Une simple personalisation de la GUI suffit pour mettre à mal le script XUL: il est en effet impossible de lire les préférences locales, donc à moins de faire au hasard... D'ailleurs jeter un coup d'oeil dans les bookmarks suffit à s'en rendre compte (heureusement, sinon les offres publicitaires 'ciblées' en fonction des sites consultés ne tarderaient pas à fleurir ^^)
Les changements de thèmes n'y font en revanche rien: toutes les informations graphiques sont reprises depuis le protocole 'local' chrome:// .
Une autre solution envisageable (puisqu'il est impossible de demander à tous les utilisateurs de personnaliser de manière systématique l'interface, sachant de plus que des comportements typiques risquent de se mettre en place (exemple: placer une toolbar en dessous de l'address-bar, etc) serait de demander lors de l'installation/configuration de Firefox à l'utilisateur de rentrer une phrase, un mot-clé, un chiffre ou même une image perso. (pas vraiment un mot-de-passe puisqu'il se retrouverait en clair par la suite). Ce 'grain de sel?' serait stocké dans les préférences toujours, donc innaccessible à un site. Sur chaque site sécurisé, cet élément rapidement identifiable serait présent de manière évidente (exemple: en gras, sur fond rouge, sur la barre de menus).
Pas dur d'expliquer aux gens que le site est réellement sécurisé uniquement si ce petit truc est présent...
:)
A+ (c'était ma première contribution sur ce formidable site :o)
# Remèdes:
Posté par Romain ROUSSEAU . En réponse à la dépêche Nouvelle forme d'arnaque : l'usurpation d'identité de site web via XUL. Évalué à 1.
Les changements de thèmes n'y font en revanche rien: toutes les informations graphiques sont reprises depuis le protocole 'local' chrome:// .
Une autre solution envisageable (puisqu'il est impossible de demander à tous les utilisateurs de personnaliser de manière systématique l'interface, sachant de plus que des comportements typiques risquent de se mettre en place (exemple: placer une toolbar en dessous de l'address-bar, etc) serait de demander lors de l'installation/configuration de Firefox à l'utilisateur de rentrer une phrase, un mot-clé, un chiffre ou même une image perso. (pas vraiment un mot-de-passe puisqu'il se retrouverait en clair par la suite). Ce 'grain de sel?' serait stocké dans les préférences toujours, donc innaccessible à un site. Sur chaque site sécurisé, cet élément rapidement identifiable serait présent de manière évidente (exemple: en gras, sur fond rouge, sur la barre de menus).
Pas dur d'expliquer aux gens que le site est réellement sécurisé uniquement si ce petit truc est présent...
:)
A+ (c'était ma première contribution sur ce formidable site :o)