Une vulnérabilité de type mystification d'URL (« URL Spoofing ») a été identifiée dans Mozilla WebBrowser, elle pourrait être exploitée afin de manipuler les informations affichées sur la barre d'état. Ce problème résulte d'une erreur dans la vérification des entrées, qui peut être utilisé par un attaquant afin de cacher la vrai URL d'une page malicieuse sous une URL de confiance en incluant les caractères "%01" et "%00" avant le caractère @.
L'URL http://www.site_confiance.com%01%00@sitemalicieux.com/attaquant.html affichera uniquement www.site_confiance.com dans la barre d'état.
Donc attention aux liens avant de cliquer !
Aller plus loin
# Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par ploum (site web personnel, Mastodon) . Évalué à -2.
Et que vous pouvez critiquer IE, Mozilla est pas mieux ! Na..
(c'est juste pour enlever le plaisir à pBpG , PierreBugnon et autres de poster ce message ;) )
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par free2.org . Évalué à 8.
http://www.microsoft.com%01%00@k-otik.net/bugtraq/12.09.IE.htm(...)
qund on clique sur l'URL de test de bugtraq
nom@site.com/toto est la syntaxe habituelle des URL pour s'authentifier auprès de certains serveurs (FTP surtout je crois)
bon ok, les novices peuvent se faire avoir donc il vaut mieux changer ce comportenent par défaut
[^] # Mise à jour News avec versions vulnérables
Posté par free2.org . Évalué à 6.
il faut mettre à jour le texte de la News avec les versions vraiment vulnérables:
Mozilla 1.0.2 (Linux) VIEILLE VERSION
Mozilla 1.5 (Windows)
et donc ne concerne pas firebird 0.7
[^] # Re: Mise à jour News avec versions vulnérables
Posté par Gniarf . Évalué à 5.
[^] # Re: Mise à jour News avec versions vulnérables
Posté par dinomasque . Évalué à 0.
BeOS le faisait il y a 20 ans !
[^] # Re: Mise à jour News avec versions vulnérables
Posté par L. R. . Évalué à 0.
[^] # Re: Mise à jour News avec versions vulnérables
Posté par Troy McClure (site web personnel) . Évalué à 1.
[^] # Re: Mise à jour News avec versions vulnérables
Posté par free2.org . Évalué à 2.
et pas www.prout.com
donc ça marche pas vraiment chez moi
[^] # Re: Mise à jour News avec versions vulnérables
Posté par Yann Cochard (site web personnel) . Évalué à 1.
C'est justement ça l'effet recherché !
Exemple :
www.site-de-ta-banque.com%01%00@site-malicieux.com/
Dans la barre d'adresse tu verras un truc qui commence par l'adresse du site de ta banque, donc tu ne t'inquiète pas. Mais le navigateur affiche la page du site-malicieuxcom, qui récupérera ton mot de passe grâce à une page identique à celle ta banque.
Yann
[^] # Re: Mise à jour News avec versions vulnérables
Posté par allcolor (site web personnel) . Évalué à 0.
Voici l'url...
http://www.prout.com%2Fcoin%00@www.plop.org(...)
Chez lui (et chez moi aussi d'ailleurs), j'ai ceci dans la barre d'url
http://www2.plop.org:83/(...) et non http://www.prout.com(...)
ton exemple est celui-ci :
www.site-de-ta-banque.com%01%00@site-malicieux.com/
donc dans le même ordre qu'au-dessus, ça donne:
site-malicieux.com/ et non www.site-de-ta-banque.com/
Donc pas de bug dans la barre d'url... Lis bien avant de répondre
[^] # Re: Mise à jour News avec versions vulnérables
Posté par Erwan . Évalué à 8.
[^] # Re: Mise à jour News avec versions vulnérables
Posté par Troy McClure (site web personnel) . Évalué à 5.
Il n'empêche qu'en l'état il y a quand même moyen de faire des blagues de mauvais goût avec ces fausses urls, ne serait-ce que sur la tribune :°)
[^] # Re: Mise à jour News avec versions vulnérables
Posté par Jean-Christophe Berthon (site web personnel) . Évalué à 8.
Avec ton URL (sans le %01 qui affiche un gros carré comme caractère) Mozilla 1.5 tout comme Firebird 0.7 se font avoir en ce qui concerne la barre d'état seulement.
Apparement, Opera (en version 7.23) affiche correctement l'URL que se soit avec le bug d'IE ou celui de Mozilla/Firebird. De plus lorsque l'on clique sur l'URL, un avertissement apparait!
Bref, voici les navigateurs vulnérables au %00 ou %01:
- Mozilla 1.5 (windows)
- Firebird 0.7 (windows)
- Internet Explorer 6 SP1 (windows)
Et ceux qui ne le sont pas:
- lynx (linux)
- Opera 7.23 (windows)
Pour les autres versions/navigateurs, il faut tester :-)
[^] # Re: Mise à jour News avec versions vulnérables
Posté par gyom . Évalué à 2.
[^] # Re: Mise à jour News avec versions vulnérables
Posté par Ackira . Évalué à 2.
Mozilla 1.3
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.3) Gecko/20030430 Debian/1.3-5
C'est le packet debian.
[^] # Re: Mise à jour News avec versions vulnérables
Posté par Philippe F (site web personnel) . Évalué à 1.
[^] # Re: Mise à jour News avec versions vulnérables
Posté par Mathias Bavay (site web personnel) . Évalué à 1.
Mathias
[^] # Re: Mise à jour News avec versions vulnérables
Posté par Tian (site web personnel) . Évalué à 1.
Regarde le source de la page sur laquelle tu arrives pour t'en convaincre ;)
[^] # Re: Mise à jour News avec versions vulnérables
Posté par lbz lbz (site web personnel) . Évalué à 1.
Internet Explorer 5.5 (win) =>vunerable
[^] # Re: Mise à jour News avec versions vulnérables
Posté par calandoa . Évalué à 1.
Ça déchire opera!
[^] # Re: Mise à jour News avec versions vulnérables
Posté par Victor STINNER (site web personnel) . Évalué à 1.
@+ Haypo
[^] # Re: Mise à jour News avec versions vulnérables
Posté par mickabouille . Évalué à 1.
Le À propos de Mozilla annonce
Gecko/20030908 Debian/1.4-4
[^] # Re: Mise à jour News avec versions vulnérables
Posté par Dorianbis . Évalué à 1.
Il n'y donc pas que la 1.0.2 sous Linux qui est affectée comme indiqué sur le site K-Otik
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par Pierre . Évalué à 1.
Marrant. dans mon galeon, ça affiche le dernier message qu'il y a eu dans la barre de status.
>http://www.microsoft.com%00@k-otik.net/bugtraq/12.09.IE.htm(...)
et celle là affiche juste www.microsoft.com
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par ASpirit . Évalué à 1.
Pour ma part, Galeon 1.3.10 affiche la même chose pour les deux. C'est à dire l'adresse du Grand Méchant.
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par Pierre . Évalué à 1.
Disons que ça affiche la même chose sur les 2 si tu commence à survoler la 2 eme URL.
La premiere URL affiche bizarement le message précédent. ça peut être "Chargement de la page", si tu n'a survolé aucun lien avant. ou mi**soft.com si tu a survolé l'autre lien juste avant.
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par ASpirit . Évalué à 1.
En effet j'ai la même chose.
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par L. R. . Évalué à 1.
"Normal", pas tellement en fait vu qu'ils auraient pu vérifier ça aussi =)
Et j'ai du mal à comprendre pourquoi faudrait un %01 devant :/
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par Julien Wajsberg . Évalué à 1.
C'est la syntaxe pour une URL pour donner des login/mots de passe. C'est surtout utilisé dans les navigateurs, mais également ailleurs: par exemple, ncftp peut prendre ce type d'url en argument :)
donc http://user:pass@site:port/path/to/file(...)
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par nooky59 . Évalué à 1.
Là, où çà devient marrant c'est que Microsoft ne prévoient pas de publier de pack de correctif mensuel en Décembre donc tu vas rester avec cette faille dans IE jusqu'en Janvier. C'est du foutage de gueule, tu parles d'une avance.
Mozilla est donc beaucoup mieux, plus réactif au niveau sécurité et comment une suite logicielle qui respecte les standards, propose des choses comme la navigation par onglet, l'anti pop-up, la gestion des mots de passe, la protection de l'ensemble de la suite par un mot de passe de sécurité unique pourrait être en retard sur IE...
# Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par David pasmalin (site web personnel) . Évalué à 1.
quid de firebird ??
pm
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par ploum (site web personnel, Mastodon) . Évalué à 1.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par passant·e . Évalué à 1.
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.5) Gecko/20031007 Firebird/0.7
Je trolle dès quand ça parle business, sécurité et sciences sociales
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par David pasmalin (site web personnel) . Évalué à 1.
nan ?
pm
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par Anonyme . Évalué à 3.
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par M . Évalué à 6.
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par M . Évalué à 4.
# Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par fifik . Évalué à 2.
# Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par uriel . Évalué à 6.
IE lui est concerné par les 2...
# Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par atmaniak (site web personnel) . Évalué à 2.
# Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par pifou . Évalué à 8.
Je n'ai jamais fait confiance à l'information affichée dans la barre d'état, sachant que cette information peut être simplement changée avec un petit bout de javascript. Il suffit de regarder le code source de http://oridani.com/ie.html(...) où on trouve le code suivant :
<a href="http://www.microsoft.com(...)" onClick="location.href=unescape('http://www.microsoft.com%01@oridani.com/ie2.html'(...));return(false);"> Utilisateurs d'IE ne cliquez pas ici, sinon vous allez vouloir changer de browser</a>
Par contre dans la barre d'adresse c'est quand même plus ennuyeux, celle ci étant normalement non modifiable par un quelconque code.
Voila, ce n'est qu'un autre moyen de cacher la véritable adresse du site sur lequel pointe l'URL.
# Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par Bernez . Évalué à 1.
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par j . Évalué à 3.
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par Yann Cochard (site web personnel) . Évalué à 2.
www.example.com%01%00@example.com/
Super ;-)
OK je --> []
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par Ramso . Évalué à 2.
# Mozilla partiellement vulnérable au défaut de sécurité de mystification d'URL d'Internet Explorer
Posté par Bruno Ethvignot (site web personnel) . Évalué à 8.
http://www.mozillazine-fr.org/archive.phtml?article=4078(...)
jeudi 11 décembre 2003
Koody nous communique que Mozilla est partiellement vulnérable au trou de sécurité de mystification d'URL d'Internet Explorer récemment annoncé. Le dernier défaut d'IE permet à un attaquant de déguiser le vrai domaine d'une URL dans la barre d'adresse du navigateur, permettant à une page localisée sur evilscam.net de paraitre être sur microsoft.com. Cet exploit peut être utilisé pour augmenter l'efficacité des escroqueries communément appellés « phishing » qui ont récemment été utilisées pour viser les clients de PayPal, d'eBay et de plusieurs banques en ligne.
La défaut de mystification de l'URL de la barre d'adresse a été annoncé à l'origine par Sam « Zap The Dingbat » Greenhalgh, qui a donné les détails de l'exploit et une démonstration. La société de sécurité Secunia a publié un rapport consultatif de la vulnérabilité, avec une mise à jour de Chris Hall annonçant que l'URL affichée dans la barre d'état lorsque le pointeur souris survol le lien d' une page mystifiée est aussi affectée. Bien que les navigateurs basés sur Mozilla comme la suite applicative Mozilla et Mozilla Firebird sont immunisés à la mystification de la barre d'adresse la plus grave, ils semblent être vulnérables à la variante de la barre d'état.
Le test proposé par Secunia de mystification de l'URL de la barre d'adresse d'Internet Explorer démontre a la fois le défaut complet de IE et l'aspect barre d'état qui affecte Mozilla. Le rapport de Bugzilla approprié est le bogue 228176, qui a été remplit aujourd'hui et a déjà un correctif préliminaire en attachement (n'ajoutez pas s'il vous plaît de commentaires inutiles au bogue ; les développeurs sont déjà conscients de son sérieux. Il est recommandé aux utilisateurs de Mozilla de ne pas tenir compte de l'URL affichée dans la barre d'état et de vérifier l'adresse complète de la page de destination dans la barre d'adresse une fois arrivé sur le site.
http://www.theage.com.au/articles/2003/12/12/1071125632006.html(...)
http://www.zapthedingbat.com/security/ex01/vun1.htm(...)
http://www.secunia.com/advisories/10395/(...)
http://www.secunia.com/internet_explorer_address_bar_spoofing_test(...)
http://bugzilla.mozilla.org/show_bug.cgi?id=228176(...)
# Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par Éric (site web personnel) . Évalué à 9.
Ah non, le problème n'a rien de similaire. MSIE permet de trafiquer une information "de confiance". La barre d'adresse ne devrait pas pouvoir être "fausse". On ne sait pas qu'on est arrivé sur le mauvais site
Mozo a un bug d'affichage sur le statut ... sauf que le webmaster a déjà la possibilité de mettre ce qu'il veut dans la barre de statut via javascript. Du coup je ne vois pas où est le problème. Si le webmaster voulait spoofer la barre d'adresse il le ferait d'abord via le javascript fait pour que via une url bidon (qui en plus se verrait par la suite dans la barre d'adresse).
La barre d'adresse étant toujours ok, on sait qu'on est sur le mauvais site.
onmouseover="top.window.status='http://www.microsoft.com'(...)" est vachement plus simple et personne n'a jamais vu ça comme une faille de sécurité, pourtant le résultat est le même
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par Gniarf . Évalué à 1.
# Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par yoconono . Évalué à 4.
Etant donné la faille IE precedente ca a un effet pervers. J'ai vu des remarques stipulant que mozz est vulnérable à la même faille qu'ie, ce qui est loin d'être vrai
C'est dangeureux certe (plus embetant que dangereux certes), mais sans commune mesure avec la faille IE
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par choocroot . Évalué à 6.
Je prefere qu'on en parle, plutot que de le passer sous silence, parce qu'IE et Mozilla ne sont peut être pas les seuls a être touchés par ce défaut...
« J'ai vu des remarques stipulant que mozz est vulnérable à la même faille qu'ie, ce qui est loin d'être vrai. »
Ce n'est peut être pas grave, mais avoir dans son code un comportement qu'on a pas prévus c'est toujours embêtant et rien ne dit qu'on ne puisse pas faire des choses plus embêtante avec. Je ne serais pas surpris que beaucoup de personnes soient en train de vérifier leur code de gestion des URI en ce moment même :)
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par Nap . Évalué à 1.
sous epiphany la barre d'état beug (faux nom + point d'interrogation)
# Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par Pierre . Évalué à 2.
Peu de gens désactivent l'écriture dans la barre de status par les javascripts.
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par Mes Zigues . Évalué à 1.
Beaucoup plus que tu ne le penses et surtout inconsciemment par exemple en mettant du texte qui défile dans la barre d'état.
A ce propos dans Mozilla, quand on navigue avec des onglets, c'est le denier onglet qui a écrit dans la barre d'état qui affiche du contenu dans la barre d'état.
Jusqu'à maintenant, je trouvais cela normal, l'ecmascript s'exécute à l'ouverture de la page. Mais est-ce vraiement normal, ne faudrait-il pas que l'ecmascript s'exécute à l'affichage de l'onglet ?
PS : on doit dire ecmascript car maintenant c'est l'ECMA qui stansdardise le javascript, de plus n'a rien à voir avec java.
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par Éric (site web personnel) . Évalué à 1.
> n'a rien à voir avec java.
Pas vraiment,
Javascript, jscript et Rihno* sont tous trois des implémentations du standard ecma, mais ce sont bien des langages à part entière avec des différences
* (je peux me tromper dans ce dernier nom mais j'ai la flemme de vérifier)
# Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par Eric Boulat . Évalué à 2.
Mais au fait, konqueror c'est véritablement un nouveau moteur où bien ils ont repris le code de mozilla ?
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par ASpirit . Évalué à 2.
Moins compatible malheureusement mais ça se comprend.
Fais des testes avec certaines pages et tu verras que c'est parfois bien différent.
# Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par L. R. . Évalué à 1.
C'est là la différence fondamentale entre Mozilla et IE, la réactivité des développeurs !
Et puis comme MS ne sait plus ce qu'ils publient comme patchs et par qui ça a été émi... lol :)
[^] # Re: Mozilla Status Bar URL parsing and Spoofing Vulnerability
Posté par hugo (site web personnel) . Évalué à 0.
# Correction de la nouvelle !!!!!!!!!!!!!!!
Posté par bobsinclar5 . Évalué à 10.
Titre 100% anglais !
Mozilla Status Bar URL parsing and Spoofing Vulnerability
Préférez :
Vulnérabilité de mystification de l'URL dans la barre d'état de Mozilla
"URL Spoofing"
Préférez :
"Mystification de l'URL"
les informations affichées sur la barre d'adresses et la barre
Préférez :
les informations affichées sur la barre d'adresses et la barre
Seule la barre d'état est affectée, pas la barre d'adresse !
uniquement www.site_confiance.com dans la barre d'adresse et la barre d'état.
Préférez :
uniquement www.site_confiance.com dans la barre d'état.
Seule la barre d'état est affectée, pas la barre d'adresse !
Le minimum est aussi de donner le bogue ouvert dans Mozilla, http://bugzilla.mozilla.org/show_bug.cgi?id=228176,(...) et d'indiquer q'un correctif préliminaire est en attachement de ce bogue.
[^] # Re: Correction de la nouvelle !!!!!!!!!!!!!!!
Posté par Eric . Évalué à -2.
"Mystification de l'URL" ... nous devnons aussi couillons que les américains avec leurs "Liberty Fries" :-D
Il y a des termes anglais très utilisés et qui signifient quelque chose de concret, pourquoi les remplacer par des traductions étranges qui n'évoquent rien tant elles sont peu utilisées en pratique (autre exemple : thread => filament, socket => prise qui rendent la lecture "étrange" de certains articles dans l'excellent "Linux Les Dossiers" sur le C) ?
[^] # Re: Correction de la nouvelle !!!!!!!!!!!!!!!
Posté par Anonyme . Évalué à 6.
Tu n'as pas l'impression de tout mélanger ?
Va parler de « URL spoofing » à n'importe qui hormis un informaticien, il est probable qu'il n'aura aucune idée de ce dont tu parles. Mystification d'URL est nettement plus abordable.
Mais tout ceci n'a franchement rien à voir avec le fait de renommer un aliment pour se plaindre de l'attitude internationale d'un pays !
J'ajouterais que tes « termes anglais très utilisés » ne signifient que quelque chose de concret à tes yeux parce que ces termes anglais en eux même n'évoquent pas grand chose pour toi (pour un anglophone, thread n'est pas plus ni moins concret que « filament » pour un francophone).
[^] # Re: Correction de la nouvelle !!!!!!!!!!!!!!!
Posté par bobsinclar5 . Évalué à 4.
Je trouve seulement que "mystification de l'URL" est beaucoup plus parlant que "URL spoofing" !
Si je dis ton "URL est mystifiée", j'ai plus de chance d'être compris que si je dis ton "URL est spoofée" (qui est incorrect).
Si certains sont difficilement traduisibles (pixel, bit, soket, ...) ne nous laissons pas envahir par les termes anglais et utilisons le terme français s'il existe.
LinuxFr est un site d'informations en français, donc écrivons français ! Pour les autres http://slashdot.org/(...) !
[^] # Re: Correction de la nouvelle !!!!!!!!!!!!!!!
Posté par Zorro (site web personnel) . Évalué à 6.
"Spoofing" se traduit bien mieux par "usurpation", je trouve.
Mais bon, si tu sais pas ce que veut dire "mystification", faut peut-être retourner à l'école ? Perso, quand je vois "mystification", je sais tout de suite de quoi ça parle, et je préfère utiliser le mot français qui traduit mieux ma pensée que le mot anglais que seuls comprendront les initiés.
[^] # Re: Correction de la nouvelle !!!!!!!!!!!!!!!
Posté par Eric . Évalué à 1.
Quant à retourner à l'école je n'ai pas l'honneur de connaître Monsieur Zorro et je ne le juge pas il pourrait faire de même en retour car ce n'est pas le sens du mot qui m'a fait réagir mais la traduction que je trouve peu compréhensible dans le contexte c'est tout.
Enfin, un non initié répondra : mystification de quoi ? ;-)
[^] # Re: Correction de la nouvelle !!!!!!!!!!!!!!!
Posté par Bruno Ethvignot (site web personnel) . Évalué à 1.
Ben de l'URL, "mystification de l'URL". Normal que tu ne piges rien, faut lire tous les mots de la phrase :-)
[^] # Re: Correction de la nouvelle !!!!!!!!!!!!!!!
Posté par Bruno Ethvignot (site web personnel) . Évalué à 1.
Le mot "mystification" est celui proposé par http://www.granddictionnaire.com(...) .
Et je le trouve plus adapté à la réalité. Puisque mystifier c'est duper, ce qui est plus le cas, alors qu'usurper c'est s'emparer de quelque chose.
Mystifier :
Tromper (qqn) en abusant de sa crédulité et s'amuser à ses dépends . V Abuser, duper, leurrer.
Usurper :
S'approprier sans droit, par la violence ou la fraude (un pouvoir, une dignité, un bien) V. Arroger (s'), attribuer (s'), emparer (s'). Usurper un pouvoir, un titre, un nom, des honneurs. Obtenir de façon illégitime.
# Re: Vulnérabilité de mystification de l'URL dans la barre d'état de Mozilla
Posté par dawar (site web personnel) . Évalué à 7.
Personne ne regarde cette barre d'état, qui est martyrisé quotidiennement par du javascript. Entre les adresses bidons de liens et les messages débiles qui défillent, qui se fie à cette barre ?
Ca fait des années qu'un javascript peut changer la barre d'état aussi bien sous netscape, IE ou mozilla (et opéra ?), pour moi c'est vraiment 1000 fois moins grave que de pouvoir corrompre la barre d'URL qui elle doit être intouchable.
Enfin, beaucoup de bruit pour rien, il y'a surement des bugs plus importants a corriger dans mozilla...
Ps : le "bug" est aussi dispo pour mozilla 1.6b OS X.
[^] # Re: Vulnérabilité de mystification de l'URL dans la barre d'état de Mozilla
Posté par MagicNinja . Évalué à 2.
Pour que les barres d'état ne deviennent pas des martyrs : Preferences -> Advanced -> Script & Plugins -> Change status bar text (comme dit plus haut dans les commentaires :)
Sauvons nos barres d'état :)
[^] # Re: Vulnérabilité de mystification de l'URL dans la barre d'état de Mozilla
Posté par Zenitram (site web personnel) . Évalué à 1.
En voyant la news, je me suis dit "ben non alors!"
Je teste, je lance mon IE adoré (ca faisait un moment, j'ai mis du temps a le retrouver :) ), et ca marche : microsoft.com affiche des ocnnerie, le spoofing marche. idem pour la barre de tache.
Hop, allez, mon petit Firebird : commence par etre louche, il y a un gros carré a la fin de texte. De toutes facon, on s'en fout, n'importe quel webmaster peut faire ce qu'uil veut, pas grave. Je clique dessus. Ben euh... je vois une URL bizarre, hop c'est bon Firebird n'est pas atteint.
Faut qu'on m'explique ou est vraiment la vulnérabilité.
Pour moi, ce n'est pas du tout une vulnérabilité : personne ne peut exploiter la chose, un webmaster pouvait deja faire la meme chose avec JavaScript.
C'est un bug mineur, rien de plus.
Si on commence a parler de tous les bugs mineurs de toutes les applis...
[^] # Re: Vulnérabilité de mystification de l'URL dans la barre d'état de Mozilla
Posté par Matthieu Moy (site web personnel) . Évalué à 2.
Pas ici en principe
http://www.microsoft.com%2F%00@linuxfr.org/(...)
> un webmaster pouvait deja faire la meme chose avec JavaScript.
Sauf que les parano ont tous désactivé cette fonctionalité, et ont donc confiance en leur barre de status. (Advanced > Scripts & plugins dans les préférences de Moz.)
Donc, c'est une vulnérabilité pour les paranos, et un bug mineur pour les gens normaux.
[^] # Re: Vulnérabilité de mystification de l'URL dans la barre d'état de Mozilla
Posté par Mathieu Pillard (site web personnel) . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.