From:
Serge Smeesters Bonjour à tous,
Une faille de sécurité du web à été découverte et il est urgent d'en tenir
compte pour ne pas être victime des prochains escrocs qui vont tenter de
l'exploiter !
Agir !
Ce que vous devez faire au plus vite !
==============================
========
Je n'ai de solution que pour le navigateur Firefox !
(mais le problème concerne également d'autres navigateurs web)
Dans la barre d'adresse (là où vous avez http://www... ),
placez y ceci (sans http, ni rien d'autre) :
about:config
(appuyez sur la grosse touche « Entrer » pour valider)
Vous obtiendrez un message d'avertissement, genre « Attention danger »,
cliquez sur « Je prends le risque »
Dans la zone de recherche (juste en dessous de la barre d'adresse), saisissez :
punycode
(pas besoin d'appuyer Entrer, c'est "dynamique"...)
Une seule ligne devrait apparaître avec le nom d'option suivant :
network.IDN_show_punycode
Vous devez vous assurer que la valeur (dernière info sur la même ligne) est à
true
Pour changer la valeur : double-cliquez !
Je répète, la bonne valeur doit être : true !
Vérifier !
==========
Cliquez sur le lien suivant :
https://www.xn--e1awd7f.com/
Voyez-vous l'adresse bien l'adresse (sans tout les espaces que j'ai ajoutées) :
w w w . x n - - e 1 a w d 7 f . c o m
?
Si oui, alors tout va bien :)
Si non, si vous voyez « www.epic.com » c'est que vous êtes en danger !
Comprendre,
De quoi s'agit-il ?
===================
Nous avons la bonne l'habitude de faire confiance au petit cadenas vert et de
vérifier être en https:// (le 's' est important).
Mais une astuce de codage permet de faire passer un nom de site pour ce qu'il
n'est pas réellement :(
Et donc, même si le site trompeur est en https et en ordre de certificat (dont
cadenat vert), triodos.be peut ne pas réellement être trodos.be !
Où j'ai trouvé l'info' ?
→
http://linuxfr.org/users/tankey/journaux/campagne-d-hameconnage-firefox-et-chrome-vulnerables
↓
D'où vient l'info' ?
→ https://www.wordfence.com/blog/2017/04/chrome-firefox-unicode-phishing/
Comprendre mieux comment c'est possible ?
→ https://fr.wikipedia.org/wiki/Nom_de_domaine_internationalis%C3%A9
→ http://mct.verisign-grs.com/convertServlet?input=www.xn--e1awd7f.com
Bien à vous,
Serge Smeesters
http://www.gnucomputer.be/
http://www.spaceeman.be/
_______________________________________________
Linux-bruxelles mailing list
address@hidden
https://listes.domainepublic.net/listinfo/linux-bruxelles