>> Michel Py a écrit >> http://www.véliplanchiste.com >> iznogoud, affiche http://www.xn--vliplanchiste-bhb.com/ :-(
> Radu-Adrian Feurdean [mailto:r...@ftml.net] > C'est du provoc ? Non, si c'était de la provoc j'aurais copié ou parodié le contenu de www.veliplanchiste.com (si on peut appeler 1 image du contenu). > Je me souviens assez clairement d'un POC il y a quelques annees ou ils >(les "whiteshats", en conference) avaient reussi a produire un faux > https://www.paypal.com/ (avec un vrai certif SSL en 5 minutes chez > comodo ou similaire), ou justement le "a" n'etait pas un "A juste avant > B" mais un "cyrillic letter a" (ou quelque-chose de similaire) presque > impossible a distinguer. Je m'en souviens aussi. D'ailleurs, il y a bien longtemps j'avais fait un superbe faux "SSL seal" que tout le monde trouvait plus vrai que le vrai parce que les graphiques étaient sympa (ça, c'était de la provoc). Ce n'est pas parce que FF et Chrome affichent le punnycode que ça va empêcher Mme Michu de se faire phisher. D'ailleurs, je n'ai jamais vu personnellement de phishing utilisant IDN, alors que j'en vois régulièrement qui utilise des techniques plus connues. Comme je l'ai souvent dit, le phishing dépend en grande partie de l'état d'esprit du pigeon quand il clique sur le lien et en petite partie de la qualité de l'imitation du vrai site. Je pense que FF et chrome, s'ils croient qu'ils peuvent décider mieux que l'utilisateur si un site doit être affiché en punnycode ou en IDN, feraient mieux d'améliorer leurs algorithmes. "véliplanchiste" c'est 100% Français, c'est pas comme si j'avais mis un "a" cyrillique à la place du "a" latin. Tout ça pour dire que Mme Michu, quand elle viendra visiter mon site, elle va probablement utiliser IE parce que ça s'affiche plus joli. FF et Chrome, revoyez vos copies. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
