Nouvelle forme d'arnaque : l'usurpation d'identité de site web via XUL

Posté par  . Modéré par Benoît Sibaud.
Étiquettes :
0
29
juil.
2004
Sécurité
Un nouveau type d'usurpation d'identité (étrangement dénommé phishing) apparaît avec XUL. Un site web peut fabriquer de toutes pièces une interface de navigation pour faire croire au visiteur qu'il est sur un autre site web.

Il s'agit d'un inquiétant problème de sécurité, apparemment non-résolu pour le moment.

Avec Gecko, un nouveau langage est apparu : le XUL. Ce langage permet la création d'applications complètes. Ainsi Mozilla peut servir de plate-forme pour lancer tout un tas d'applications écrites en XUL. Au premier rang de ces applications figure bien sûr le navigateur de Mozilla.

Mais voila, une nouvelle forme de « phishing » apparaît en même temps. En effet quand on fait pointer Gecko sur une URL « XUL », il lance l'application. Mais voila, que faire si la dite application simule une nouvelle fenêtre de navigation, avec l'URL de votre banque dans la barre d'adresse, un petit cadenas dans le coin, un vrai-faux certificat etc ... ?! Essayez le lien donné avec Firefox puis réessayez le avec Konqueror (ou IE si vous y tenez). C'est édifiant. Et pour une fois il n'y a pas d'excuse car IE n'est évidemment pas concerné !

Le second lien donne une capture d'écran si vous n'avez pas un Gecko sous la main.

Aller plus loin

  • # hehe

    Posté par  (site web personnel) . Évalué à 10.

    ça rends pas du tout bien, quand on force la navigation par onglet à l'aide d'un plugin :
    ça affiche un navigateur dans l'onglet ;-)

    du coup ; pas de risque de se tromper, non ?!
    • [^] # Re: hehe

      Posté par  . Évalué à 3.

      J'ai la même chose de mon coté avec en plus le fait que ayant réorganisé un peu les différents champs de recherche et les boutons de navigation, cela ne m'apparait pas du tout comme à l'habitude.
      Mais sur la plupart des firefox, on doit êtr bluffé.
      Cela reste assez inquiétant car derrière cela il y a juste une utilisation de XUL "normale".
    • [^] # Re: hehe

      Posté par  . Évalué à 4.

      Comme j'ai interdit la disparition de la barre de menu et des boutons, j'ai un navigateur avec deux barres de menus et deux barres de boutons...
    • [^] # Re: hehe

      Posté par  . Évalué à 1.

      encore mieux, essayer avec la version de firefox sous macos, on a un joli
      <-- fake menubar
      mais sans barre, puisqu'elle est pas attachée à la fenetre, comme toute application sous macos :)
    • [^] # Re: hehe

      Posté par  (site web personnel) . Évalué à 3.

      idem pour moi, ça fait presque pitié tellement c'est gros...

      Si on généralisait la TBE et qu'on interdisait a un javascript d'ouvrir dans autre chose qu'un onglet... ça règlerait pratiquement le problème déjà.
    • [^] # Re: hehe

      Posté par  (site web personnel) . Évalué à 3.

      Le perfectionnement de ces techniques ne va pas tarder.

      Ne te crois pas à l'abri de ce type d'arnaque.

      On voit là le principal défaut inhérent à l'utilisation des mêmes technologies pour afficher une page web et l'interface de navigation.


      Mis à part cela, le même type d'arnaque est possible avec IE et a déjà été utilisé depuis longtemps. Sachez qu'il est même possible d'utiliser les couleurs système pour reproduire l'interface de navigation, pour une intégration encore plus réaliste.
      IE permettait (permet ?) même de créer des fenêtres sans bordures et de n'importe quelle taille. Des démonstrations d'exploits ont été publiés : ils cachaient les messages dans les boîtes de dialogue d'avertissement, tel qu'à l'installation de composants ActiveX.

      Mainteneur de LiquidPrompt - https://github.com/nojhan/liquidprompt

      • [^] # Re: hehe

        Posté par  . Évalué à 5.

        j'ai déjà vu les fenêtres sans bords sous IE, et une fois j'ai croisé une fenêtre avec bordure, mais dont la petite croix pour la fermer était recouverte par une image de cette croix avec un lien html lançant un autre site (on s'en apercevait à cause d'une petite ligne pointillée tout autour)
        et le menu du bouton de la barre des taches était desactivé, ou disparaissait dans la miliseconde ou on cliquait, je sais plus.

        y a pas que sous Firefox qu'on peut faire des conneries de ce genre :)
  • # Oui mais..

    Posté par  (site web personnel) . Évalué à -3.

    Et pour une fois il n'y a pas d'excuse car IE n'est évidemment pas concerné !
    Oui mais au moins ça ne mettra pas 8 mois à être corrigé.
    • [^] # Re: Oui mais..

      Posté par  (site web personnel) . Évalué à 10.

      Qu'est ce qui te permet de faire cette prediction optimiste ?

      Le probleme souleve est au coeur du fonctionnement de XUL. A premiere vue, le spoofer fait exactement ce pour quoi XUL a ete prevu. Donc la facon la plus simple de remedier au probleme, c'est de supprimer l'execution XUL. Ah ouai, mais ca risque de serieuseement diminuer les possiblites du browser.

      Bref, avant de predire, j'attends de vois ce que va proposer la communaute mozilla.
      • [^] # Re: Oui mais..

        Posté par  (Mastodon) . Évalué à 10.

        Java permettait déjà de faire ça, et les navigateurs ont contourné le problème en affichant un bandeau jaune "attention, ceci est une applet". Il suffit de faire pareil, d'une manière ou d'une autre, et de marquer les applications qui ne sont pas "fiables".
        • [^] # Re: Oui mais..

          Posté par  . Évalué à 3.

          Si on fait Informations sur la page, on voit que l'url n'est pas la meme que celle indiquée dans la fausse barre d'adresse.
          Peut etre qu'une detection à ce niveau pourrait limiter les supercheries.
          Tout comme les Marque-pages qui sont vides et d'autres menus incomplet. Je ne sais pas si avec XUL on peut recuperer les favoris du profil ou si le gars n'est pas allé jusqu'au bout de l'imitation de la fenetre...
          • [^] # Re: Oui mais..

            Posté par  (site web personnel) . Évalué à 5.


            Tout comme les Marque-pages qui sont vides et d'autres menus incomplet. Je ne sais pas si avec XUL on peut recuperer les favoris du profil ou si le gars n'est pas allé jusqu'au bout de l'imitation de la fenetre...


            Les deux. D'après le premier lien, il suffirait de quelqu'un d'assez motivé pour tout coder avec la restriction que XUL ne peut aller lire les préférences.
            • [^] # Re: Oui mais..

              Posté par  . Évalué à 2.

              XUL ne peut aller lire les préférences.

              C'est peut-être là que se trouve la solution. Il faudrait mettre dans les préférences un truc "à soi", pas exemple une icone, un style, un truc visuel. XUL ne pouvant y accéder, on verrait - au sens propre - tout de suite la différence.
              C'est ce qui se passe avec les favoris sur cette démo ; là il faut ouvrir le menu bookmarks pour voir le contenu et se rendre compte de la supercherie, mais on pourrait tout à fait avoir quelque chose de plus visuel directement.
              • [^] # Re: Oui mais..

                Posté par  (Mastodon) . Évalué à 3.

                Oui mais non. À tout réglage il faudra une valeur par défaut, et s'il y a une valeur par défaut, au moins 80% des gens ne la changera jamais. Pour que ce soit sûr, il faut que ça ne dépend pas d'une action de l'utilisateur.

                L'attaque consiste à faire une interface B qui ressemble à l'interface A. Le schéma de solution contre cette attaque, c'est d'imposer quelque chose qui s'affiche sur l'interface B et pas sur l'interface A. Ainsi il est impossible de faire une interface B qui ressemble à A, et ça ne dépend pas de l'utilisateur.

                Ici ça doit être simple à mettre en oeuvre: une fenêtre contenant une interface non fiable doit imposer quelque chose de visuel pour la différencier d'une interface fiable (ici: une fenêtre venant du logiciel et pas d'un code externe).
    • [^] # Re: Oui mais..

      Posté par  (site web personnel) . Évalué à 0.

      <troll>
      8 mois ? C'est bizarre, il me semblait que tous les problèmes liés à l'ActiveX ne sont pas encore corrigé pourtant
      </troll>
      • [^] # Re: Oui mais..

        Posté par  . Évalué à 0.

        C'est quoi les problèmes liés à l'ActiveX?
        • [^] # Re: Oui mais..

          Posté par  . Évalué à -1.

          C'est quoi l'ActiveX ?
          • [^] # Re: Oui mais..

            Posté par  . Évalué à -3.

            L'activeX ?
            • [^] # Re: Oui mais..

              Posté par  . Évalué à 3.

              Non, non, on écrit : Hacktiviste
            • [^] # Re: Oui mais..

              Posté par  . Évalué à -4.

              La quoi ?
              • [^] # Re: Oui mais..

                Posté par  . Évalué à -5.

                l'aqua ? c'est un truc des macs


                (allez-y elle est facile)
            • [^] # Re: Oui mais..

              Posté par  (site web personnel, Mastodon) . Évalué à 1.

              c'est encore un truc pour les sites coquins ? Je connais pas celui-là...

              A moins que ce ne soit encore un fork de XFree ?

              Mes livres CC By-SA : https://ploum.net/livres.html

  • # et mozilla ?

    Posté par  . Évalué à 2.

    Essayez le lien donné avec Firefox puis réessayez le avec Konqueror (ou IE si vous y tenez). C'est édifiant. Et pour une fois il n'y a pas d'excuse car IE n'est évidemment pas concerné !

    Pourquoi ca marche pas sous mozilla ?
    Code xul incompatible ?
    • [^] # Re: et mozilla ?

      Posté par  . Évalué à 1.

      moi ca m'a plante mon moz :-(
    • [^] # Re: et mozilla ?

      Posté par  . Évalué à 6.

      Parceque il est fait pour faire apparaitre un firefox, et pas un mozilla.

      S'il veux il en fait un pour mozilla.

      En fait je pense que pour s'appliquer, il faudrait que suivant le type de navigateur sur la page, il lance le xul correspondant.
    • [^] # Re: et mozilla ?

      Posté par  (site web personnel) . Évalué à 9.

      Parce que son XUL utilise des éléments XUL locaux si j'ai tout compris.

      Franchement c'était évident ce genre de truc. Je ne vois même pas comment l'équipe Mozilla n'a pas pu y penser plus tôt.

      Vive le Web en (X)HTML / CSS.
      A mort XAML / XUL. : ça n'a rien à faire sur le Web.

      P.S. : Trop gros ?

      L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

      • [^] # Re: et mozilla ?

        Posté par  (site web personnel) . Évalué à 0.


        Vive le Web en (X)HTML / CSS.
        A mort XAML / XUL. : ça n'a rien à faire sur le Web.


        T'as bien raison, retournons tous à lynx


        P.S. : Trop gros ?


        Je crois lui avoir donner encore un peu plus d'embonpoint.
        • [^] # Re: et mozilla ?

          Posté par  (site web personnel) . Évalué à -2.

          T'as bien raison, retournons tous à lynx

          Non merci, IE est protégé, merci Wine \o/.

          Je crois lui avoir donner encore un peu plus d'embonpoint.

          J'espere qu'il ne va pas nous lacher ! /o\

          Allez tiens bon !!
    • [^] # Re: et mozilla ?

      Posté par  (site web personnel) . Évalué à 1.

      chez moi ça me sort une fenetre en jaune avec ça :

      XML Parsing Error: undefined entity
      Location: http://www.nd.edu/~jsmith30/xul/test/browser.xul(...)
      Line Number 20, Column 1:<window id="main-window"
      ^

      mozilla-1.7 powaaa je suis protégé...

      plus sérieusement, quand tu va sur ta banque t'est pas trop stupide tu prend ton lien dans les bookmark où tu retappe l'adresse dans ta bare d'adresse, ça évite les ennuis!!!

      pis pour tout les afficionadaus de la sauvegarde des login+md5, ça paraît louche quand sur la même page t'a ton mdp qui apparait plus!!!
      • [^] # Re: et mozilla ?

        Posté par  (site web personnel) . Évalué à 1.

        Sous mozilla ca me sort aussi cette erreur, et sous firefox ça marche seulement si je vire l'anti-popup... Bref je pense que cette faille peut-être assez dangereuse, mais qu'elle sera dure à mettre en pratique (détection de la version du navigateur, détection de la présence de l'anti-popup, détection du skin du navigateur [chez moi ça fait bizarre de voir d'un coup le skin qui "change" et ca incite à faire attention],...)
  • # .

    Posté par  (site web personnel, Mastodon) . Évalué à 6.

    Ben heu en fait ça fait ramer ma machine comme pas possible, y'a fallut 2 minutes pour que je puisse killall firefox. Donc c'est pas du tout inaperçu comme effet...

    « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

    • [^] # Re: .

      Posté par  (site web personnel) . Évalué à 1.

      Ben chez moi, en plus de ramer, la fenêtre s'étend sur les 9 bureaux vituels de mon kahakai... Pas trop discret pour moi ce truc !!!
    • [^] # Re: .

      Posté par  (site web personnel) . Évalué à 2.

      Pire pour moi: j'ai du quitter X avec ctrl-alt-backspace. Tuer Firefox (0.8) n'a rien donné. En faisant un "top", seul X utilisait près de 5% de processeur et pourtant il était complètement inutilisable. Si la fausse interface n'a pas marché, le DOS lui a fonctionné à merveille :-(
  • # Rouge

    Posté par  . Évalué à 10.

    C'est marrant, quand je bouge la souris en maintenant le bouton droit appuyé, l'interface descend et laisse du rouge à la place !
    (j'ai le plugin All in One gestures... c'est peut-être ça)

    Sinon, c'est vrai que ça peut être dangereux, mais personnellement, quand je vais consulter mes comptes, j'ouvre firefox, et je clique sur un bookmark... Je ne passe pas par un site que je ne connais pas qui me propose un lien vers ma banque...
  • # C'est pas un probleme.

    Posté par  . Évalué à 4.

    Grace a cette merveilleuse technologie qu'est Palladium, MS va nous sauver.
    On verrouille le firefox pour qu'il puisse plus lancer que les applis XUL signées, et hop, c'est gagné.

    -1 et je ->[]
    • [^] # Re: C'est pas un probleme.

      Posté par  . Évalué à 6.

      L'utilisation de certificats de signature crypto pour identifier le code mobile de confiance, ça date pas de Palladium, loin de là. Et ça n'est pas du tout une idée choquante, et ça n'est pas du tout incompatible avec le libre. C'est juste dommage qu'il n'y ait rien de tel de prévu dans le système de code mobile de Mozilla.

      En fait je comprends mal pourquoi ça n'a pas été prévu d'ailleurs. Peut-être qu'ils se sont dit que comme le code exécutable par défaut était uniquement du code d'interface, il ne pouvait rien faire de mal. Quelqu'un en sait plus ?
      • [^] # Re: C'est pas un probleme.

        Posté par  . Évalué à -1.

        >Grace a cette merveilleuse technologie qu'est Palladium, MS va nous sauver.<

        Quand je vois le paquet d'enuis (spiware, virus) que l'on peut récupérer via des applications soit disant de confiance, je reste franchement dubitatif.
        La signature ne garantie en aucune manière que l'application exécutée est exempte de code malicieux.
  • # juste comme ça ..

    Posté par  (site web personnel, Mastodon) . Évalué à 3.

    Il est dit que le script ne peut pas lire les préférence comme les bookmarks, etc...

    Est-ce que du coup on ne peut pas imaginer un numéro qui serait propre à chaque installation de Firefox (et que l'utilisateur peut à la limite modifié) et qui se mettrait à coté du cadenas quand on est sur un site sécurisé.

    On fait un random() au premier lancement de firefox et un popup apparait disant : "Faites uniquement confiance aux sites où le symbole (cadenas) 0897 apparait en faisant bien attention que c'est la valeur 0897 qui apparait et pas une autre"

    La valeur peut d'ailleurs être librement modifiée.

    Du coup, le pirate peut pas deviner cette valeur..

    Bon, c'est vrai que ça demande un surcroit d'attention de l'utilisateur mais quand je rentre un code VISA, je fais bien attention..

    De plus, le fait que javascript ne puisse pas faire disparaitre la barre en bas fausse complètement la simulation. On voit deux barres apparaitre mais c'est vrai que tout le monde ne le verrait peut-être pas...

    Mes livres CC By-SA : https://ploum.net/livres.html

    • [^] # Re: juste comme ça ..

      Posté par  (site web personnel, Mastodon) . Évalué à 3.

      Je me répond à moi-même : on pourrait imaginer de transformer ce nombre en une couleur. ça n'en serait que plus parlant..

      Mes livres CC By-SA : https://ploum.net/livres.html

    • [^] # Re: juste comme ça ..

      Posté par  (site web personnel) . Évalué à 7.

      La solution existe deja, faut utiliser FireSomething et regarder la barre de titre :p
      • [^] # Re: juste comme ça ..

        Posté par  . Évalué à 2.

        non non non, cette solution ne marche pas : le spoof de test s'est ouvert pour moi dans MoonLizard (version 0.91 patchée). Dommage...
      • [^] # Re: juste comme ça ..

        Posté par  (site web personnel) . Évalué à 0.

        Malheureusement cette barre de titres est facilement modifiable :
        <window title="Ma Page"
        titlemodifier=" - FireFox"
        ...>
        ...
    • [^] # Re: juste comme ça ..

      Posté par  (site web personnel) . Évalué à 5.

      C'est super user friendly ton truc. On dirait le système de vote de linuxfr.

      Le meilleur moyen c'est de désactiver XUL pour des urls autres que local. De toutes façons XUL c'est avant tout un toolkit pour faire des applications et si tu veux utiliser une application XUL comme le machin Amazon truc, tu le télécharges en local.
      Je ne connais pas de site en XUL dynamique (pas toujours le même XUL) pour l'instant donc désactiver XUL pour des urls distantes ça ne posera aucun problème.

      Et franchement XUL tant qu'ils ont pas nettoyer le code (séparer XUL / gecko / Mozilla /...) ça n'a aucun intérêt.

      L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

      • [^] # Re: juste comme ça ..

        Posté par  . Évalué à 6.

        Le meilleur moyen c'est de désactiver XUL pour des urls autres que local.

        Et en faisant un système comme pour le bloquage des paupeupes ? Avec une list de sites ayant le droit "d'executer" du XUL ?
      • [^] # Re: juste comme ça ..

        Posté par  . Évalué à 0.

        Sur son site, le monsieur qui démontre l'exploit te dit que cette solution n'en est pas une... En effet, le maichan "hackeur" trouvera toujours une faille permettant d'uploader le code malicieux sur l'ordinateur de la victime, ou de faire croire au browser que le code est executé en local (il y a eu le problème récemment avec IE si je dis pas de bêtise...
        Donc bon... pas facile de trouver une vraie solution...
        • [^] # Re: juste comme ça ..

          Posté par  . Évalué à 3.

          En même temps si du code est exécuté en local... Le maichan il as assez de pouvoir pour faire ce qu'il veut qu'ellle que soit la correction.
  • # Pas seulement firefox...

    Posté par  (site web personnel) . Évalué à 9.

    Le meme genre de choses est possible en HTML, il faut juste des images... Ya deja eu ce genre de choses sur IE d'ailleurs... Notons tout de meme que le script ne peut pas fermer la fenetre principale, ce qui limite la casse.

    Coté solution, Il est question, y compris chez IE d'ailleurs, de faire en sorte d'avoir au moins la barre d'url ou la barre de status sur toutes les fenetres... Avec les dernieres améliorations de firefox dans ce domaine (coloration de la barre d'url si c'est un site sécurisé, domaine a coté du cadenas dans la barre de status) ca devrait aller.
    • [^] # Re: Pas seulement firefox...

      Posté par  (site web personnel) . Évalué à 5.

      Coté solutions...

      Non non non, il suffit d'aller sur le site de la démo et de faire un effort pour lire le texte - oui c'est de l'anglais:

      What will NOT fix this particular problem (...)

      * Placing a certificate's OU or trusted domain in the status bar, location bar, or anywhere else (see Bug 245406). As the bad guy, I have complete control over everything on the screen (well, almost). Any extra displays can be faked just as easily as the location bar was faked. (If you think coloring the location bar [Bug 244025] solves this problem, think again. I can do colors with about 2 lines of CSS).

      -----> une coloration, un domaine ou un cadenas ne changeront rien

      * Blocking access to (parts or all of) chrome:// from remote websites. While that would make the bad guy's job harder, he can still instruct Firefox to load all the relevant XULs from his webserver. As it is, I had only to provide a couple XULs (browser.xul and a somewhat-merged pageInfo.xul/PageInfoOverlay.xul). Total download: less than 100kb. Everything else comes from local chrome:// stuff.

      -----> il peut reprendre tes marques-pages, tes préférences particulières

      * Relying on this message. I bypass it by assembling the form-submit URL in Javascript.

      -----> un message d'avertissement ne change rien


      C'est la fin du monde !!
      C'est la vengeance du grand Bill ?

      "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

      • [^] # Re: Pas seulement firefox...

        Posté par  (site web personnel) . Évalué à 5.

        Oui mais lis ce que je dis au dessus: il est aussi question de ne jamais cacher cette barre. Le méchant aura beau faire tout ce quil veut, il y aura toujours soit la barre de status soit cette d'url (je sais plus laquelle des 2 versions a le plus de fans en ce moment), et dans chacune des 2 yaura un truc pour montrer si c'est sécurisé ou pas...
        • [^] # Re: Pas seulement firefox...

          Posté par  . Évalué à 1.

          Si la couleur fait partie des préférences de l'utilisateur, le site n'y a pas accès.
        • [^] # Re: Pas seulement firefox...

          Posté par  (site web personnel) . Évalué à 3.

          Honnêtement même moi je ne regarde déjà pas cette barre 99,9% du temps, alors mes pov parents à qui j'ai installé firefox tu crois que eux ils se feront pas avoir un peu plus que moi ?
          • [^] # évolution

            Posté par  . Évalué à 0.

            Honnêtement même moi je ne regarde déjà pas cette barre 99,9% du temps, alors mes pov parents à qui j'ai installé firefox tu crois que eux ils se feront pas avoir un peu plus que moi ?
            Et darwin vous laisse continuer votre lignée? ;)
          • [^] # Re: Pas seulement firefox...

            Posté par  (site web personnel) . Évalué à 3.

            Je crois que on peut plus rien pour toi ni eux alors. Ya pas 35 solutions, un document html+css pourra toujours ressembler a quelquechose et tu pourras te faire avoir. La clé est donc, une fois les modifs dont je parle effectuées, d'eduquer les utilisateurs pour qu'ils s'en servent.

            Accessoirement, si firefox fait ca (avoir toujours la statusbar toujours visible, avec le domaine et l'icone indiquant un site sécurisée) on peut imaginer des banques et autres qui iraient dire: utilisez firefox, vous saurez toujours certain d'etre sur notre site, vu que le domaine est indiqué clairement a part, et tout le temps.
            • [^] # Re: Pas seulement firefox...

              Posté par  (site web personnel) . Évalué à 1.

              En terme d'ergonomie es-tu sérieux ?

              Je veux dire imagines toi depuis une heure, ou des années habitués à surfer, tu imagines vraiment que l'on prête une attention à une petite image qui représente 1 demi pourcent de la surface même quand on en connaît la signification (bouton de sécu) ou même à la status barre, dans laquelle il n'y quasiment jamais autre chose que "done" qui elle est non seulement 'terne' mais en plus représente une surface de 2 à 5% à la périphérie de la vision ?

              Soyons réalistes deux minutes, je ne suis pas hyper attentif à ses trucs là car ce n'est tout simplement *pas* possible d'être vigilant à ce point. C'est comme avoir un tout petit compteur de vitesse noyé sur un tableau de bord hyper chargé cela gêne un rien la lisibilité.
              • [^] # Re: Pas seulement firefox...

                Posté par  (site web personnel) . Évalué à 2.

                Pour la statusbar, l'idée est justement de rajouter des infos utiles, comme le nom de domaine, une fois cela fait, je vois pas ou est le probleme de te demander de la regarder pour etre sur et certain que tu es sur le bon site. La plupart des gens étants parano en ce qui concerne les achats sur le web tout ca, ca devrait etre faisable :)

                Je sais bien que c'est pas simple. Mais tu as d'autres solutions ? Faire une fausse interface ne demande pas forcement XUL, ca n'a rien de nouveau, donc globalement, c'est soit ca, soit rien. Ou alors donnes une solution magique :)
                • [^] # Re: Pas seulement firefox...

                  Posté par  (site web personnel) . Évalué à 0.

                  c'est soit ca, soit rien. Ou alors donnes une solution magique :)


                  Je n'ai pas de solution, je ne suis pas magicien, et je ne vais pas faire semblant de rien voir sous prétexte que c'est du libre. Les personnes honnêtes admettent qu'ils seraient bien de regarder la barre de statut, et les personnes honnêtes dans la vie de tous les jours s'apercevront qu'elles ne regardent pas la barre de statut qui est petite, placée en périphérie du brouteur, et rarement informative.

                  Savoir reconnaître problème quand il se présente, c'est éventuellement se donner les moyens de trouver une solution. Ignorer les problèmes ne les résoud pas, sauf si l'on attend suffisamment longtemps.
                  • [^] # Re: Pas seulement firefox...

                    Posté par  . Évalué à 1.

                    "je ne vais pas faire semblant de rien voir sous prétexte que c'est du libre."

                    Quel rapport avec le libre ? La question qui se pose n'est pas liée au fait qu'il question de logiciel libre.


                    "les personnes honnêtes dans la vie de tous les jours s'apercevront qu'elles ne regardent pas la barre de statut qui est petite, placée en périphérie du brouteur, et rarement informative."

                    Moi je le regare tout le temps : elle indique l'url des liens... Je ne pense pas être le seul dans le cas.

                    Cette barre n'est sans doute pas suffisante pour régler le problème car, en effet,tout les utilisateurs ne la regardent pas. Il ne faudrait pas pour autant raconter n'importe quoi en disant que personne ne la regarde.
                  • [^] # Re: Pas seulement firefox...

                    Posté par  (site web personnel) . Évalué à 2.

                    Le fait que ca soit du libre n'a rien a voir. D'ailleurs, IE, face au meme probleme, va adopter la meme solution (ne pas cacher la barre de statut)

                    D'autres idées sur http://bugzilla.mozilla.org/show_bug.cgi?id=252198,(...) mais uniquement concernant le probleme XUL.:
                    Best, imo, would be to add a <groupbox> around remote XUL documents, with a
                    a <caption label="Remote Web Application">, but don't know how easy this would be
                    to realize.

                    Or a bar, similar to the new popup notification bar. ("This is a remote web
                    application, blah blah...")
                    • [^] # Re: Pas seulement firefox...

                      Posté par  (site web personnel) . Évalué à 1.

                      Lire la barre de statut c'est bon pour les nerds qui passent plus de temps à installer des distros et montrer qu'ils sont pros, qu'à utiliser l'outil pour consulter et créer des sites, certains font primer la technologie (est ce du css, su (x)(XX)html le brouteur est-il skinable, la barre de statut visible), d'autres aimeraient pouvoir s'en contre foutre autant que possible (c'est à dire un peu mais pas trop) pour que le contenu soit la seule chose sur laquelle se concentrer : sur mon moz ce qui m'intéresse c'est le contenu = 60 lignes dans lesquelles je recherche de l'info, la barre de statut 1 ligne en noir sur fond gris en dehors de mon champs de vision immédiat. Excuses moi de trouver ça pas pratique.

                      De même que je trouve que emacs est anti-ergonomique au possible avec ses raccourcis claviers pour anciens virtuoses de piano, de même que je n'utilise pas lynx mais firefox, de même que je déteste word et windows pour les assistants, les trop nombreuses fonctionnalités mal classées.

                      J'utilise firefox pour lire des pages webs, et je n'ai pas envie de m'adapter à l'outil parce qu'il a une faiblesse. Solution : exit firefox => vive konqueror, et pour les vrais nerds pour être sûr de détecter les malwares, je crois qu'il faudrait envisager le telnet sur le port 80 directement: comme ça aucun code malveillant ne sera interprété par une machine idiote.

                      http://www.m-w.com/cgi-bin/dictionary?book=Dictionary&va=nerd(...)
                      • [^] # Re: Pas seulement firefox...

                        Posté par  (site web personnel) . Évalué à 2.

                        Tu as lu ce que j'ai dit plus haut ou pas du tout ? Le probleme existe dans tous les navigateurs. Ya guere que opera, avec son interface MDI, qui puisse vraiment éviter le probleme.

                        Une simple page web suffit.
                        La partie du probleme qui a motivé la news, le fait que ca soit faisable en xul, est en train d'etre résolu dans mozilla/firefox, Mais ca ne change pas le fond du probleme: en se motivant un peu c'est facile de faire une fausse ui avec simplement css, html, javascript et des images.
                        Et pour contrer ca, ya 2 solutions:
                        - ne pas ouvrir la moindre popup, ou alors uniquement dans des tabs
                        - ne pas autoriser les popups a cacher certains elements comme la status bar.

                        La premiere solution est techniquement possible, et activable tres facilement dans firefox/moz, mais aucun utilisateur n'en voudra. Donc, faute de mieux, IE comme firefox s'orientent vers la seconde. J'ose esperer que konqueror trouvera mieux ou fera pareil, sinon il sera tout aussi vulnerable.
                • [^] # Re: Pas seulement firefox...

                  Posté par  (site web personnel) . Évalué à 1.

                  Si quelqu'un est préoccupé de la sécurité, il regardera a l'emplacement du cadenas et verra si le nom de dommaine correspond ou pas ...
                  Ce n'est pas du tout difficile.
  • # Petit détail

    Posté par  . Évalué à 1.

    J'utilise l'extension webdeveloper (barre remplie d'icones particulièrement utile pour développer des pages web) et celle-ci n'apparait pas dans la fenêtre en question, est-il possible avec XUL de détecter les extensions et les afficher si nécessaire ?
    • [^] # Re: Petit détail

      Posté par  . Évalué à 1.

      Non ce n'est pas possible sans que l'utilisateur descende volontairement son niveau de sécurité. Tes bookmarks et autres préferences sont stockés dans des fichiers de données de type RDF et ceux ci ne sont accessible que via l'url chrome:// en local. C'est justement ce qui empêche pour l'instant de créer une appli XUL entièrement dynamique (sans devoir bidouiller le poste client).
      • [^] # Re: Petit détail

        Posté par  (site web personnel) . Évalué à 1.

        ça pourrait être possible si l'appli XUL qui accède aux préférences est signée par un certificat connu du client et si le privilège qui va bien est activé...
    • [^] # Re: Petit détail

      Posté par  . Évalué à 1.

      À mon avis la question n'est pas là. Si la barre webdev était utilisée par 90% des utilisateurs de Firefox/Mozilla un arnaqueur trouverait le moyen de la détecter/émuler, etc.
  • # Invevitable...

    Posté par  (site web personnel) . Évalué à 10.

    C'est normal qu'on ait ce type de soucis.

    N'importe quelle interface programmatique implantee sur un client web presente ce type de risque, et bien d'autres. A partir du moment ou le document que l'on visualise comporte plus qu'un simple document reduit a des donnees mais des donnees + du code alors on peut lancer des programmes sur le client et c'est la merde.

    Oh bien sur il y a un modele de securite pour eviter les problemes. Les applets Java ont ca, les ActiveX Microsoft ont ca, JavaScript a ca aussi dans une certaine mesure. Le probleme c'est qu'il y a toujours quelque chose qu'on oublie ou qu'on ne peut pas blinder.

    Quelque part implanter une machine de turing au sein d'un navigateur c'est tendre le baton pour se faire battre.

    La solution XHTML/CSS en banissant les tags et assimiles est certes moins performante et souple que tous les trucs tournant autour de XUL mais au moins c'est blinde.

    L'eternel dilemne de la securite: ce qui est pratique n'est pas securise, et ce qui est securise n'est pas pratique.
    • [^] # Re: Invevitable...

      Posté par  . Évalué à 6.

      A partir du moment ou le document que l'on visualise comporte plus qu'un simple document reduit a des donnees mais des donnees + du code alors on peut lancer des programmes sur le client et c'est la merde.

      Et encore avec des buffer overflows créés avec amour certains on réussi à exécuter du code arbitraire inclus dans des images JPEG.
    • [^] # Re: Invevitable...

      Posté par  (site web personnel) . Évalué à 2.

      > La solution XHTML/CSS en banissant les tags et assimiles
      Il fallait lire:
      La solution XHTML/CSS en banissant les tags <script> et assimiles
      filtrés par templeet donc 8-)
  • # mouais....

    Posté par  (site web personnel) . Évalué à 5.

    A prendre avec des pincettes....

    D'un autre coté, l'utilisateur lamba sous Windows avec son IE, si tu lui affiche une popup composée de captures et de form il risque aussi de tomber dans le panneau.

    Maintenant, le problème de XUL c'est aussi sa nature. C'est un langage et donc il y à interaction. Mais de là à crier au loup...

    Enfin, un message affichant un avertissement... certe. Mais vous en connaissez beaucoups des utilisateurs "normaux" et pressés qui lisent les messages, les avertissement concernant les certificats, etc... ? C'est le syndrome "ouais ouais". Exactement celui que l'on constate lors d'une première connexion ssh à un nouvel hôte "bla bla finger print bla bla".... "yes".... "pass"... finit.
  • # Peut-etre

    Posté par  . Évalué à 1.

    Peut-être que une des solutions serais d'utiliser un theme complètement différend de ce que le '''common user'' pourrais avoir.

    je me demande comment les gens de mozilla vont pouvoir fixer ce ''bug'' ca va être compliquer car c'est un probleme ''architechturale''.
    • [^] # Re: Peut-etre

      Posté par  (site web personnel) . Évalué à 2.

      > Peut-être que une des solutions serais d'utiliser un theme complètement différend de ce que le '''common user'' pourrais avoir.

      Si c'est du XUL, ça s'adapte à ton thème, donc, ton idée ne marche pas.
      • [^] # Re: Peut-etre

        Posté par  . Évalué à 1.

        Je parle de la position des barre en haut qui ne s'adapte qu'il faut reproduire.
  • # Prévenir l'utilisateur

    Posté par  . Évalué à 7.

    Le problème c'est de démarrer aveuglement des applications sans même prévenir l'utilisateur. Et ici on à une preuve que le fait que leur contexte d'execution soit controlé n'y change rien. On aurait pu penser et souhaiter que les développeur n'aient pas refait cette erreur pourtant archi connue, et qu'ils aient au moins prévu un avertissement indiquand que ce qui va apparaitre est une appli XUL.

    D'une manière générale on ne devrait plus avoir à redécouvrir que tout changement profond de contexte sans avertissement de l'utilisateur pose potentielement un problème en matière de sécurité voir dans d'autres domaines.
  • # moi j'utilise Mozilla 1.6 et j'ai une erreur

    Posté par  . Évalué à 0.

    C'est normal docteur ?

    voilà ce que j'ai:

    Erreur de parsing XML : entité non définie
    Emplacement : http://www.nd.edu/~jsmith30/xul/test/browser2.xul(...)
    Numéro de ligne 20, Colonne 1 :<window id="main-window"
    ^
    • [^] # Re: moi j'utilise Mozilla 1.6 et j'ai une erreur

      Posté par  . Évalué à 0.

      j'ai un truc du même genre avec Mozilla 1.7. Bref avant d'être piégé faudrait déjà que ça fonctionne ou alors c'est réservé à Firefox
      • [^] # Re: moi j'utilise Mozilla 1.6 et j'ai une erreur

        Posté par  . Évalué à 5.

        C'est un code "proof of concept", fait pour firefox 0.9. Le but du jeu c'était pas de fournir clefs en main la version ultime qui marche avec toutes les versions de mozilla... Que cette version là ne marche pas pour toi ne change rien au fait qu'il aurait été aussi facile d'en faire une pour mozilla 1.7 au lieu de firefox 0.9, et ne remet pas en cause la démonstration.
    • [^] # Re: moi j'utilise Mozilla 1.6 et j'ai une erreur

      Posté par  . Évalué à 4.

      Oui ça fonctionne que sous FireFox ;)

      Faut lire un peu => This spoof is designed for Firefox 0.9 and later.
  • # Ca ne concerne pas que XUL !

    Posté par  (site web personnel) . Évalué à -4.

    Avec n'importe quel langage sous n'importe quel environement on peut faire ce genre de truc ...

    Faites une appli (navigateur ...)qui ressemble trait pour trait a une autre, ajoutez lui juste un petit detail qui surveille ce que l'on fait en atttente du moment propice (url de la banque ...) et la vous faites ce qui vous chante au lieu de reagir comme prevu (afficher un fake et recuperer les infos ...)

    Ca se fait bien en C/C++/VB/C#/Mono/ ... /Perl/PHP tout ce que vous voulez quoi ...

    Dans ce cas, XUL permet certes de le faire sans trop de difficultees, mais j'ai deja fait aussi assez souvent de fausses banieres de login sous netware pour recuperer des pass de mes profs ...
    • [^] # Re: Ca ne concerne pas que XUL !

      Posté par  . Évalué à 3.

      > Ca se fait bien en C/C++/VB/C#/Mono/ ... /Perl/PHP
      > tout ce que vous voulez quoi ...

      L'originalité n'est pas dans le fake (ça effectivement, c'est plutôt un classique des troyens), mais dans la façon dont la victime se retrouve à l'exécuter. Ici, suivre un lien web suffit, mozilla s'occupera du reste. Ça ne serait pas le cas avec autre chose que XUL (encore heureux qu'il n'est pas si facile de faire exécuter n'importe quel bout de C chez quelqu'un...).
  • # Déjà presque corrigé...

    Posté par  . Évalué à 3.

    Le Bug 245406, celui qui permet d'imiter un certificat et d'activer l'icone d'information de site sécurisé est déjà corrigé depuis hier!
  • # C'est peux être très con...

    Posté par  (site web personnel) . Évalué à 4.

    ...mais ajouter un avertissement comme pour l'installation des .XPI a l'ouverture de .XUL reglerais le problème.
    Oui, je sais, les gens cliquent sur OK sans se poser de question, mais si t'es assez con pour cliquer OK sur un avertissement sans le lire avant de donner ton numéro de CB, ben t'es con (comme dirait didier super)
    • [^] # Re: C'est peux être très con...

      Posté par  (site web personnel) . Évalué à 4.

      CQFD, si t'es con, t'es con :)

      En revanche, ce sont ces mêmes cons qui te dirons que Mozilla c'est de la merde pas sécurisée. C'est pourquoi je pense que le correctif doit être boulet-proof.

      Par ailleurs, ces cons sont en général des gens qu'on aime, qui ne comprennent rien au charabia des popups d'erreur et de warning et qui cliquent sur OK parce que c'est de coutume sur leur OS préféré^Wimposé. D'ailleurs où s'arrête l'OS et où commence l'appli pour eux ?

      Pas simple...
      • [^] # Re: C'est peux être très con...

        Posté par  (site web personnel) . Évalué à 7.

        En remplaçant le bête "OK" par "Lancer l'application non sécurisée", ça fait réfléchir un minimum ("il est où le bouton "OK" ?). C'est le pricipe mis en place dans MacOSX et dans une certaine mesure dans KDE 3.

        Il faut virer tous les "OK", "Oui" et "Non" des boîtes de dialogue et mettre systématiquement un verbe. Ainsi, l'utilisateur a conscience de lancer une action et donc que son choix n'est pas sans conséquence.

        Evidemment, mettre une fenêtre avec le seul bouton "Accepter", c'est aussi stupide.
        • [^] # Re: C'est peux être très con...

          Posté par  (site web personnel) . Évalué à 1.

          \o/ Enfin une idée intéressante... C'est vrai que c'est con, mais c'est drolement efficace... Je vais essayer pour ma part de le faire aussi souvent que possible lorsque je ferais des IHMs...

          Rassure-moi : tu n'as pas de brevet sur cette idée ? :p)
  • # La solution est simple !?!

    Posté par  . Évalué à 3.

    Elle a été déjà été employée pour Java dans les applet ou les applications webstart :

    Ajouter un bandeau en bas impossible à supprimer qui précise "Application Web utilisant XUL" sur toute composant de type fenetre ou boite de dialogue.

    La difficulté est dans le "impossible à supprimer" sous XUL, est qu'en Java, il y a un méchanisme de sécurité fort qui met en place un bac à sable qui epêche tout application non certifié d'accèder à toutes les fonctionalités critiques (c'est vraiment très solide comme concept car c'est un des fondement de la VM).

    J'ai pas vraiment vu de concept de bac à sable en Gecko ... encore fraudrait-il que la spec de XUL le définisse bien sur ;-)

    Aller pour conclure, je trouve que ni XUL, ni XAML ne sont vraiment une avancée décisive. Bien sur, ils apportent dans une certaine mesure un découpage MVC, mais l'abstraction par rapport à l'interface est loint d'être parfaite. Devoir passer son temps à "mettre en page" les composant est un travail fastidieux, et il aurait été souhaitable d'avoir une technique qui facilite celà ...
    • [^] # Re: La solution est simple !?!

      Posté par  . Évalué à 1.

      Ajouter une très grosse fenêtre qui s'affiche en plein milieu serait beaucoup plus efficace, déjà...

      ...mais je pense que ce problème illustre bien la nécessité de ne pas en arriver à un monopole. Ni un bipole (ça se dit?) ou un tripole (pareil?) avec IE, Mozilla et Opera... Avec cinq ou six navigateurs grand public bien répandus, tu limites méchamment la portée de ce genre d'attaques : qui se ferait chier à coder des pièges qui ne fonctionneraient que pour une tranche limitée de la population internaute?
      • [^] # Re: La solution est simple !?!

        Posté par  . Évalué à 2.

        Bof, quand il s'agit de récupérer des numéro de carte de crédit par exemple, que ça ne marche qu'une fois sur deux ou une fois sur six, ça change pas grand chose, tu en auras toujours plus qu'il n'en faut...
        • [^] # Re: La solution est simple !?!

          Posté par  . Évalué à 2.

          Cést clair, et c'est le principe du spam.
          Si tu envoie a 1 millions de personnes une pub et qu'il y en a seulement une sur 10000 qui te répond en t'envoyant 10 dollard.
          Ca te fait deja 1000- dollard en plus sur ton compte..
  • # Désactiver XUL

    Posté par  (Mastodon) . Évalué à 0.

    Je me trompe peut etre, mais pourquoi ne pas désactiver XUL ?
    Dans le configure, y a une option --disable-xul.

    De plus xul est un language uniquement "mozillien" ? Ce qui veut dire les pages xul ne sont 100% avec tous les navigateur du marché ?

    Perso, j'en vois pas l'utilité (a tire personnel evidemment), donc je vais tester une compile du 0.9.2 en enlevent xul, on verra bien.
  • # Correctif

    Posté par  . Évalué à 6.

    Le réel problème vient du Javascript et plus particulièrement de window.open().

    La fonction permet de créer des fenêtres vides, sans aucun élément du navigateur, donc après il est facile d'y mettre n'importe quoi y compris une fausse interface de navigateur.

    Solution : ajouter dans le user.js les lignes suivantes :

    user_pref(“dom.disable_window_open_feature.menubar”, true);
    user_pref(“dom.disable_window_open_feature.location”, true);
    user_pref(“dom.disable_window_open_feature.status”, true);

    Comme expliqué ici :

    http://00f.net/item/65/(...)
  • # Une inquiétude partagée par tous...

    Posté par  (site web personnel) . Évalué à 2.

    Un des trcus qui me rassurent, c'est de voir que c'est un pb qui inquiète pas mal de personnes ici... : un peu plus de 80h après la publication de la news, 7245 personnes sont allées voir la démo...

    D'un coté, ca me rassure par rapport au je m'enfoutisme que je subis au quotidien... :)
  • # Ça marche pas

    Posté par  . Évalué à 1.

    Firefox 0.9.2
    Rien ne se passe. Juste une page blanche avec du texte qui explique ce que je devrais voir, et quelques liens, donc un vers une capture d'écran.

    Seulement, je n'ai pas toutes les options "faites ce que vous voulez avec mon ordinateur" activées (le Javascript n'est autorisé qu'à changer les images).
  • # Et le "master security password" alors ?

    Posté par  . Évalué à 2.

    Une question proche...

    Paranoïaque et maniaque, j'active le Master Security Password. Que se passe-t-il si on me le fauche ? Je l'ignore, je ne sais s'il serait simple d'accéder aux mots de passe stockés, etc... En revanche, il me semble qu'il est extrèmement simple d'afficher cette fenêtre qui demande le mot de passe principal en la simulant avec un micro JavaScript et du HTML + un formulaire CGI tout bête... Pas besoin de Xuleries.

    If navigateur = Moz then <niarf, niarf !> FakePopup(mssg="Quel est votre mot de passe maître ?", sendpasswdto="user123456@hotmail.com", retmssg="Merci boulet !") </niarf!>

    et hop... et hop quoi, je ne sais pas, mais hop !...

    Propositions faiblardes, mais propositions quand même :
    - à l'installation (ou à l'activation de ce cryptage des mots de passe stockés, fonction "spécial paranos"), demander à l'utilisateur de taper une citation de son choix ou de désigner une image sur son disque, qui serait affichée sur cette Popup.
    Pas la bonne image, mauvaise citation ? => l'utilisateur averti sera averti...
    - Si on retient l'option d'une demande de confirmation avant exécution de code XUL (+ liste blanche de sites autorisés), on pourrait reprendre un truc de Winzip version shareware : la place des boutons était tirée au hasard, ce qui force l'attention de l'utilisateur.
    - inviter le client à ne pas confier ses mots de passes essentiels à la machine est une autre manière de tourner le problème...

    C'est un peu parallèle comme remarque, désolé...
    • [^] # Re: Et le "master security password" alors ?

      Posté par  . Évalué à 2.

      C'est un peu parallèle comme remarque, désolé...

      Nan, c'est pertinent je trouve, c'est bien une attaque dans le même ordre d'idées, même si ça n'est pas tout le browser que tu simules mais juste une boite de dialogue. Simple et élégant.

      Bon après par contre, je vois pas vraiment ce qu'un attaquant distant pourrait faire directement avec ton master password mozilla... sauf qu'il y a sûrement pas mal de gens qui utilisent le même mot de passe pour mozilla et pour d'autres choses plus intérressantes :/
  • # Remèdes:

    Posté par  . Évalué à 1.

    Une simple personalisation de la GUI suffit pour mettre à mal le script XUL: il est en effet impossible de lire les préférences locales, donc à moins de faire au hasard... D'ailleurs jeter un coup d'oeil dans les bookmarks suffit à s'en rendre compte (heureusement, sinon les offres publicitaires 'ciblées' en fonction des sites consultés ne tarderaient pas à fleurir ^^)

    Les changements de thèmes n'y font en revanche rien: toutes les informations graphiques sont reprises depuis le protocole 'local' chrome:// .

    Une autre solution envisageable (puisqu'il est impossible de demander à tous les utilisateurs de personnaliser de manière systématique l'interface, sachant de plus que des comportements typiques risquent de se mettre en place (exemple: placer une toolbar en dessous de l'address-bar, etc) serait de demander lors de l'installation/configuration de Firefox à l'utilisateur de rentrer une phrase, un mot-clé, un chiffre ou même une image perso. (pas vraiment un mot-de-passe puisqu'il se retrouverait en clair par la suite). Ce 'grain de sel?' serait stocké dans les préférences toujours, donc innaccessible à un site. Sur chaque site sécurisé, cet élément rapidement identifiable serait présent de manière évidente (exemple: en gras, sur fond rouge, sur la barre de menus).

    Pas dur d'expliquer aux gens que le site est réellement sécurisé uniquement si ce petit truc est présent...
    :)

    A+ (c'était ma première contribution sur ce formidable site :o)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.