Journal Encore des failles dans les navigateurs

• # J'ai pas bien compris le bug

  Posté par Babelouest (site web personnel) le 21 octobre 2004 à 10:59. Évalué à 1.

  

  Je suis sous Firefox 0.93 mais je ne comprends pas bien le probleme.
  
  On ouvre la fenetre secunia, puis le lien citibank dans un nouvel onglet, jusqu'ici tout va bien. Ensuite, on a une fenetre javascript:prompt() qui nous demande de ploper joyeusement. Le plopage se retrouve dans un textarea de secunia.
  
  Oui mais bon, le code du prompt() se trouve dans la page de secunia, je ne vois pas le probleme vu que le plopage est récupéré par le page de secunia...
  
  quelqu'un peut m'expliquer où j'ai fait des bêtises ?

  • [^] # Re: J'ai pas bien compris le bug

    Posté par pasBill pasGates le 21 octobre 2004 à 11:08. Évalué à 5.

    

    Le hic c'est que les gens croient que le popup vient de citibank.com apres qu'ils aient ouvert le tab(car ils verront le site citibank avec un popup par dessus) alors qu'il vient de secunia, resultat tu fais un dialogue qui demande le nom / mot de passe et pouf, l'utilisateur moyen se fait avoir.

  • [^] # Re: J'ai pas bien compris le bug

    Posté par nicolasr le 21 octobre 2004 à 11:10. Évalué à 1.

    

    et en supposant que tu crois être sur le site de citybank, mais qu'en fait tu sois sur celui de Sam Le Pirate ? Tu penser que donner tes codes d'accès citybank à Sam est sans risque ?

    • [^] # Re: J'ai pas bien compris le bug

      Posté par Babelouest (site web personnel) le 21 octobre 2004 à 11:44. Évalué à 1.

      

      Ah d'accord, donc ce n'est pas un bug/faille au sens technique du terme mais un problème lié à l'utilisation.
      Au temps pour moi, je comprends mieux maintenant le probleme.
      
      Une des solutions serait de refiler le focus a la page web des qu'elle affiche un alert, un prompt, un confirm, voire même un window.open()

      • [^] # Re: J'ai pas bien compris le bug

        Posté par Benoît Déchamps (site web personnel) le 21 octobre 2004 à 12:33. Évalué à 1.

        

        J'aurai du en effet préciser que le problème de sécurité était lié à la gestion des tabs.
        
        Une des solutions serait de refiler le focus a la page web des qu'elle affiche un alert, un prompt, un confirm, voire même un window.open()
        
        C'est ce que fait Konqueror, mais apparemment pas les autres navigateurs.

        • [^] # Re: J'ai pas bien compris le bug

          Posté par gnumdk (site web personnel) le 21 octobre 2004 à 23:18. Évalué à 2.

          

          C'est ce que ne fait pas konqueror de kde 3.3.0 :)

    • [^] # Re: J'ai pas bien compris le bug

      Posté par Nicolas Bourdais (Mastodon) le 21 octobre 2004 à 13:32. Évalué à 2.

      

      Mais il faut que la personne mal intentionnée arrive à te faire ouvrir la page de ta banque à partir de la sienne...
      Quand je vais sur ma banque en général je passe par un signet ou je tape directement l'adresse.
      
      Reste que le comportement de konqueror est plus propre.

• # Vieux Zilla

  Posté par Calim' Héros (site web personnel) le 21 octobre 2004 à 11:26. Évalué à 3.

  

  J'ai un Zilla 1.6 et le pop up pirate apparait même quand je clique pas sur le lien :)

• # ...

  Posté par M le 21 octobre 2004 à 12:10. Évalué à 2.

  

  http://linuxfr.org/comments/487296.html#487296(...) ...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.