Archive

Articles taggués ‘navigateur’

Phishing: Un développeur web recommande l’utilisation de « rel=noopener »

17/05/2016 Comments off

Pour empêcher les attaques par hameçonnage lancées en se servant du window.opener

phishingEn HTML, l’attribut “rel” peut être utilisé sur les balises <a> (qui permet de créer un lien hypertexte pointant vers un document en spécifiant l’URL de celui-ci au niveau de l’attribut « href” et qui permet également de définir des ancres au sein d’un document et les liens pour y accéder), <area> (qui permet de définir une zone particulière d’une image et peut lui associer un lien hypertexte) et <link> (qui permet de définir l’emplacement d’un fichier qui sera accessible au sein de la page où elle est déclarée couramment utilisée pour mettre en relation d’autres documents comme les feuilles de style).

Dans ces différentes balises, il est utilisé pour détailler la relation existante entre le document courant et le document qui sera ouvert par le lien et il prend pour valeur des éléments d’une liste de différentes relations dont les valeurs sont séparées par des virgules (par exemple “alternate”, “author”, “bookmark”, “help”, “license”, “next”, “nofollow”, “noreferrer”, “prefetch”, “prev”, “search”, “tag”).

Mathias Bynens, un développeur web front-end dans la ville de Termonde en Belgique, a voulu partager avec la communauté des développeurs web les bienfaits de l’une des valeurs de l’attribut “rel”, notamment “noreferrer” qui permet entre autres de résoudre un problème, mais lequel ?

En guise de démonstration, dans un billet blog il a proposé une petite expérience. Bynens propose les URL index.html et index/malicious.html. En définissant un lien vers la seconde URL avec l’attribut “target” qui avec la valeur “_blank”, cela va déclencher l’ouverture de la page cible dans une nouvelle fenêtre (dans ce cas la page malicious.html). Pour rappel, lorsqu’une fenêtre est ouverte depuis une autre fenêtre, elle conserve une référence à cette première fenêtre dans window.opener. Si la fenêtre courante n’a pas été ouverte par une autre fenêtre, la méthode renvoie null.

Bynens note que « le document malicious.html dans cette nouvelle page a l’élément windows.opener qui pointe vers l’élément window du document que vous regardez actuellement, c’est-à-dire index.html. Ce qui signifie que lorsque l’utilisateur clique sur le lien, malicious.html a un contrôle total sur l’objet window du document ». Dans le cas d’espèce, malicious.html vient remplacer l’onglet contenant index.html par index.html#hax, qui affiche un message caché.

« Ceci est un exemple relativement inoffensif, mais le lien aurait pu rediriger vers une page d’hameçonnage conçue pour ressembler à la vraie page index.html, demandant des informations de connexion. L’utilisateur ne l’aurait probablement pas remarqué, parce que l’accent est mis sur la page malveillante dans la nouvelle fenêtre tandis que la redirection se passe en arrière-plan. Cette attaque pourrait être encore plus subtile en ajoutant un retard avant de rediriger vers la page de phishing en arrière-plan », a-t-il avancé.

Dans cet exemple, index.html et index/malicious.html ont la même origine. Mais Bynens a indiqué qu’il est possible d’effectuer la même attaque avec des origines différentes.

Que faire pour empêcher que les pages n’abusent de window.opener ? Bynens recommande simplement de se servir de “rel=noopener”, « cela va permettre de vous assurer que window.opener a la valeur “null” sur Chrome 49 et Opera 36. Pour les navigateurs plus anciens, vous pouvez vous servir de “rel=noopener” qui va également désactiver l’en-tête HTTP “Refer”, ou alors vous servir de ce script JavaScript qui va potentiellement activer le bloqueur de popup.

var otherWindow = window.open();
otherWindow.opener = null;
otherWindow.location = URL;
Ne vous servez pas de “target=_blank” (ou tout autre “target” qui ouvre un nouveau contexte de navigation) en particulier pour les liens dans le contenu généré par l’utilisateur, à moins que vous n’ayez une bonne raison ».

Il a déjà averti les éditeurs de navigateurs dans des rapports de bogues. Le problème semble corrigé du côté de Chrome et Opera, mais pas encore chez Firefox, Safari et Edge.

Source : billet Mathias Bynens

Categories: Logiciel Tags: , , ,

Comment contourner la censure sur Internet ?

04/11/2015 Comments off

contourner censure internetSource: Developpez.com

1. Introduction

Le 10 décembre 1948, l’adoption de la Déclaration universelle des droits de l’homme par l’Assemblée générale des Nations unies a marqué le début d’une nouvelle ère.

Un des droits fondamentaux décrits par l’article 19 de la Déclaration universelle est le droit à la liberté d’expression. Il y a 60 ans, lorsque ces mots ont été écrits, personne n’imaginait la façon dont le phénomène global qu’est Internet étendrait la capacité des gens à chercher, recevoir et transmettre des informations, pas seulement à travers les frontières, mais aussi à une vitesse hallucinante et sous des formes pouvant être copiées, éditées, manipulées, recombinées et partagées avec un petit nombre ou un large public, d’une manière fondamentalement différente des moyens de communication existant en 1948. Ce guide introduit et explique l’utilisation de quelques logiciels et techniques parmi les plus utilisés pour outrepasser la censure.

Il apporte aussi des informations pour éviter la surveillance et la détection lors du contournement de la censure. Attention, ce document n’est pas un document de hacking, vous n’y trouverer aucune technique par exemple pour contourner votre proxy d’entreprise. Ce livre vous est offert par Floss Manuals

1-1. Plus d’informations et autant d’endroits inimaginables▲

L’incroyable augmentation ces dernières années de ce qui est disponible sur Internet et des lieux où se trouve l’information a eu pour effet de mettre une partie incroyablement vaste du savoir humain et de ses activités à disposition, et à des endroits que nous n’imaginions pas : dans un hôpital d’un lointain village de montagne, dans la chambre de votre enfant de 12 ans, dans la salle de conférence où vous montrez à vos collègues le design du nouveau produit qui vous donnera de l’avance sur la concurrence, chez votre grand-mère. Dans tous ces endroits, se connecter au monde ouvre un nombre impressionnant d’opportunités pour améliorer la vie des gens. Si vous attrapez une maladie rare pendant vos vacances, le petit hôpital du village peut vous sauver la vie en envoyant vos analyses à un spécialiste de la capitale, voire dans un autre pays ; votre enfant de 12 ans peut faire des recherches pour son projet scolaire ou se faire des amis à l’étranger ; vous pouvez présenter votre nouveau produit à des responsables de bureaux du monde entier simultanément et ils pourront vous aider à l’améliorer ; votre grand-mère peut rapidement vous envoyer par mail sa recette spéciale de tarte aux pommes afin que vous ayez le temps de la faire pour le dessert de ce soir. Mais Internet ne contient pas seulement des informations pertinentes et utiles à l’éducation, l’amitié ou la tarte aux pommes. Comme le monde, il est vaste, complexe et souvent effrayant. Il est également accessible à des gens malveillants, avides, sans scrupules, malhonnêtes ou simplement malpolis, tout comme il est accessible à vous ainsi qu’à votre enfant de 12 ans et à votre grand-mère.

1-2. Personne ne veut laisser entrer chez soi le monde entier▲

Avec le meilleur et le pire de la nature humaine transposés sur Internet et certains types d’escroquerie et de harcèlement rendus plus faciles par la technologie, il n’est pas surprenant que la croissance d’Internet ait été accompagnée de tentatives de contrôle de l’utilisation qui en est faite. Les motivations sont nombreuses, telles que :

  • protéger les enfants de contenus perçus comme inappropriés ou limiter leur contact avec des gens pouvant leur nuire ;
  • réduire le flot d’offres commerciales non désirées dans les e-mails ou sur le web ;
  • contrôler la taille du flux de données auquel chaque utilisateur est capable d’accéder en même temps ;
  • empêcher les employés de partager des informations considérées comme la propriété de leur employeur, d’utiliser une ressource technique de ce dernier ou leur temps de travail dans le cadre d’activités personnelles ;
  • restreindre l’accès à des contenus ou activités en ligne bannis ou réglementés dans une juridiction spécifique (un pays ou une organisation comme une école) tels que du contenu explicitement sexuel ou violent, des drogues ou de l’alcool, des jeux et de la prostitution, des informations sur des groupes religieux, politiques ou autres groupes et idées réputés dangereux.

Certaines de ces préoccupations impliquent de permettre aux gens de contrôler leur propre expérience d’Internet, par exemple en utilisant des filtres bloquant les spams sur leur propre compte e-mail, mais d’autres préoccupations impliquent de restreindre la manière dont d’autres personnes peuvent utiliser Internet et ce à quoi elles peuvent ou non accéder. Ce dernier cas entraine d’importants conflits et désaccords lorsque les personnes dont l’accès est restreint ne pensent pas que le blocage soit approprié ou dans leur intérêt. Lire la suite…

How to Protect Yourself from NSA Attacks on 1024-bit DH

29/10/2015 Comments off

nsa attacksWhen NSA gets you worrying

In a post on Wednesday, researchers Alex Halderman and Nadia Heninger presented compelling research suggesting that the NSA has developed the capability to decrypt a large number of HTTPS, SSH, and VPN connections using an attack on common implementations of the Diffie-Hellman key exchange algorithm with 1024-bit primes. Earlier in the year, they were part of a research group that published a study of the Logjam attack, which leveraged overlooked and outdated code to enforce « export-grade » (downgraded, 512-bit) parameters for Diffie-Hellman. By performing a cost analysis of the algorithm with stronger 1024-bit parameters and comparing that with what we know of the NSA « black budget » (and reading between the lines of several leaked documents about NSA interception capabilities) they concluded that it’s likely NSA has been breaking 1024-bit Diffie-Hellman for some time now.

The good news is, in the time since this research was originally published, the major browser vendors (IE, Chrome, and Firefox) have removed support for 512-bit Diffie-Hellman, addressing the biggest vulnerability. However, 1024-bit Diffie-Hellman remains supported for the forseeable future despite its vulnerability to NSA surveillance. In this post, we present some practical tips to protect yourself from the surveillance machine, whether you’re using a web browser, an SSH client, or VPN software.

Disclaimer: This is not a complete guide, and not all software is covered.

Web Browser

To make sure you’re using the strongest crypto, you have to look at the encryption algorithms (or cipher suites) that your browser supports. There’s an excellent tool, How’s My SSL?, that will test your browser’s cipher suite support. The relevant area of the page is the bottom, Given Cipher Suites. You want to make sure that you don’t see the text « _DHE_ » in the list of ciphersuites – although the Elliptic Curve variant of Diffie-Hellman, represented by suites with « _ECDHE_ » is okay. It is important to note that there is a trade-off here: removing your clients support for « _DHE_ » ciphers will eliminate the risk of this attack, but it may also remove Forward Secrecy support altogether for some sites. Here’s how to remove those « _DHE_ » cipher suites if you still have them:

Firefox

(tested with 40.0.3)

Open a new tab, enter « about:config » into the location bar and hit the « Enter » key. If you get a warning page, click « I’ll be careful, I promise! » This will bring you to the Firefox configuration settings. In the search bar up top, type « .dhe_ » and hit the « Enter » key. This should result in two settings being displayed: « security.ssl3.dhe_rsa_aes_128_sha » and « security.ssl3.dhe_rsa_aes_256_sha ». Double-click both of them to change the value from « true » to « false ».

ff

Now, if you refresh the How’s My SSL page, the « _DHE_ » ciphersuites should be gone!

Lire la suite…

Set a Custom New Tab Page in Firefox

28/08/2015 Comments off

Source: lifehacker.com

 17p1fuys593kojpg

Firefox: If you’re not a big fan of the new speed dial tab in the newest version of Firefox, Mozilla blog Mozilla Links shows how you can customize the page to load any site of your choosing with a simple edit to the about:config file.

Get Lynx for Mac OS X 10.7 Lion

28/01/2014 Comments off

Source: OSXdaily

lynx-from-macports

Lynx is a text based command line web browser, it’s relatively popular within unix communities but it also has a variety of general uses too; it’s great if you want to discretely browse the web and read articles at work or school, and developers use lynx frequently to test accessibility and to roughly estimate how spiders or crawlers view a website. Because it only loads text and avoids javascript and images, it’s also lightning fast.

Anyway, after updating to Lion I discovered my previous installation of lynx was not functioning. Thankfully it’s very easy to install a working version with the help of MacPorts.

Installing and Running Lynx in Mac OS X 10.7 Lion

For the purpose of this walkthrough, we’re going to keep requirements to a minimum and install lynx through MacPorts, here’s what you’ll need:

Assuming you have now installed Xcode 4.1 and MacPorts 2.0, here’s how to install lynx:

sudo port install lynx

MacPorts will then fetch all the required dependencies including ncurses and zlib, and then proceed to install the lynx browser.

Once it’s finished, just type ‘lynx’ at the command line and it’ll launch as expected. You can then hit “G” to go to a URL, or open one directly from the command line.

This opens OSXDaily.com, for example:

lynx osxdaily.com

You then just use the arrow keys and return/enter to navigate around a site.

Lynx is great, enjoy!

Categories: Logiciel Tags: , ,