généralisait la TBE et qu'on interdisait a un javascript d'ouvrir dans autre chose qu'un onglet... ça règlerait pratiquement le problème déjà.
Archetype Javascript Framework : Faites le côté client!
[^]Re: hehe
Le perfectionnement de ces techniques ne va pas tarder.
Ne te crois pas à l'abri de ce type d'arnaque.
On voit là le principal défaut inhérent à l'utilisation des mêmes technologies pour afficher une page web et l'interface de navigation.
Mis à part cela, le même type d'arnaque est possible avec IE et a déjà été utilisé depuis longtemps. Sachez qu'il est même possible d'utiliser les couleurs système pour reproduire l'interface de navigation, pour une intégration encore plus réaliste.
IE permettait (permet ?) même de créer des fenêtres sans bordures et de n'importe quelle taille. Des démonstrations d'exploits ont été publiés : ils cachaient les messages dans les boîtes de dialogue d'avertissement, tel qu'à l'installation de composants ActiveX.
[^]Re: hehe
j'ai déjà vu les fenêtres sans bords sous IE, et une fois j'ai croisé une fenêtre avec bordure, mais dont la petite croix pour la fermer était recouverte par une image de cette croix avec un lien html lançant un autre site (on s'en apercevait à cause d'une petite ligne pointillée tout autour)
et le menu du bouton de la barre des taches était desactivé, ou disparaissait dans la miliseconde ou on cliquait, je sais plus.
y a pas que sous Firefox qu'on peut faire des conneries de ce genre :)