Une nouvelle faille a été découverte dans Internet Explorer par le site "Zap The Dingba". Il s'agit d'un problème sur le formatage des urls. Cette faille offre la possiblilité à un attaquant de subtiliser des informations via un faux sites.
 
L'attaquant peut envoyer à la victime une url spécialement formatée avec le caractère 0x01 avant le signe @. L'utilisateur pense être sur son site. Hors, il est détourné via un autre site. Le plus simple est de vous montrer un exemple via ce lien : http://www.google.com%01@www.hackers-news.com.
 
Il n'existe pas de patch pour le moment. Microsoft a été contacté....
 
A suivre !

je comprend pas le probleme kan je click sur ton lien je tombe sur hacker news et je garde la meme url dans la barreg mozilla et je voi pas ce que tu peu recuperer avec ca

Créer des faux liens! Un faux sites ! Style une fausses banques et récupérer les logins. Tu masques liens et l'utilisateur ne surveille pas toujours les urls. Il pense être chez Ebay mais il est sur un fake !

 
 
      pfff au secours mon PC va prendre feu

franchement je voi pas ou c'est une erreur ou un bug ... et pi la supercherie tu peu la faire aussi avec une url style ebay.com.tk  ou http://ebay.warlord-news.com  je voi  tjs pas le soucis

 
Oui ton exemple est pertinent. Mais cette faille est plus facilement exploitable et rapide. Tu dumps le site de Ebay sur ton site pour créer un fake. Tu détourne les users vers ton site. Ni vu Ni connu !
 
Si tu ne vois pas. Je ne peux plus rien faire....

A mon avis, l'exemple suivant est plus pertinent:
http://www.google.com
 
Edit: sous IE normal on peut se faire avoir, sous un autre browser ... Meme avec CB on voit que y a une feinte.

J'abandonne.... J'ai oublié... Juste pour information aussi...
 
Link :  
http://www.ixus.net/modules.php?name=News&sid=596
http://www.zataz.com/zatazv7/news. [...] fc=hZ6LnoU

Tiens cela vient d'être publier chez Security Focus ! http://www.securityfocus.com/archive/1/346948

Ha ok je comprends mieux avec leurs explications
Mais pour ma part, je considère plus que c'est un bug qu'une faille ...

OUffffffffffffffffff désolé si j'ai un peu de mal à me faire comprendre ! Cela fait plaisir

 
ouai, c'est bien ce que je pense... Comme par hasard, ça n'affecte qu'IE encore une fois...  

www.gratuits.net

Mozilla Status Bar URL parsing and Spoofing Vulnerability
 
http://www.k-otik.net/bugtraq/12.13.Mozilla.php
 
Date de Publication: 2003-12-13 © K-OTik.COM
 Titre: Mozilla Status Bar URL parsing and Spoofing Vulnerability
 K-Otik ID : 0462
 Risque : Elevé
 Exploitable à distance : Oui
 Exploitable en local : Oui
 
 
 * Description Technique - Exploit *
 
Une vulnérabilité similaire à "Internet Explorer URL Spoofing" a été découverte dans Mozilla WebBrowser, elle pourrait être exploitée afin de manipuler les informations affichées sur la barre d'état. Ce problème résulte d'une erreur dans la vérification des entrées, qui peut être utilisé par un attaquant afin de cacher la vrai URL d'une page malicieuse sous une URL de confiance en incluant les caractères "%01" et "%00" avant le caractère @.
 
L'URL http://www.siteconfiance.com%01%00 [...] quant.html affichera uniquement www.siteconfiance.com dans la barre d'état.
 

 
Marche pas chez moi. Mozilla 1.5 sous Linux, et de plus, dans l'adresse réduite, on voit un carré suspect...

Firebird 0.7, je vois le carré mais je suis bien dirigé vers le site malicieux.

 
De toutes manières, même si tu es redirigé, tu auras la VRAIE adresse dans la barre d'adresse, donc c'est pas DU TOUT comparable à la faille d'IE hein...  

exemple :
 
http://www.google.com%01%00@yahoo.com

oui mais là c'est un peu gros

 
Non, ça n'a rien à voir. Tu peux mettre n'importe quelle adresse, elle apparaitra de toutes manières dans la barre d'adresse à l'arrivée. ça na RIEN à voir avec le bug d'IE.

Avec IE, l'adresse de la barre d'adresse aprè avoir cliqué est la vraie (yahoo.com dans ton exemple précédent).
 
La seule différence entre IE et Mozilla/Firebird que je vois est la présence du petit carré dan la barre d'état.

 
Ah ? Moi j'avais entendu le contraire pourtant... A partir du moment où la VRAIE adresse apparait dans la barre d'adresse, il n'y a plus de problème, puisque tu sais que tu n'es pas sur la bonne page.

Test :  
 
http://www.microsoft.com

 
J'ai rien chez moi.

A partir du lien vers K-otik, il y a un exemple avec un faux lien vers Microsoft.
 
Avec Mozilla, la page ouverte à pour adresse affichée la fausse adresse
Avec IE, l'adresse affichée est microsoft.com.
 
Je n'arrive pas à reproduire ce résultat avec le test précédent.
 
Donc à priori, le "bug" est plus embêtant sous IE.

Rien ? C'est à dire ?

 
Non, il est pas plus embettant.
 
Sous IE, ya bug, alors que sous Mozilla non... Point final... (remarque, ne me dis pas que tu es surpris, si ? )  

 
J'ai l'adresse du fake dans la barre.

 

 
fo que joce prenne en compte le bug pour le forum !
 

Ben disons, que l'adresse de la barre d'état est tout de même trompeuse (si ce n'est le carré).

 
Oui, enfin quand tu auras dans ta barre d'adresse : http://www.google.com%01@www.jeten [...] emerci.php
 
tu vas pas non plus faire un virement hein...  

Ce qui est gênant, c'est de se retrouver sur un site de cul par exemple alors que je pensais aller tranquillement sur google.

 
Bof, moi je m'en fous... Avec Mozilla, j'ai aucun popup, donc, j'ai juste à fermer la fenêtre et puis basta...