[FRnOG] Re: [FRnOG] Intérêt des IDN (Was: Rappel : le proc essus de signature de la racine du DNS est presque achevé
Bonjour, Le 14/04/10, Thomas Manginthomas.man...@exa-networks.co.uk a écrit : D'accord, tout peut arriver mais je trouve suspect le fait qu'on répète tant cette possibilité *théorique* d'attaque via les IDN alors qu'il existe des tas d'attaques *effectives* et quotidiennes qui ne suscitent pas autant d'intérêt. C'est pour cela que je pense qu'il y a mauvaise foi de la part de ceux qui refusent les IDN au prétexte du risque de hameçonnage. Quand les gens seront plus sensibilisés aux problèmes de phishing, je pense que c'est la que les attaques commenceront - pour rendre le mail de phishing aussi authentique que possible. La solution, ce n'est pas tout simplement d'apprendre (une fois pour toute) la différence entre HTTP et HTTPS? Y a-t-il un risque que quelqu'un parvienne à avoir un certificat SSL reconnu par les navigateurs et puisse faire du phising en toute impunité? De plus, on peut déjà obtenir des URL 'vraisemblable' sans passer par des caractères non-ascii: la différence entre un I et un l n'est pas flagrante ;) Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Intérêt des IDN (Was: Rappel : le proc essus de signature de la racine du DNS est presque achevé
Y a-t-il un risque que quelqu'un parvienne à avoir un certificat SSL reconnu par les navigateurs et puisse faire du phising en toute impunité? Autant que je sache, Le cout du certificat rend la campagne de phishing trop chère et donc pas rentable. Les escrocs eux-aussi ont de faibles marges sur le net :p Le certificat SSL reconnu par une autorité de confiance (nécessaire pour ne pas avoir d'alertes dans les navigateurs) nécessite une validation de la propriété du nom de domaine sur lequel il porte. C'est donc ça qui empêche le phishing en HTTPS. Il y a quelques failles permettant de générer des certificats reconnus comme valides par les navigateurs (NULL Character et MD5 collisions) mais elles ont été rapidement patchées. Si Mme Michu vérifiait que son site d'e-commerce est bien en HTTPS, il n'y aurait pas autant de phishing. PS: Un certificat SSL basique c'est très abordable de nos jours. Matthieu --- Liste de diffusion du FRnOG http://www.frnog.org/