http://ctts.disqus.com/enWed, 09 Feb 2005 10:38:24 -0000http://climbtothestars.org/archives/2005/02/07/probleme-de-securite-dans-navigateurs-non-ie-firefox-safari/#comment-1773879Si jamais, le plugin <a href="http://haoli.dnsalias.com/Saft/" rel="nofollow">Saft</a> pour Safari permet d'afficher un message d'alerte s'il identifie une URL IDN et en affiche le contenu réel.TimtomWed, 09 Feb 2005 10:38:24 -0000http://climbtothestars.org/archives/2005/02/07/probleme-de-securite-dans-navigateurs-non-ie-firefox-safari/#comment-1773878This potential exploit was mentioned, discussed, waved around and overall beaten to death when the idea of allowing unicode characters in domain names first came up, I'd say, about a <strong>full year</strong> ago. I do remember, among other thing, the usual 500+ thread on Slashdot at the time...<br><br>Whoever at Apple and Mozilla (and most of all the people who came with the RFC) didn't see that one coming is not only ridiculously stupid (unicode collisions and their dangers usually stand somewhere in the second paragraph in any text talking about encodings) but also very, very <strong>deaf</strong>.dr DaveWed, 09 Feb 2005 05:48:42 -0000http://climbtothestars.org/archives/2005/02/07/probleme-de-securite-dans-navigateurs-non-ie-firefox-safari/#comment-1773877C'est ta faute, avec notre discussion sur les allophones !! Bleah. J'ai changé le titre du billet, bien sur, mais pas le permalien.chris waiglTue, 08 Feb 2005 16:31:38 -0000http://climbtothestars.org/archives/2005/02/07/probleme-de-securite-dans-navigateurs-non-ie-firefox-safari/#comment-1773876Qui s'est endormi, Chris?StephTue, 08 Feb 2005 15:52:55 -0000http://climbtothestars.org/archives/2005/02/07/probleme-de-securite-dans-navigateurs-non-ie-firefox-safari/#comment-1773873Une explication un peu plus technique en français (merci <a href="http://www.corsac.net/" title="Weblog de Corsac." rel="nofollow">Corsac</a>):<br><br><a href="http://www.k-otik.com/bugtraq/bulletins/908" rel="nofollow">http://www.k-otik.com/bugtraq/bulletins/908</a>StephMon, 07 Feb 2005 12:53:38 -0000http://climbtothestars.org/archives/2005/02/07/probleme-de-securite-dans-navigateurs-non-ie-firefox-safari/#comment-1773872En anglais, une explication plus explicite de comment ça fonctionne:<br><br><a href="http://www.livejournal.com/users/rjl20/446919.html" rel="nofollow">http://www.livejournal.com/users/rjl20/446919.html</a><br><br>En gros, IDN permet l'utilisation de caractères utf-8 dans les URL. Cet exploit utilise la ressemblance graphique de certains caractères pour envoyer l'utilisateur sur un autre site que celui qu'il imagine. Dans le "proof of concept" publié par le groupe Shmoo, le premier "a" de "paypal" est remplacé dans l'URL par un caractère dont la forme graphique ressemble à  s'y méprendre à  un "a" normal, mais qui est en fait un autre caractère.StephMon, 07 Feb 2005 12:32:24 -0000