On Wed, 09 Feb 2005 23:41:04 +0100, christianwtd <[EMAIL PROTECTED]> wrote: > Bonsoir, > > Ca peut vous interesser : > http://www.clubic.com/actualite-18495-une-nouvelle-faille-dans-firefox-et-cie.html
lu dans les news: Mozilla ne peut rien faire, car ce n'est pas une faille du navigateur. C'est une faille introduite dans la sp�cification des noms de domaines internationalis�ess, ou plus pr�cis�ment le fait d'avoir mis cela en route sans aucune instructions pour les enregistrement de noms de domaines et de certificats serveurs de mani�re � �viter ce probl�me. Une explication de la nature du probl�me qui ne semble pas tr�s clairement d�crit sur un certain nombre de pages : Les noms de domaine �taient jusque assez r�cemment limit� � de l'ASCII, pas de caract�re accentu�s, ni aucun caract�re non-anglais. Une norme a �t� introduite pour permettre de lever cette restriction, et autoriser n'importe quel caract�re unicode dans un nom de domaine. IE ne l'impl�mente toujours pas par d�faut (il faut un plug-in), mais plusieurs autres navigateurs dont mozilla, si. Le probl�me, c'est que du coup n'importe quel caract�re unicode peut �tre utilis� dans le nom du domaine, et qu'il y a des caract�res qui se ressemblent �norm�ment entre eux. En l'occurence, la fraude utilise les caract�res cyrilliques U043E et U0441. U043E ressemble exactement � un 'o' latin, et U0441 � un 'c' latin => facile de faire un faux 'microsoft' avec, dans lequel le 'c' et le 'o' ne sont pas r�ellement un 'c' et un 'o'. Il y a aussi U0430 qui ressemble exactement � un 'a' latin, si on veut faire 'paypal'. Cf le tableau ici : http://jrgraphix.net/research/unicode_blocks.php?block=8 -- Jean-Max Reymond CKR Solutions Nice France http://www.ckr-solutions.com --------------------------------------------------------------------- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
