Il s'agit d'un inquiétant problème de sécurité, apparemment non-résolu pour le moment.
Avec Gecko, un nouveau langage est apparu : le XUL. Ce langage permet la création d'applications complètes. Ainsi Mozilla peut servir de plate-forme pour lancer tout un tas d'applications écrites en XUL. Au premier rang de ces applications figure bien sûr le navigateur de Mozilla.
Mais voila, une nouvelle forme de « phishing » apparaît en même temps. En effet quand on fait pointer Gecko sur une URL « XUL », il lance l'application. Mais voila, que faire si la dite application simule une nouvelle fenêtre de navigation, avec l'URL de votre banque dans la barre d'adresse, un petit cadenas dans le coin, un vrai-faux certificat etc ... ?! Essayez le lien donné avec Firefox puis réessayez le avec Konqueror (ou IE si vous y tenez). C'est édifiant. Et pour une fois il n'y a pas d'excuse car IE n'est évidemment pas concerné !
Le second lien donne une capture d'écran si vous n'avez pas un Gecko sous la main.
Aller plus loin
- Démo (34 clics)
- Captures d'écran (34 clics)
# hehe
Posté par manatlan (site web personnel) . Évalué à 10.
ça affiche un navigateur dans l'onglet ;-)
du coup ; pas de risque de se tromper, non ?!
[^] # Re: hehe
Posté par Nim . Évalué à 3.
Mais sur la plupart des firefox, on doit êtr bluffé.
Cela reste assez inquiétant car derrière cela il y a juste une utilisation de XUL "normale".
[^] # Re: hehe
Posté par liparis . Évalué à 4.
[^] # Re: hehe
Posté par iznogoud . Évalué à 1.
<-- fake menubar
mais sans barre, puisqu'elle est pas attachée à la fenetre, comme toute application sous macos :)
[^] # Re: hehe
Posté par Temsa (site web personnel) . Évalué à 3.
Si on généralisait la TBE et qu'on interdisait a un javascript d'ouvrir dans autre chose qu'un onglet... ça règlerait pratiquement le problème déjà.
[^] # Re: hehe
Posté par Dolmen (site web personnel) . Évalué à 3.
Ne te crois pas à l'abri de ce type d'arnaque.
On voit là le principal défaut inhérent à l'utilisation des mêmes technologies pour afficher une page web et l'interface de navigation.
Mis à part cela, le même type d'arnaque est possible avec IE et a déjà été utilisé depuis longtemps. Sachez qu'il est même possible d'utiliser les couleurs système pour reproduire l'interface de navigation, pour une intégration encore plus réaliste.
IE permettait (permet ?) même de créer des fenêtres sans bordures et de n'importe quelle taille. Des démonstrations d'exploits ont été publiés : ils cachaient les messages dans les boîtes de dialogue d'avertissement, tel qu'à l'installation de composants ActiveX.
Mainteneur de LiquidPrompt - https://github.com/nojhan/liquidprompt
[^] # Re: hehe
Posté par Nap . Évalué à 5.
et le menu du bouton de la barre des taches était desactivé, ou disparaissait dans la miliseconde ou on cliquait, je sais plus.
y a pas que sous Firefox qu'on peut faire des conneries de ce genre :)
# Oui mais..
Posté par Vincent (site web personnel) . Évalué à -3.
Oui mais au moins ça ne mettra pas 8 mois à être corrigé.
[^] # Re: Oui mais..
Posté par Philippe F (site web personnel) . Évalué à 10.
Le probleme souleve est au coeur du fonctionnement de XUL. A premiere vue, le spoofer fait exactement ce pour quoi XUL a ete prevu. Donc la facon la plus simple de remedier au probleme, c'est de supprimer l'execution XUL. Ah ouai, mais ca risque de serieuseement diminuer les possiblites du browser.
Bref, avant de predire, j'attends de vois ce que va proposer la communaute mozilla.
[^] # Re: Oui mais..
Posté par Yusei (Mastodon) . Évalué à 10.
[^] # Re: Oui mais..
Posté par Lorrainezo . Évalué à 3.
Peut etre qu'une detection à ce niveau pourrait limiter les supercheries.
Tout comme les Marque-pages qui sont vides et d'autres menus incomplet. Je ne sais pas si avec XUL on peut recuperer les favoris du profil ou si le gars n'est pas allé jusqu'au bout de l'imitation de la fenetre...
[^] # Re: Oui mais..
Posté par Nicolas Évrard (site web personnel, Mastodon) . Évalué à 5.
Tout comme les Marque-pages qui sont vides et d'autres menus incomplet. Je ne sais pas si avec XUL on peut recuperer les favoris du profil ou si le gars n'est pas allé jusqu'au bout de l'imitation de la fenetre...
Les deux. D'après le premier lien, il suffirait de quelqu'un d'assez motivé pour tout coder avec la restriction que XUL ne peut aller lire les préférences.
[^] # Re: Oui mais..
Posté par jigso . Évalué à 2.
C'est peut-être là que se trouve la solution. Il faudrait mettre dans les préférences un truc "à soi", pas exemple une icone, un style, un truc visuel. XUL ne pouvant y accéder, on verrait - au sens propre - tout de suite la différence.
C'est ce qui se passe avec les favoris sur cette démo ; là il faut ouvrir le menu bookmarks pour voir le contenu et se rendre compte de la supercherie, mais on pourrait tout à fait avoir quelque chose de plus visuel directement.
[^] # Re: Oui mais..
Posté par Yusei (Mastodon) . Évalué à 3.
L'attaque consiste à faire une interface B qui ressemble à l'interface A. Le schéma de solution contre cette attaque, c'est d'imposer quelque chose qui s'affiche sur l'interface B et pas sur l'interface A. Ainsi il est impossible de faire une interface B qui ressemble à A, et ça ne dépend pas de l'utilisateur.
Ici ça doit être simple à mettre en oeuvre: une fenêtre contenant une interface non fiable doit imposer quelque chose de visuel pour la différencier d'une interface fiable (ici: une fenêtre venant du logiciel et pas d'un code externe).
[^] # Re: Oui mais..
Posté par Gregory Auzanneau (site web personnel) . Évalué à 0.
8 mois ? C'est bizarre, il me semblait que tous les problèmes liés à l'ActiveX ne sont pas encore corrigé pourtant
</troll>
[^] # Re: Oui mais..
Posté par tripa . Évalué à 0.
[^] # Re: Oui mais..
Posté par Xmanu . Évalué à -1.
[^] # Re: Oui mais..
Posté par Dafatfab . Évalué à -3.
[^] # Re: Oui mais..
Posté par peco . Évalué à 3.
[^] # Re: Oui mais..
Posté par Philippe Martin . Évalué à -4.
[^] # Re: Oui mais..
Posté par Nap . Évalué à -5.
(allez-y elle est facile)
[^] # Re: Oui mais..
Posté par ploum (site web personnel, Mastodon) . Évalué à 1.
A moins que ce ne soit encore un fork de XFree ?
Mes livres CC By-SA : https://ploum.net/livres.html
# et mozilla ?
Posté par M . Évalué à 2.
Pourquoi ca marche pas sous mozilla ?
Code xul incompatible ?
[^] # Re: et mozilla ?
Posté par titi toto . Évalué à 1.
[^] # Re: et mozilla ?
Posté par pasPierre pasTramo . Évalué à 6.
S'il veux il en fait un pour mozilla.
En fait je pense que pour s'appliquer, il faudrait que suivant le type de navigateur sur la page, il lance le xul correspondant.
[^] # Re: et mozilla ?
Posté par Infernal Quack (site web personnel) . Évalué à 9.
Franchement c'était évident ce genre de truc. Je ne vois même pas comment l'équipe Mozilla n'a pas pu y penser plus tôt.
Vive le Web en (X)HTML / CSS.
A mort XAML / XUL. : ça n'a rien à faire sur le Web.
P.S. : Trop gros ?
L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire
[^] # Re: et mozilla ?
Posté par Nicolas Évrard (site web personnel, Mastodon) . Évalué à 0.
T'as bien raison, retournons tous à lynx
Je crois lui avoir donner encore un peu plus d'embonpoint.
[^] # Re: et mozilla ?
Posté par chl (site web personnel) . Évalué à -2.
Non merci, IE est protégé, merci Wine \o/.
Je crois lui avoir donner encore un peu plus d'embonpoint.
J'espere qu'il ne va pas nous lacher ! /o\
Allez tiens bon !!
[^] # Re: et mozilla ?
Posté par Raphaël G. (site web personnel) . Évalué à 1.
XML Parsing Error: undefined entity
Location: http://www.nd.edu/~jsmith30/xul/test/browser.xul(...)
Line Number 20, Column 1:<window id="main-window"
^
mozilla-1.7 powaaa je suis protégé...
plus sérieusement, quand tu va sur ta banque t'est pas trop stupide tu prend ton lien dans les bookmark où tu retappe l'adresse dans ta bare d'adresse, ça évite les ennuis!!!
pis pour tout les afficionadaus de la sauvegarde des login+md5, ça paraît louche quand sur la même page t'a ton mdp qui apparait plus!!!
[^] # Re: et mozilla ?
Posté par Florent Bayle (site web personnel) . Évalué à 1.
# .
Posté par BohwaZ (site web personnel, Mastodon) . Évalué à 6.
« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)
[^] # Re: .
Posté par Gon0S (site web personnel) . Évalué à 1.
[^] # Re: .
Posté par Philippe MAES (site web personnel) . Évalué à 2.
[^] # Re: .
Posté par Fabimaru (site web personnel) . Évalué à 2.
# Rouge
Posté par calvin2001 . Évalué à 10.
(j'ai le plugin All in One gestures... c'est peut-être ça)
Sinon, c'est vrai que ça peut être dangereux, mais personnellement, quand je vais consulter mes comptes, j'ouvre firefox, et je clique sur un bookmark... Je ne passe pas par un site que je ne connais pas qui me propose un lien vers ma banque...
# C'est pas un probleme.
Posté par kruskal . Évalué à 4.
On verrouille le firefox pour qu'il puisse plus lancer que les applis XUL signées, et hop, c'est gagné.
-1 et je ->[]
[^] # Re: C'est pas un probleme.
Posté par tgl . Évalué à 6.
En fait je comprends mal pourquoi ça n'a pas été prévu d'ailleurs. Peut-être qu'ils se sont dit que comme le code exécutable par défaut était uniquement du code d'interface, il ne pouvait rien faire de mal. Quelqu'un en sait plus ?
[^] # Re: C'est pas un probleme.
Posté par tux77 . Évalué à -1.
Quand je vois le paquet d'enuis (spiware, virus) que l'on peut récupérer via des applications soit disant de confiance, je reste franchement dubitatif.
La signature ne garantie en aucune manière que l'application exécutée est exempte de code malicieux.
# juste comme ça ..
Posté par ploum (site web personnel, Mastodon) . Évalué à 3.
Est-ce que du coup on ne peut pas imaginer un numéro qui serait propre à chaque installation de Firefox (et que l'utilisateur peut à la limite modifié) et qui se mettrait à coté du cadenas quand on est sur un site sécurisé.
On fait un random() au premier lancement de firefox et un popup apparait disant : "Faites uniquement confiance aux sites où le symbole (cadenas) 0897 apparait en faisant bien attention que c'est la valeur 0897 qui apparait et pas une autre"
La valeur peut d'ailleurs être librement modifiée.
Du coup, le pirate peut pas deviner cette valeur..
Bon, c'est vrai que ça demande un surcroit d'attention de l'utilisateur mais quand je rentre un code VISA, je fais bien attention..
De plus, le fait que javascript ne puisse pas faire disparaitre la barre en bas fausse complètement la simulation. On voit deux barres apparaitre mais c'est vrai que tout le monde ne le verrait peut-être pas...
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: juste comme ça ..
Posté par ploum (site web personnel, Mastodon) . Évalué à 3.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: juste comme ça ..
Posté par Mathieu Pillard (site web personnel) . Évalué à 7.
[^] # Re: juste comme ça ..
Posté par mouling . Évalué à 2.
[^] # Re: juste comme ça ..
Posté par Mathieu Pillard (site web personnel) . Évalué à 4.
[^] # Re: juste comme ça ..
Posté par Martial BRAUX (site web personnel) . Évalué à 0.
<window title="Ma Page"
titlemodifier=" - FireFox"
...>
...
[^] # Re: juste comme ça ..
Posté par Infernal Quack (site web personnel) . Évalué à 5.
Le meilleur moyen c'est de désactiver XUL pour des urls autres que local. De toutes façons XUL c'est avant tout un toolkit pour faire des applications et si tu veux utiliser une application XUL comme le machin Amazon truc, tu le télécharges en local.
Je ne connais pas de site en XUL dynamique (pas toujours le même XUL) pour l'instant donc désactiver XUL pour des urls distantes ça ne posera aucun problème.
Et franchement XUL tant qu'ils ont pas nettoyer le code (séparer XUL / gecko / Mozilla /...) ça n'a aucun intérêt.
L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire
[^] # Re: juste comme ça ..
Posté par LeMagicien Garcimore . Évalué à 6.
Et en faisant un système comme pour le bloquage des paupeupes ? Avec une list de sites ayant le droit "d'executer" du XUL ?
[^] # Re: juste comme ça ..
Posté par lesensei . Évalué à 0.
Donc bon... pas facile de trouver une vraie solution...
[^] # Re: juste comme ça ..
Posté par Black Fox . Évalué à 3.
# Pas seulement firefox...
Posté par Mathieu Pillard (site web personnel) . Évalué à 9.
Coté solution, Il est question, y compris chez IE d'ailleurs, de faire en sorte d'avoir au moins la barre d'url ou la barre de status sur toutes les fenetres... Avec les dernieres améliorations de firefox dans ce domaine (coloration de la barre d'url si c'est un site sécurisé, domaine a coté du cadenas dans la barre de status) ca devrait aller.
[^] # Re: Pas seulement firefox...
Posté par ZeroHeure . Évalué à 5.
Non non non, il suffit d'aller sur le site de la démo et de faire un effort pour lire le texte - oui c'est de l'anglais:
What will NOT fix this particular problem (...)
* Placing a certificate's OU or trusted domain in the status bar, location bar, or anywhere else (see Bug 245406). As the bad guy, I have complete control over everything on the screen (well, almost). Any extra displays can be faked just as easily as the location bar was faked. (If you think coloring the location bar [Bug 244025] solves this problem, think again. I can do colors with about 2 lines of CSS).
-----> une coloration, un domaine ou un cadenas ne changeront rien
* Blocking access to (parts or all of) chrome:// from remote websites. While that would make the bad guy's job harder, he can still instruct Firefox to load all the relevant XULs from his webserver. As it is, I had only to provide a couple XULs (browser.xul and a somewhat-merged pageInfo.xul/PageInfoOverlay.xul). Total download: less than 100kb. Everything else comes from local chrome:// stuff.
-----> il peut reprendre tes marques-pages, tes préférences particulières
* Relying on this message. I bypass it by assembling the form-submit URL in Javascript.
-----> un message d'avertissement ne change rien
C'est la fin du monde !!
C'est la vengeance du grand Bill ?
"La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
[^] # Re: Pas seulement firefox...
Posté par Mathieu Pillard (site web personnel) . Évalué à 5.
[^] # Re: Pas seulement firefox...
Posté par Tobu . Évalué à 1.
[^] # Re: Pas seulement firefox...
Posté par Mathieu Pillard (site web personnel) . Évalué à 2.
[^] # Re: Pas seulement firefox...
Posté par Jul (site web personnel) . Évalué à 3.
[^] # évolution
Posté par Marc Lacoste . Évalué à 0.
[^] # Re: Pas seulement firefox...
Posté par Mathieu Pillard (site web personnel) . Évalué à 3.
Accessoirement, si firefox fait ca (avoir toujours la statusbar toujours visible, avec le domaine et l'icone indiquant un site sécurisée) on peut imaginer des banques et autres qui iraient dire: utilisez firefox, vous saurez toujours certain d'etre sur notre site, vu que le domaine est indiqué clairement a part, et tout le temps.
[^] # Re: Pas seulement firefox...
Posté par Jul (site web personnel) . Évalué à 1.
Je veux dire imagines toi depuis une heure, ou des années habitués à surfer, tu imagines vraiment que l'on prête une attention à une petite image qui représente 1 demi pourcent de la surface même quand on en connaît la signification (bouton de sécu) ou même à la status barre, dans laquelle il n'y quasiment jamais autre chose que "done" qui elle est non seulement 'terne' mais en plus représente une surface de 2 à 5% à la périphérie de la vision ?
Soyons réalistes deux minutes, je ne suis pas hyper attentif à ses trucs là car ce n'est tout simplement *pas* possible d'être vigilant à ce point. C'est comme avoir un tout petit compteur de vitesse noyé sur un tableau de bord hyper chargé cela gêne un rien la lisibilité.
[^] # Re: Pas seulement firefox...
Posté par Mathieu Pillard (site web personnel) . Évalué à 2.
Je sais bien que c'est pas simple. Mais tu as d'autres solutions ? Faire une fausse interface ne demande pas forcement XUL, ca n'a rien de nouveau, donc globalement, c'est soit ca, soit rien. Ou alors donnes une solution magique :)
[^] # Re: Pas seulement firefox...
Posté par Jul (site web personnel) . Évalué à 0.
Je n'ai pas de solution, je ne suis pas magicien, et je ne vais pas faire semblant de rien voir sous prétexte que c'est du libre. Les personnes honnêtes admettent qu'ils seraient bien de regarder la barre de statut, et les personnes honnêtes dans la vie de tous les jours s'apercevront qu'elles ne regardent pas la barre de statut qui est petite, placée en périphérie du brouteur, et rarement informative.
Savoir reconnaître problème quand il se présente, c'est éventuellement se donner les moyens de trouver une solution. Ignorer les problèmes ne les résoud pas, sauf si l'on attend suffisamment longtemps.
[^] # Re: Pas seulement firefox...
Posté par Anonyme . Évalué à 1.
Quel rapport avec le libre ? La question qui se pose n'est pas liée au fait qu'il question de logiciel libre.
"les personnes honnêtes dans la vie de tous les jours s'apercevront qu'elles ne regardent pas la barre de statut qui est petite, placée en périphérie du brouteur, et rarement informative."
Moi je le regare tout le temps : elle indique l'url des liens... Je ne pense pas être le seul dans le cas.
Cette barre n'est sans doute pas suffisante pour régler le problème car, en effet,tout les utilisateurs ne la regardent pas. Il ne faudrait pas pour autant raconter n'importe quoi en disant que personne ne la regarde.
[^] # Re: Pas seulement firefox...
Posté par Mathieu Pillard (site web personnel) . Évalué à 2.
D'autres idées sur http://bugzilla.mozilla.org/show_bug.cgi?id=252198,(...) mais uniquement concernant le probleme XUL.:
[^] # Re: Pas seulement firefox...
Posté par Jul (site web personnel) . Évalué à 1.
De même que je trouve que emacs est anti-ergonomique au possible avec ses raccourcis claviers pour anciens virtuoses de piano, de même que je n'utilise pas lynx mais firefox, de même que je déteste word et windows pour les assistants, les trop nombreuses fonctionnalités mal classées.
J'utilise firefox pour lire des pages webs, et je n'ai pas envie de m'adapter à l'outil parce qu'il a une faiblesse. Solution : exit firefox => vive konqueror, et pour les vrais nerds pour être sûr de détecter les malwares, je crois qu'il faudrait envisager le telnet sur le port 80 directement: comme ça aucun code malveillant ne sera interprété par une machine idiote.
http://www.m-w.com/cgi-bin/dictionary?book=Dictionary&va=nerd(...)
[^] # Re: Pas seulement firefox...
Posté par Mathieu Pillard (site web personnel) . Évalué à 2.
Une simple page web suffit.
La partie du probleme qui a motivé la news, le fait que ca soit faisable en xul, est en train d'etre résolu dans mozilla/firefox, Mais ca ne change pas le fond du probleme: en se motivant un peu c'est facile de faire une fausse ui avec simplement css, html, javascript et des images.
Et pour contrer ca, ya 2 solutions:
- ne pas ouvrir la moindre popup, ou alors uniquement dans des tabs
- ne pas autoriser les popups a cacher certains elements comme la status bar.
La premiere solution est techniquement possible, et activable tres facilement dans firefox/moz, mais aucun utilisateur n'en voudra. Donc, faute de mieux, IE comme firefox s'orientent vers la seconde. J'ose esperer que konqueror trouvera mieux ou fera pareil, sinon il sera tout aussi vulnerable.
[^] # Re: Pas seulement firefox...
Posté par Mildred (site web personnel) . Évalué à 1.
Ce n'est pas du tout difficile.
# Petit détail
Posté par governator . Évalué à 1.
[^] # Re: Petit détail
Posté par Yann Voegel . Évalué à 1.
[^] # Re: Petit détail
Posté par Martial BRAUX (site web personnel) . Évalué à 1.
[^] # Re: Petit détail
Posté par gabuzo . Évalué à 1.
# Invevitable...
Posté par ufoot (site web personnel) . Évalué à 10.
N'importe quelle interface programmatique implantee sur un client web presente ce type de risque, et bien d'autres. A partir du moment ou le document que l'on visualise comporte plus qu'un simple document reduit a des donnees mais des donnees + du code alors on peut lancer des programmes sur le client et c'est la merde.
Oh bien sur il y a un modele de securite pour eviter les problemes. Les applets Java ont ca, les ActiveX Microsoft ont ca, JavaScript a ca aussi dans une certaine mesure. Le probleme c'est qu'il y a toujours quelque chose qu'on oublie ou qu'on ne peut pas blinder.
Quelque part implanter une machine de turing au sein d'un navigateur c'est tendre le baton pour se faire battre.
La solution XHTML/CSS en banissant les tags et assimiles est certes moins performante et souple que tous les trucs tournant autour de XUL mais au moins c'est blinde.
L'eternel dilemne de la securite: ce qui est pratique n'est pas securise, et ce qui est securise n'est pas pratique.
[^] # Re: Invevitable...
Posté par gabuzo . Évalué à 6.
Et encore avec des buffer overflows créés avec amour certains on réussi à exécuter du code arbitraire inclus dans des images JPEG.
[^] # Re: Invevitable...
Posté par ufoot (site web personnel) . Évalué à 2.
Il fallait lire:
La solution XHTML/CSS en banissant les tags <script> et assimiles
filtrés par templeet donc 8-)
# mouais....
Posté par Denis Bodor (site web personnel) . Évalué à 5.
D'un autre coté, l'utilisateur lamba sous Windows avec son IE, si tu lui affiche une popup composée de captures et de form il risque aussi de tomber dans le panneau.
Maintenant, le problème de XUL c'est aussi sa nature. C'est un langage et donc il y à interaction. Mais de là à crier au loup...
Enfin, un message affichant un avertissement... certe. Mais vous en connaissez beaucoups des utilisateurs "normaux" et pressés qui lisent les messages, les avertissement concernant les certificats, etc... ? C'est le syndrome "ouais ouais". Exactement celui que l'on constate lors d'une première connexion ssh à un nouvel hôte "bla bla finger print bla bla".... "yes".... "pass"... finit.
# Peut-etre
Posté par Chmouel Boudjnah . Évalué à 1.
je me demande comment les gens de mozilla vont pouvoir fixer ce ''bug'' ca va être compliquer car c'est un probleme ''architechturale''.
[^] # Re: Peut-etre
Posté par Matthieu Moy (site web personnel) . Évalué à 2.
Si c'est du XUL, ça s'adapte à ton thème, donc, ton idée ne marche pas.
[^] # Re: Peut-etre
Posté par Chmouel Boudjnah . Évalué à 1.
# Prévenir l'utilisateur
Posté par Guillaume Knispel . Évalué à 7.
D'une manière générale on ne devrait plus avoir à redécouvrir que tout changement profond de contexte sans avertissement de l'utilisateur pose potentielement un problème en matière de sécurité voir dans d'autres domaines.
# moi j'utilise Mozilla 1.6 et j'ai une erreur
Posté par enzodegap . Évalué à 0.
voilà ce que j'ai:
Erreur de parsing XML : entité non définie
Emplacement : http://www.nd.edu/~jsmith30/xul/test/browser2.xul(...)
Numéro de ligne 20, Colonne 1 :<window id="main-window"
^
[^] # Re: moi j'utilise Mozilla 1.6 et j'ai une erreur
Posté par ashram4 . Évalué à 0.
[^] # Re: moi j'utilise Mozilla 1.6 et j'ai une erreur
Posté par tgl . Évalué à 5.
[^] # Re: moi j'utilise Mozilla 1.6 et j'ai une erreur
Posté par Maxx . Évalué à 4.
Faut lire un peu => This spoof is designed for Firefox 0.9 and later.
# Ca ne concerne pas que XUL !
Posté par vincent LECOQ (site web personnel) . Évalué à -4.
Faites une appli (navigateur ...)qui ressemble trait pour trait a une autre, ajoutez lui juste un petit detail qui surveille ce que l'on fait en atttente du moment propice (url de la banque ...) et la vous faites ce qui vous chante au lieu de reagir comme prevu (afficher un fake et recuperer les infos ...)
Ca se fait bien en C/C++/VB/C#/Mono/ ... /Perl/PHP tout ce que vous voulez quoi ...
Dans ce cas, XUL permet certes de le faire sans trop de difficultees, mais j'ai deja fait aussi assez souvent de fausses banieres de login sous netware pour recuperer des pass de mes profs ...
[^] # Re: Ca ne concerne pas que XUL !
Posté par tgl . Évalué à 3.
> tout ce que vous voulez quoi ...
L'originalité n'est pas dans le fake (ça effectivement, c'est plutôt un classique des troyens), mais dans la façon dont la victime se retrouve à l'exécuter. Ici, suivre un lien web suffit, mozilla s'occupera du reste. Ça ne serait pas le cas avec autre chose que XUL (encore heureux qu'il n'est pas si facile de faire exécuter n'importe quel bout de C chez quelqu'un...).
# Déjà presque corrigé...
Posté par Lemm . Évalué à 3.
# C'est peux être très con...
Posté par dawar (site web personnel) . Évalué à 4.
Oui, je sais, les gens cliquent sur OK sans se poser de question, mais si t'es assez con pour cliquer OK sur un avertissement sans le lire avant de donner ton numéro de CB, ben t'es con (comme dirait didier super)
[^] # Re: C'est peux être très con...
Posté par Guillaume Gimenez (site web personnel) . Évalué à 4.
En revanche, ce sont ces mêmes cons qui te dirons que Mozilla c'est de la merde pas sécurisée. C'est pourquoi je pense que le correctif doit être boulet-proof.
Par ailleurs, ces cons sont en général des gens qu'on aime, qui ne comprennent rien au charabia des popups d'erreur et de warning et qui cliquent sur OK parce que c'est de coutume sur leur OS préféré^Wimposé. D'ailleurs où s'arrête l'OS et où commence l'appli pour eux ?
Pas simple...
[^] # Re: C'est peux être très con...
Posté par Olivier Serve (site web personnel) . Évalué à 7.
Il faut virer tous les "OK", "Oui" et "Non" des boîtes de dialogue et mettre systématiquement un verbe. Ainsi, l'utilisateur a conscience de lancer une action et donc que son choix n'est pas sans conséquence.
Evidemment, mettre une fenêtre avec le seul bouton "Accepter", c'est aussi stupide.
[^] # Re: C'est peux être très con...
Posté par ceituna (site web personnel) . Évalué à 1.
Rassure-moi : tu n'as pas de brevet sur cette idée ? :p)
# La solution est simple !?!
Posté par Hive Arc . Évalué à 3.
Ajouter un bandeau en bas impossible à supprimer qui précise "Application Web utilisant XUL" sur toute composant de type fenetre ou boite de dialogue.
La difficulté est dans le "impossible à supprimer" sous XUL, est qu'en Java, il y a un méchanisme de sécurité fort qui met en place un bac à sable qui epêche tout application non certifié d'accèder à toutes les fonctionalités critiques (c'est vraiment très solide comme concept car c'est un des fondement de la VM).
J'ai pas vraiment vu de concept de bac à sable en Gecko ... encore fraudrait-il que la spec de XUL le définisse bien sur ;-)
Aller pour conclure, je trouve que ni XUL, ni XAML ne sont vraiment une avancée décisive. Bien sur, ils apportent dans une certaine mesure un découpage MVC, mais l'abstraction par rapport à l'interface est loint d'être parfaite. Devoir passer son temps à "mettre en page" les composant est un travail fastidieux, et il aurait été souhaitable d'avoir une technique qui facilite celà ...
[^] # Re: La solution est simple !?!
Posté par Jean-Marc Leroy . Évalué à 1.
...mais je pense que ce problème illustre bien la nécessité de ne pas en arriver à un monopole. Ni un bipole (ça se dit?) ou un tripole (pareil?) avec IE, Mozilla et Opera... Avec cinq ou six navigateurs grand public bien répandus, tu limites méchamment la portée de ce genre d'attaques : qui se ferait chier à coder des pièges qui ne fonctionneraient que pour une tranche limitée de la population internaute?
[^] # Re: La solution est simple !?!
Posté par tgl . Évalué à 2.
[^] # Re: La solution est simple !?!
Posté par Pierre . Évalué à 2.
Si tu envoie a 1 millions de personnes une pub et qu'il y en a seulement une sur 10000 qui te répond en t'envoyant 10 dollard.
Ca te fait deja 1000- dollard en plus sur ton compte..
# Désactiver XUL
Posté par degeu raoul ⭐ (Mastodon) . Évalué à 0.
Dans le configure, y a une option --disable-xul.
De plus xul est un language uniquement "mozillien" ? Ce qui veut dire les pages xul ne sont 100% avec tous les navigateur du marché ?
Perso, j'en vois pas l'utilité (a tire personnel evidemment), donc je vais tester une compile du 0.9.2 en enlevent xul, on verra bien.
# Correctif
Posté par j . Évalué à 6.
La fonction permet de créer des fenêtres vides, sans aucun élément du navigateur, donc après il est facile d'y mettre n'importe quoi y compris une fausse interface de navigateur.
Solution : ajouter dans le user.js les lignes suivantes :
user_pref(dom.disable_window_open_feature.menubar, true);
user_pref(dom.disable_window_open_feature.location, true);
user_pref(dom.disable_window_open_feature.status, true);
Comme expliqué ici :
http://00f.net/item/65/(...)
[^] # Re: Correctif
Posté par free2.org . Évalué à 2.
# Une inquiétude partagée par tous...
Posté par ceituna (site web personnel) . Évalué à 2.
D'un coté, ca me rassure par rapport au je m'enfoutisme que je subis au quotidien... :)
# Ça marche pas
Posté par oliv . Évalué à 1.
Rien ne se passe. Juste une page blanche avec du texte qui explique ce que je devrais voir, et quelques liens, donc un vers une capture d'écran.
Seulement, je n'ai pas toutes les options "faites ce que vous voulez avec mon ordinateur" activées (le Javascript n'est autorisé qu'à changer les images).
# Et le "master security password" alors ?
Posté par Giboyle . Évalué à 2.
Paranoïaque et maniaque, j'active le Master Security Password. Que se passe-t-il si on me le fauche ? Je l'ignore, je ne sais s'il serait simple d'accéder aux mots de passe stockés, etc... En revanche, il me semble qu'il est extrèmement simple d'afficher cette fenêtre qui demande le mot de passe principal en la simulant avec un micro JavaScript et du HTML + un formulaire CGI tout bête... Pas besoin de Xuleries.
If navigateur = Moz then <niarf, niarf !> FakePopup(mssg="Quel est votre mot de passe maître ?", sendpasswdto="user123456@hotmail.com", retmssg="Merci boulet !") </niarf!>
et hop... et hop quoi, je ne sais pas, mais hop !...
Propositions faiblardes, mais propositions quand même :
- à l'installation (ou à l'activation de ce cryptage des mots de passe stockés, fonction "spécial paranos"), demander à l'utilisateur de taper une citation de son choix ou de désigner une image sur son disque, qui serait affichée sur cette Popup.
Pas la bonne image, mauvaise citation ? => l'utilisateur averti sera averti...
- Si on retient l'option d'une demande de confirmation avant exécution de code XUL (+ liste blanche de sites autorisés), on pourrait reprendre un truc de Winzip version shareware : la place des boutons était tirée au hasard, ce qui force l'attention de l'utilisateur.
- inviter le client à ne pas confier ses mots de passes essentiels à la machine est une autre manière de tourner le problème...
C'est un peu parallèle comme remarque, désolé...
[^] # Re: Et le "master security password" alors ?
Posté par tgl . Évalué à 2.
Nan, c'est pertinent je trouve, c'est bien une attaque dans le même ordre d'idées, même si ça n'est pas tout le browser que tu simules mais juste une boite de dialogue. Simple et élégant.
Bon après par contre, je vois pas vraiment ce qu'un attaquant distant pourrait faire directement avec ton master password mozilla... sauf qu'il y a sûrement pas mal de gens qui utilisent le même mot de passe pour mozilla et pour d'autres choses plus intérressantes :/
# Remèdes:
Posté par Romain ROUSSEAU . Évalué à 1.
Les changements de thèmes n'y font en revanche rien: toutes les informations graphiques sont reprises depuis le protocole 'local' chrome:// .
Une autre solution envisageable (puisqu'il est impossible de demander à tous les utilisateurs de personnaliser de manière systématique l'interface, sachant de plus que des comportements typiques risquent de se mettre en place (exemple: placer une toolbar en dessous de l'address-bar, etc) serait de demander lors de l'installation/configuration de Firefox à l'utilisateur de rentrer une phrase, un mot-clé, un chiffre ou même une image perso. (pas vraiment un mot-de-passe puisqu'il se retrouverait en clair par la suite). Ce 'grain de sel?' serait stocké dans les préférences toujours, donc innaccessible à un site. Sur chaque site sécurisé, cet élément rapidement identifiable serait présent de manière évidente (exemple: en gras, sur fond rouge, sur la barre de menus).
Pas dur d'expliquer aux gens que le site est réellement sécurisé uniquement si ce petit truc est présent...
:)
A+ (c'était ma première contribution sur ce formidable site :o)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.