Journal Anti Phishing

Posté par  .
Étiquettes :
0
9
juin
2004
Salut,

comme pas mal de monde, je suis incrit à la liste d'information du très bon site http://www.secuser.com.(...) Et dans le résumé de cette semaine, un titre m'interpelle :
LES BONNES PRATIQUES ANTI-PHISHING EXISTENT MAIS RESTENT DIFFICILES A
METTRE EN OEUVRE (28/05/04) (http://solutions.journaldunet.com/0406/040601_anti_phishing.shtml(...))

J'ai cliqué, j'ai lu, et voici ma solution (je suis sur que c'est la votre, mais apparemment, ce n'est pas le cas des grands décideurs de ce monde) :
- ne pas utiliser IE, mais Firefox
- ne pas utiliser Outlook ou OE, mais Thunderbird.

Et yops, plus de Phishing...

Ce qui me fait le plus rire, c'est le fait de devoir faire des copier/coller des url pour éviter les failles de sécurité de IE... C'est vrai... Et on pourrait aussi aller à la bibliothèque au lieu d'utiliser internet...Non ?

Evidemment, je comprends que les gens sensés qui ne veulent pas attrapper de virus continuent de manipuler des outils qui sont des mediums de contamination et cherchent des gants assez étanches.... C'est sur, c'est plus imple que d'avoir des outils sains... Non ???

:-D

Allez, je sors encore -->[]

  • # Il n'y a pas que les bugs

    Posté par  . Évalué à 1.

    Tu oublies :
    - ne pas cliquer sur les fichiers attachés

    De plus, certains bugs de sécurité de IE utilisés en fishing (le \0, par exemple, si mes souvenirs sont bons) ont eu leurs équivalents sur Mozilla.

    Même si ne pas utilise IE/Outlook permet de rendre inopérant une bonne partie des techniques de fishing, ça n'empêchera pas les arnaques qui passent plus par l'émotionnel que par des bugs de sécu de fonctionner. Exemple : mail en html, un scénario alarmiste parlant de clôture de compte et un formulaire login/password pour ebay.
    Tant que les utilisateurs ne seront pas mieux éduqués, c'est pas gagné.

    • [^] # Re: Il n'y a pas que les bugs

      Posté par  . Évalué à 3.

      Exemple : mail en html, un scénario alarmiste parlant de clôture de compte et un formulaire login/password pour ebay.

      Une raison de plus de continuer d'utiliser des mails au format texte. Pour ce qu'apporte les courriels HTML...

      Ils apportent plus souvent des problèmes (ton exemple, les images cachées, les javascript qui vont bien avec OE, ...) qu'une réelle utilité de mise en page.

      C'est pas très français tout ça mais vous m'aurez compris je pense.

      • [^] # Re: Il n'y a pas que les bugs

        Posté par  . Évalué à 3.

        Sauf que l'html répond aux besoins d'une majorité. Il y a les images, mais aussi la possibilité d'écrire en couleur, avec des polices spéciales. Sans parler des signatures, et autres cartes de visites. Y en a qui aiment, et je ne pense pas qu'on puisse changer ces habitudes.
        Une solution : réduire l'html au formatage seul. Il existe des filtrages efficaces, pouvant limiter l'html à des tags bien définis (comme sur ce site), en utilisant une approche white list, secure by design (HTML::StripScript, par ex.).

        Du coup, fini le javascript, fini les frames. Mais il reste les fichiers attachés.

        • [^] # Re: Il n'y a pas que les bugs

          Posté par  (site web personnel) . Évalué à 2.

          Je l'ai déjà dis, mais la pluspart des mail en HTML que je reçois sont soit des SPAM, soit des textes sans aucun formatage.

          L'utilisateur normal envoi les mail par défaut en html même si ce n'est pas nécessaire. (juste car outlook ou hotmail est configuré comme ça)

    • [^] # Re: Il n'y a pas que les bugs

      Posté par  . Évalué à 3.

      « De plus, certains bugs de sécurité de IE utilisés en fishing (le \0, par exemple, si mes souvenirs sont bons) ont eu leurs équivalents sur Mozilla. »
      En ce qui concerne le spoofing d'url, Mozilla était partiellement vulnérable alors que que IE l'était totalement. La vulnérabilité sur Mozilla n'affectait que la barre d'état et pas la barre d'adresse. De plus, le correctif - disponible rapidement - fut intégré dans la version 1.6 qui est sortie début janvier.

      http://mozillazine-fr.org/archive.phtml?article=4078(...)
      http://bugzilla.mozilla.org/show_bug.cgi?id=228176(...)

      Néanmoins, ce sujet est toujours d'actualité chez Mozilla. Il s'agit de renforcer la protection face à ce genre de "piratage" en indiquant clairement à l'utilisateur le domaine sur lequel il se trouve :

      http://bugzilla.mozilla.org/show_bug.cgi?id=245406(...)
      http://weblogs.mozillazine.org/gerv/archives/005618.html(...)

      Fab.

  • # Pareil dans le 20 minutes de la veille :

    Posté par  . Évalué à 5.

    « Bref, dans un premier temps, se prémunir contre les virus consiste soit à changer de système d’exploitation (moins répandus, Mac et Linux sont beaucoup moins visés), soit utiliser des logiciels gratuits alternatifs à IE et Outlook, comme Mozilla, Opera ou Eudora.»

    http://www.20minutes.fr/journal/recherche/pop_article.php?ida=24959(...)

  • # mais euh...c'est quoi le phising ?

    Posté par  (Mastodon) . Évalué à 5.

    oui hein, je sais que c'est pas une dépêche mais je ne sais pas du tout ce que ça veut dire, alors une petite définition de phising n'aurait pas été un mal

    j'ai trouvé ça depuis un lien depuis ton url :
    http://encyclopedie.journaldunet.com/definition/591/3/2/phishing/(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.