Faille Firefox et autres...

Polo · Message non lu par **Polo** » 08 févr. 2005, 16:10

Une nouvelle faille dans Firefox et cie
Publié le 08/02/2005 à 13:00 par Vincent sur http://www.clubic.com

- Publicité -
Une nouvelle faille de sécurité a été découverte dans certains navigateurs Web. Cette faille est liée à l'IDN (International Domain Name) qui est parfois mal implémenté. Ainsi, certains caractères spéciaux ne sont parfois pas affichés correctement dans le navigateur. Le site Secunia nous propose sur cette page un test pour illustrer cette faille. Il permet de faire afficher l'adresse "www.paypal.com" dans le navigateur alors que l'on reste bien sur le site de Secunia. Dès lors on imagine que des personnes mal intentionnées peuvent créer, par exemple, des copies de sites de banque qui afficherait une adresse correcte dans le navigateur mais qui serait en réalité hébergé à une toute autre adresse.

Cette faille peut donc être exploitée pour procéder à des attaques par spoofing (usurpation par un utilisateur d'une adresse IP, afin de se faire passer pour la machine à laquelle cette adresse correspond) ou par phising (consiste à créer des copies de sites de confiance pour récuperer des informations confidentielles comme des numéros de cartes bancaires). Les navigateurs concernés par cette faille sont les suivants :

- Mozilla 1.7.5 et inférieures
- Firefox 1.0 et inférieures
- Safari version 1.2.4 (v125.1) et inférieures
- Opera version 7.54u2 et inférieures
- OmniWeb version 5.1 et inférieures
- Konqueror version 3.2.2 et inférieures

Il est possible de désactiver la prise en charge de l'IDN en tapant dans le navigateur "about:config" et de remplacer la valeur "true" de la clé "idn" par "false". En attendant un éventuel patch, il est conseillé de désactiver l'idn ou d'éviter d'accéder à des sites de confiance par des liens tiers trouvés sur des sites ou dans des emails suspects.

sergic · Message non lu par **sergic** » 10 févr. 2005, 07:25

Ce qui est surprenant, c'est que l'on nous parle toujours des failles des navigateurs libres, qui en ont, mais peu graves et qui sont très vite "réparées" mais jamais au grand jamais de celles de cette passoire qu'est IE, qui ne respecte d'ailleurs pas les standards du web, encore moins de celles de outlook express; cela ne vous fait pas poser de questions? Personnellement cela fait plus de 5 ans que j'utilise Netscape puis Mozilla et je n'ai jamais eu aucun souci.
Je signale qu'il est toujours possible d'utiliser aussi sous windows, Mozilla ou Firefox et pour le courrier Thunderbird. Il suffit de les télécharger sur leurs sites, et là c'est tout à fait légal !
Le seul problème, c'est que certains sites, encore, "optimisés pour IE", n'acceptent pas un autre navigateur que celui ci, La Poste, par exemple, pour la lettre recommandée électronique. C'est un scandale, mais malheureusement, c'est ainsi, mais les choses avancent.

Message non lu par **X-TOF** » 10 févr. 2005, 07:55

:amour10: :amour18: enfin quelqu'un qui a tout compris.

Les failles de IE sont nombreuses et la fréquence des correctifs µ$ est la pour le prouver. Pas un seul sans "correctif IE : faille de securité etc etc "

sergic · Message non lu par **sergic** » 10 févr. 2005, 10:24

Je ne l'avais pas dit, mais personnellement je suis depuis très longtemps sous Linux, professionnellement malheureusement non.

Message non lu par **X-TOF** » 10 févr. 2005, 15:48

Debian ? red hat ?

sergic · Message non lu par **sergic** » 10 févr. 2005, 19:19

Mandrake, actuellement la 10.1. Je suis venu au libre un peu par hasard et quand même par conviction; ayant découvert la Mandrake 7.0 à ce moment là, j'en suis resté un fidèle dans la mesure où elle me convient très bien pour ce que fais. Je te signale que je ne suis pas du tout dans l'informatique, mais j'ai appris celle-ci comme beaucoup, sur le tas, en passant des heures à mettre les mains dans le cambouis.
PS : au moment où j'écrivais ces lignes, je n'avais pas encore lu le post de Lolive à propos des dernières rustines pour IE. Comme quoi !