30/07/2004 @ 11:18:09: Sécurité - Un problème de sécurité pour Mozilla
Un gros problème de sécurité a été découvert dans l’explorateur Internet Mozilla (ainsi que sur Firefox). Un individu mal attentionné peut donc créer un site web avec une fausse adresse dans la barre d’URL et ainsi se faire passer pour un site de confiance afin de vous voler par exemple vos identifications bancaires.
Cette news rappellera sûrement quelque chose aux utilisateurs de Internet Explorer qui avait sensiblement le même problème (qui a été corrigé, mais une nouvelle faille non corrigé à ce jour donne le même résultat)
Pour le moment aucune solution n’a été trouvée. En effet, c’est le langage XUL qui pose problème. Ce langage sert à créer des interfaces graphiques pour Mozilla. En gros une nouvelle fenêtre est crée avec une URL fausse pour se faire passer pour un explorateur complet. C’est donc une utilisation détournée des possibilités offertes par le langage. Notons qu’il est possible de faire la même chose sur IE avec des ActiveX.
Pour éviter de se faire piéger, il suffit d’être vigilant. La fenêtre créée affiche un menu identique à celui de base de FireFox, mais n’est pas fonctionnel. De plus les barres d’outils (WebDeveloper par exemple) ne s’affichera pas ainsi que les onglets si vous les avez mis en toujours visible. Prudence donc lors des visites sur des sites de commerce en ligne !
Une solution possible au problème, serait que le langage XUL identifie clairement les fenêtres créées (texte dans barre de titre, …)
Une démo du problème est disponible
ici
FireFox: http://frenchmozilla.sourceforge.net/firefox/
FireFox: http://www.mozilla.org/products/firefox/
MozillaZine: http://www.mozillazine.org/
Soit dit en passant, pour ma part comme j'utilise TabExtensions et que j'ai interdit toute nouvelle fenêtre pour en faire des tabs, j'ai un fake browser dans une tab... pas de stress donc
C'est contournable donc
Vi C contournable, mais sur IE aussi
mais quand on voit le succes des virus par mail, et depuis combien de temps ça dure, on peut se dire qu'il y a toujours des gens assez con pour ouvrir les pièces jointes, ou de filer leur identifiants bancaires sur un site pirate
Y a plus qu'à prier pour que l'effet darwin se propage