ou allons nous ?

par **tomtom** » 19 Nov 2002 18:15

Bonojur ixussiens, ça fiat longtemps que je n'ai pas posté une petite mise en garde sécurité ( hé oui j'ai pas trop le temps en ce moment). Voici la leçon du jour : "mefiez vous des urls". Avant de commencer, un exemple : <A HREF="http://www.ixus.net@3639555429" TARGET="_blank">http://www.ixus.net@3639555429</A> hé non, ce n'est pas ixus qui est au bout ! Ceux qui connaissent cette notation, bravo, pour les autres, quelques explications.... Une page Internet est disponible à une adresse : <a href="http://www.google.fr" target="_blank">http://www.google.fr</a> Cette adresse (une URL) correspond à ceci : <a href="protocole://utilisateur:mot_de_passe@hote/page_index" target="_blank">protocole://utilisateur:mot_de_passe@hote/page_index</a> C'est le veritable format d'une URL, voire les rfc... Pour créer l'URL du départ, plusieurs astuces : 1- l'hote peut bioen être une adresse ip, donc mon url est en fait : <a href="http://www.ixus.net@216.239.53.101" target="_blank">http://www.ixus.net@216.239.53.101</a> 2- une adresse ip peut s'ecrire de manière décimale : 216*2^24 + 239*2^16 + 53*2^8 + 101 = 3639555429 3- on peut placer un nom d'utilisateur devant un hote, et si ce nom est inconnu on met ce qu'on veut, ce n'est pas interprété par le serveur web 4- on peut ommettre page_index, le serveur fournira comme un grand index.html ou autre... Vous avez compris, ici, je me connecte en fait à <a href="http://www.google.fr" target="_blank">www.google.fr</a> avec l'utilisateur <a href="http://www.ixus.net" target="_blank">www.ixus.net</a> qui ne sera pas interpreté.... Et il est fort probable que tout utilisateur non observateur va cliquer sur le lien en pensant aller sur les forums de ses rêves... Ici ça ne prêtre pas trop à conséquence, mais imaginez un peu recevoir un mail comm ci : " Vous êtes parmi les meilleurs clients de <a href="http://www.banque.com" target="_blank">www.banque.com</a> ! Nous avons donc le plaisir de vous offrir une année de frais de CB gratuite...... Cliquez simplement sur ce lien pour valider ceci : <a href="http://www.banque.com@3639555429/offre_cb.asp" target="_blank">http://www.banque.com@3639555429/offre_cb.asp</a> " Combien de clients vont penser faire une bonne affaire en cliquant, alors qu'ils vont tout simplement chez un pirate, qui aura pris soin de falsifier la page d'accueil de banque.com pour vous demander gentiment votre numero de cb ??? Ca parait simpliste, mais qui regarde vraiment les urls des liens ? Bon, voila, en conclusion de tout ca : Pour faire de la sécurité, il ne suffit pas de mettre un firewall.... Il faut aussi et surtout informer les utilisateurs des risques qu'ils encourent ! Cordialement, Thomas p.s : il semble que certains proxys puissent proteger (volontairement ?) de ce genre de méfaits, puisqu'ils tentent de resoudre l'adresse correspondant à 3639555429, sans se rendre compte qu'il s'agit d'une ip ! Désolé pour ceux qui sont derrière ce genre de proxys, l'URL du début risque de ne pas fonctionner <IMG SRC="images/smiles/icon_razz.gif"> Bon amusement !

par **Yann** » 19 Nov 2002 20:52

C'est la que la certification des sites a de l'importance ! Le fait de marquer une adresse en Decimal n'est pas courant et peux effectivement preter à confusion... Le fait de certifier l'authenticité d'un site à l'aide des certificats X509 (à travers le SSL) permet donc de valider (ou d'invalider) un site à travers son nom DNS. cela me rappelle certains site comme <a href="http://www.whitehouse.com" target="_blank">www.whitehouse.com</a> (Ames sensibles s'abstenir) et <a href="http://www.whitehouse.gov" target="_blank">www.whitehouse.gov</a> (Anti Americans s'abstenir) !!!

ou allons nous ?

Qui est en ligne ?