mardi, février 08, 2005

Netcraft: Non-Microsoft Browsers Have Spoofing Flaw

Oui vous avez bien lu... une faille et pas des moindres vient d'etre trouvée... et elle touche FF (entres autres) et pas ie....

La démonstration faite ici est marquante.
Ca ressemble à paypal mais c'est pas paypal....
Il y a meme l'explication... C'est une sombre histoire, liée au protocole punycode.

Ce protocole a été construit pour permettre l'utilisation de caractères exotiques dans les urls.

Le code de la page est:
a href='http://www.p & # 1 0 7 2 ; ypal.com/'>Click here to enter paypal/a

a href='https://www.p & # 1 0 7 2 ; ypal.com/'>Click here to enter paypal via ssl/a


Or le code correspondant & # 1 0 7 2 ; (sans les espaces!) en unicode est a

C'est parceque FF reconnait ce code qu'il affiche dans la barre d'url www.paypal.com et pas
www.p& # 1 0 7 2 ; ypal.com

La question est maintenant de savoir pourquoi la resolution DNS se fait....
Lorsque l'on regarde la requete Http envoyée par FF en cliquant sur le lien qui correspond à http://www.p?ypal.com/
on a (fait grace a Livehttpheaders)

http://www.xn--pypal-4ve.com/favicon.ico

GET http://www.xn--pypal-4ve.com/favicon.ico HTTP/1.1
Host: www.xn--pypal-4ve.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.7.5) Gecko/20041107 Firefox/1.0
Accept: image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Proxy-Connection: keep-alive

HTTP/1.x 404 Not Found
Proxy-Connection: Keep-Alive
Connection: Keep-Alive
Date: Tue, 08 Feb 2005 15:15:44 GMT
Server: Apache/2.0.52 (Gentoo/Linux) mod_ssl/2.0.52 OpenSSL/0.9.7d DAV/2 PHP/4.3.9
Content-Length: 209
Content-Type: text/html; charset=iso-8859-1



La résolution se fait donc directement sur www.xn--pypal-4ve.com!!

L'impémentation du protocole punycode induit l'utilisation du systeme DNS
IDN qui est en Béta test.
En clair au lieu d'interroger votre DNS, lorsque FF croise du Punycode dans une URL il interroge et resoud a partir de la base IDN !

Pour qui www.p& # 1 0 7 2 ; ypal.com est en fait enregistré sous l'alias:
http://www.xn--pypal-4ve.com

Et voila comment on se retrouve en voulant bien faire avec une URL affichée qui ne
correspond pas au serveur web que l'on pense attaquer.....

Youyouyou plus que jamais il faut sortir couvert!!




2 commentaires:

Anonyme a dit…

Halte au FUD ! Ce n'est pas une faille. Et dire que IE n'est pas touché est un ?phemisme car il ne supporte pas du tout cette fonctionalité. Du même ordre d'idée, je parie qu'un vieux Mosaic n'est pas "touché" également ;-)

Mais faut-il en déduire qu'il est plus sécurisé ?

On parle ici de problème de Phishing (usurpation d'identité en vue de récupérer des informations précises) et non pas de faille (bogue de sécurité dans un logiciel permetant de contourner toutes les protections !).

Oui, les homographes sont un problème important, et oui, à moins de ne plus supporter les URL unicode il n'y a pas d'alternatives !

Ce problème est connu depuis longtemps et le fait qu'il surgisse maintenant laisse plutôt à penser qu'il s'agit là d'une man?uvre savament orchestré par MS pour discrédité un oposant qui mord sur ses parts de marché.

Perso, je trouve que MS ferait mieux de bosser à reécrire proprement son navigateur et corrigé ainsi les quantités de failles qui permettent bien plus que de "faire croire" que l'on est sur un site mais tout simplement avoir un contrôle total de la machine (et de ses logiciels !).

Je ne pretent pas que FireFox soit parfait ou bien inviolable, simplement qu'à ce jour la sécurité dans IE à prouvé être proche de zéro et que FireFox lui propose pour l'instant un niveau bien supérieur. Alors pourquoi persister avec IE ? Et si un jour MS arrive à solutioner ces problèmes alors un retour sous IE pourrait être envisagé ;-)

En attendant ....

Loran Bernardi a dit…

Bonjour,
ce n'etait pas du FUD! :)
Et surtout loin de moi l'idée de dénigrer FireFox! Je n'utilise plus que FF depuis longtemps.
(Et open Office et Jabber et bien d'autres a commencer par Linux quand c'est possible).
Ceci dit, c'est parceque j'aime bien FF que je tiens a signaler ce genre de "dysfonctionnement", qui peuvent avoir de graves conséquences. Et si le punycode ne peut éviter ce genre d'écueil et bien... il ne doit pas être utilisé. Sans cela on risque d'exposer Firefox aux memes critiques que ie. (Critiques qui sont qujourd'hui toutes théoriques puisque la faille n'a pas été pour l'instant a ma connaissnca exploitée a mauvais escient)
En tout cas merci pour votre commentaire!.
A bientot.