Un gros problème de sécurité a été découvert dans l’explorateur Internet Mozilla (ainsi que sur Firefox). Un individu mal attentionné peut donc créer un site web avec une fausse adresse dans la barre d’URL et ainsi se faire passer pour un site de confiance afin de vous voler par exemple vos identifications bancaires.
Cette news rappellera sûrement quelque chose aux utilisateurs de Internet Explorer qui avait sensiblement le même problème (qui a été corrigé, mais une nouvelle faille non corrigé à ce jour donne le même résultat)
Pour le moment aucune solution n’a été trouvée. En effet, c’est le langage XUL qui pose problème. Ce langage sert à créer des interfaces graphiques pour Mozilla. En gros une nouvelle fenêtre est crée avec une URL fausse pour se faire passer pour un explorateur complet. C’est donc une utilisation détournée des possibilités offertes par le langage. Notons qu’il est possible de faire la même chose sur IE avec des ActiveX.
Pour éviter de se faire piéger, il suffit d’être vigilant. La fenêtre créée affiche un menu identique à celui de base de FireFox, mais n’est pas fonctionnel. De plus les barres d’outils (WebDeveloper par exemple) ne s’affichera pas ainsi que les onglets si vous les avez mis en toujours visible. Prudence donc lors des visites sur des sites de commerce en ligne !
Une solution possible au problème, serait que le langage XUL identifie clairement les fenêtres créées (texte dans barre de titre, …)
Une démo du problème est disponible ici
Cette news rappellera sûrement quelque chose aux utilisateurs de Internet Explorer qui avait sensiblement le même problème (qui a été corrigé, mais une nouvelle faille non corrigé à ce jour donne le même résultat)
Pour le moment aucune solution n’a été trouvée. En effet, c’est le langage XUL qui pose problème. Ce langage sert à créer des interfaces graphiques pour Mozilla. En gros une nouvelle fenêtre est crée avec une URL fausse pour se faire passer pour un explorateur complet. C’est donc une utilisation détournée des possibilités offertes par le langage. Notons qu’il est possible de faire la même chose sur IE avec des ActiveX.
Pour éviter de se faire piéger, il suffit d’être vigilant. La fenêtre créée affiche un menu identique à celui de base de FireFox, mais n’est pas fonctionnel. De plus les barres d’outils (WebDeveloper par exemple) ne s’affichera pas ainsi que les onglets si vous les avez mis en toujours visible. Prudence donc lors des visites sur des sites de commerce en ligne !
Une solution possible au problème, serait que le langage XUL identifie clairement les fenêtres créées (texte dans barre de titre, …)
Une démo du problème est disponible ici
Liens
Editer un commentaire