Re: passer à UTF8 -- risque
Bonjour, Le Dimanche, 18 Décembre 2005 21.25, Yves Rutschle a écrit : On Sun, Dec 18, 2005 at 02:30:46PM +0100, steve wrote: Faut pas être extrémiste non plus. Personne n'a dit qu'utiliser l'unicode est débile, faut juste faire un peu plus attention vu que c'est plus complexe que l'antique ascii. Non, la conclusion de l'article est bien: Unicode is just too complex to ever be secure. Tu joues sur le mot ever, qui peut être en effet malvenu. Mais on peut aussi remonter d'un paragraphe et lire With Unicode, we probably won't be able to get a consistent definition of what to accept, ... et là on lit probably. En d'autre terme, si vous voulez être en sécurité, n'y pensez même pas, même dans 150 ans. Cette conclusion est finalement assez générale non? Comme adorent dire les médias : le risque zéro n'existe pas. Mais en faisant attention, on peut limiter les risques. Jusqu'où, ça c'est presque impossible à dire, par la nature même de la Vie. Y. - qui n'a pas d'opinion sur la question, au fait. Moi non plus en fait, je ne suis pas spécialiste en la matière. Je voulais juste attirer l'attention sur le fait que résoudre un problème peut en apporter d'autres. Un exemple qui me vient à l'esprit: le Sarko a fait le zouave médiatique en voulant réduire le nombre de mort sur les routes avec tout un tas de mesures. Dans l'idée on ne peut pas être contre (qui veut plus de morts sur les routes?). Par contre un effet de bord, si j'ose dire, c'est que les médecins qui font des transplantations d'organes sont bien embêtés de ne plus avoir cette manne gratuite, et maintenant il y a plus de gens qui meurent faute de pouvoir être transplanté qu'auparavant. Comme dit Schneier dans son Beyond Fear, la sécurité est avant tout un compromis. Sur ce, bon début de semaine. Librement. -- steve jabber : [EMAIL PROTECTED]
Re: passer à UTF8 -- risque
Le Samedi, 17 Décembre 2005 22.48, Stephane Bortzmeyer a écrit : On Sat, Dec 17, 2005 at 10:39:29PM +0100, steve [EMAIL PROTECTED] wrote a message of 12 lines which said: http://www.schneier.com/blog/archives/2005/02/unicode_url_hac_1.html D'habitude, j'apprécie beaucoup tous les articles de Schneier moi aussi mais celui-ci est vraiment idiot. La même attaque est possible sans Unicode (www.goog1e.com, par exemple). l'argument de dire que l'article est idiot *parce que* la même attaque est possible sans unicode ne me paraît pas très pertinent. Il est vrai que ce problème existe depuis longtemps, même en ascii (un autre exemple est le r suivi du n , qui semble donner un m ); mais il est bon, me semble-t-il, de rappeler que souvent, lorsque l'on veut résoudre un problème, on amène son lot de complexité et de ce fait de nouvelles possibilités de trous de sécurité. Je crois que c'est le message de Schneier. De plus le problème est encore d'actualité: The attack can be disabled in Firefox and Mozilla by setting 'network.enableIDN' to false in the browser's configuration (enter about:config in the address bar to access the configuration functions). Sur mon Firefox, cette variable est toujours à true. Et, de toute façon, Schneier ne propose aucune alternative (à part rester en US-ASCII, ce qui ne convient qu'aux anglophones et néérlandophones). Non il ne dit pas ça; il dit que l'ascii étant plus restreint, il est moins facile de commettre une erreur, car ne n'oublions pas Errare humanum est. Bon dimanche -- steve jabber : [EMAIL PROTECTED]
Re: passer à UTF8 -- risque
On 2005-12-18 02:13:05 +0100, RTyler wrote: Bref, utilisons les adresses IP directement :D (c'est sûrement la meilleure parade au pishing). Pour les sites sensibles, par exemple celui de sa banque, il suffit de taper à la main l'URL une fois pour toutes et de la mettre dans ses bookmarks. Concernant le fait de taper l'adresse IP à la main, même pas... En général, on ne la connaît pas et beaucoup de phising par mail se base sur des liens du style a href=http://x.x.x.x/;site_de_la_banque/a et l'utilisateur ne se doute pas forcément qu'il s'agit d'une fausse adresse IP! -- Vincent Lefèvre [EMAIL PROTECTED] - Web: http://www.vinc17.org/ 100% accessible validated (X)HTML - Blog: http://www.vinc17.org/blog/ Work: CR INRIA - computer arithmetic / SPACES project at LORIA -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: passer à UTF8 -- risque
Le Dimanche, 18 Décembre 2005 13.01, Yves Rutschle a écrit : On Sun, Dec 18, 2005 at 09:09:56AM +0100, steve wrote: Non il ne dit pas ça; il dit que l'ascii étant plus restreint, il est moins facile de commettre une erreur, car ne n'oublions pas Errare humanum est. Avec ce raisonnement, on jete aussi les lettres et les attaques possibles sur les DNS en n'utilisant (et n'autorisant) que les adresses IP. Faut pas être extrémiste non plus. Personne n'a dit qu'utiliser l'unicode est débile, faut juste faire un peu plus attention vu que c'est plus complexe que l'antique ascii. Y. Bon dimanche -- steve jabber : [EMAIL PROTECTED]
Re: passer à UTF8 -- risque
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Vincent Lefevre a écrit : On 2005-12-18 02:13:05 +0100, RTyler wrote: Bref, utilisons les adresses IP directement :D (c'est sûrement la meilleure parade au pishing). Pour les sites sensibles, par exemple celui de sa banque, il suffit de taper à la main l'URL une fois pour toutes et de la mettre dans ses bookmarks. Concernant le fait de taper l'adresse IP à la main, même pas... En général, on ne la connaît pas et beaucoup de phising par mail se base sur des liens du style a href=http://x.x.x.x/;site_de_la_banque/a et l'utilisateur ne se doute pas forcément qu'il s'agit d'une fausse adresse IP! Oui bien sûr. J'entendais par là ne jamais faire confiance à une adresse donné par mail. C'est vrai que le coup des bookmars c'est bien plus simple. Au moins on sait ce qu'on fait. RTyler - -- - - Ma clé GPG est disponible sur http://www.keyserver.net (0x2B8BE385) - - _ |Protégez votre vie privée: | \|||/ | - Signez/chiffrez vos messages. __| q o - p|Respectez celle des autres: | / __mn__\_^_/_nm__| - Masquez les destinataires de vos mailings |/ |__/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.2 (GNU/Linux) iD8DBQFDpZoIXBAlpiuL44URArOSAJwKPwqyISJPHsbSb17pFColDzTiEACePA3Z WAmCMulglb6eYzoKW8r4e+E= =m5bT -END PGP SIGNATURE- -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: passer à UTF8 -- risque
Bonsoir, le unicode n'a pas que du bon ; à lire : http://www.schneier.com/blog/archives/2005/02/unicode_url_hac_1.html a+ -- steve jabber : [EMAIL PROTECTED]
Re: passer à UTF8 -- risque
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 steve a écrit : Bonsoir, le unicode n'a pas que du bon ; à lire : http://www.schneier.com/blog/archives/2005/02/unicode_url_hac_1.html C'est le problème du pishing si je ne m'abuse. Il est pris en compte par les navigateurs (même le futur IE) maintenant, cela ne devrait pas trop poser de problème. Ceci dit je ne sais pas trop comment ils identifient le pishing (quelqu'un pour développer ?) et donc peut-être que la méthode n'est pas infaillible. Quoiqu'il en soit (le cas particulier) UTF-8 (et non unicode) présente un petit désagrément : les textes prennent plus de place. Autre désagrément : autant il est rétro-compatible avec ascii autant pour tous les autres alphabets non dérivés de l'ascii (le chinois, l'arabe, ...) c'est plus ennuyant et la place que prends le texte devient bien plus grande (30% je crois environ). a+ Idem. RTyler - -- - - Ma clé GPG est disponible sur http://www.keyserver.net (0x2B8BE385) - - _ |Protégez votre vie privée: | \|||/ | - Signez/chiffrez vos messages. __| q o - p|Respectez celle des autres: | / __mn__\_^_/_nm__| - Masquez les destinataires de vos mailings |/ |__/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.2 (GNU/Linux) iD8DBQFDpIjPXBAlpiuL44URAo/EAJ9TEXmfK/345zcjeg4p30Qn06Pl6QCgnWMK uCgStBonnQt66oitE8pwBxI= =vVEp -END PGP SIGNATURE- -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: passer à UTF8 -- risque
On 2005-12-17 22:39:29 +0100, steve wrote: le unicode n'a pas que du bon ; à lire : http://www.schneier.com/blog/archives/2005/02/unicode_url_hac_1.html Ce n'est pas spécifique à Unicode; il y a le même genre de problèmes en ASCII, suivant les fontes (1 vs l vs I, et 0 vs O). Et passer à UTF8 ne change pas grand chose: les navigateurs web graphiques affichent de l'Unicode, quelles que soient les locales. Et pour les navigateurs texte, rester dans un jeu de caractères limité, comme ISO-8859-1, peut présenter un risque plus grand qu'UTF8, puisque les caractères non représentables doivent être convertis en caractères du jeu cible; dans certains cas, de faibles différences entre deux caractères différents peuvent même disparaître. -- Vincent Lefèvre [EMAIL PROTECTED] - Web: http://www.vinc17.org/ 100% accessible validated (X)HTML - Blog: http://www.vinc17.org/blog/ Work: CR INRIA - computer arithmetic / SPACES project at LORIA -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: passer à UTF8 -- risque
On 2005-12-17 22:53:19 +0100, RTyler wrote: C'est le problème du pishing si je ne m'abuse. Il est pris en compte par les navigateurs (même le futur IE) maintenant, cela ne devrait pas trop poser de problème. Pas par Firefox 1.5, qui tente d'ouvrir l'exemple de Stéphane sans rien signaler. Quoiqu'il en soit (le cas particulier) UTF-8 (et non unicode) présente un petit désagrément : les textes prennent plus de place. La différence est faible, et de toute façon, ce qui prend de la place aujourd'hui, ce ne sont pas les textes, mais surtout les vidéos, et dans une moindre mesure les images et les fichiers audio, ou d'autres types de données. Si tu tiens une bibliothèque textuelle, alors il faut considérer la compression des textes, qui peuvent faire gagner environ 70%, et entre un texte ISO-8859-1 (ou 15) compressé et un texte UTF8 compressé, il n'y a aucune différence. Autre désagrément : autant il est rétro-compatible avec ascii autant pour tous les autres alphabets non dérivés de l'ascii (le chinois, l'arabe, ...) c'est plus ennuyant et la place que prends le texte devient bien plus grande (30% je crois environ). Après compression, il me semble qu'il doit y avoir peu de différence (et pourquoi pas considérer UTF-16 directement...). -- Vincent Lefèvre [EMAIL PROTECTED] - Web: http://www.vinc17.org/ 100% accessible validated (X)HTML - Blog: http://www.vinc17.org/blog/ Work: CR INRIA - computer arithmetic / SPACES project at LORIA -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: passer à UTF8 -- risque
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Vincent Lefevre a écrit : On 2005-12-17 22:53:19 +0100, RTyler wrote: C'est le problème du pishing si je ne m'abuse. Il est pris en compte par les navigateurs (même le futur IE) maintenant, cela ne devrait pas trop poser de problème. Pas par Firefox 1.5, qui tente d'ouvrir l'exemple de Stéphane sans rien signaler. Ah oui ? Il me semblait que Firefox intégrait le pishing depuis Firefox 1.0.jesaispluscombien. Normalement il l'ouvre mais indique quelque chose dans la barre d'état (après tout il ne peut pas savoir si le site est le bon ou pas). Quoiqu'il en soit (le cas particulier) UTF-8 (et non unicode) présente un petit désagrément : les textes prennent plus de place. La différence est faible, et de toute façon, ce qui prend de la place aujourd'hui, ce ne sont pas les textes, mais surtout les vidéos, et dans une moindre mesure les images et les fichiers audio, ou d'autres types de données. Si tu tiens une bibliothèque textuelle, alors il faut considérer la compression des textes, qui peuvent faire gagner environ 70%, et entre un texte ISO-8859-1 (ou 15) compressé et un texte UTF8 compressé, il n'y a aucune différence. Oui bien entendu, je cherche juste à montrer les vrais inconvénients de UTF-8. Ce que je cherchais à dire c'est que ce qui est reproché à unicode (et donc en particulier UTF-8, pour recentrer le débat) n'est pas un inconvénient à proprement parler (la preuve avec le pishing en ascii auquel je n'avais pas pensé) d'autant qu'il peut être contourné. Autre désagrément : autant il est rétro-compatible avec ascii autant pour tous les autres alphabets non dérivés de l'ascii (le chinois, l'arabe, ...) c'est plus ennuyant et la place que prends le texte devient bien plus grande (30% je crois environ). Après compression, il me semble qu'il doit y avoir peu de différence (et pourquoi pas considérer UTF-16 directement...). En effet je dirais même aucune il me semble, puisque ne sont représenté que les caractères rencontrés et avec un jeu d'encodage s'adaptant au nombre de caractères rencontrés. - -- - - Ma clé GPG est disponible sur http://www.keyserver.net (0x2B8BE385) - - _ |Protégez votre vie privée: | \|||/ | - Signez/chiffrez vos messages. __| q o - p|Respectez celle des autres: | / __mn__\_^_/_nm__| - Masquez les destinataires de vos mailings |/ |__/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.2 (GNU/Linux) iD8DBQFDpKLYXBAlpiuL44URAqrpAJ0bW02jGYMwxOllG/ud2Krwx5QFFgCfRB0J gw7PKJsU1jPFsBN2bstFDxQ= =qqmK -END PGP SIGNATURE- -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: passer à UTF8 -- risque
Samedi 17 décembre 2005, 22:48:10 CET, Stephane Bortzmeyer a écrit : On Sat, Dec 17, 2005 at 10:39:29PM +0100, steve [EMAIL PROTECTED] wrote a message of 12 lines which said: http://www.schneier.com/blog/archives/2005/02/unicode_url_hac_1.html D'habitude, j'apprécie beaucoup tous les articles de Schneier mais celui-ci est vraiment idiot. La même attaque est possible sans Unicode (www.goog1e.com, par exemple). Et, de toute façon, Schneier ne propose aucune alternative (à part rester en US-ASCII, ce qui ne convient qu'aux anglophones et néérlandophones). Et même pas tous les anglophones : au moins « café » et, pour les éditeurs/typographes américains, « Münster »¹. ¹ : oui, je sais, c'est « Munster », mais lire le TeXBook ;o) -- Sylvain Sauvage
Re: passer à UTF8 -- risque
On 2005-12-18 00:44:24 +0100, RTyler wrote: Ah oui ? Il me semblait que Firefox intégrait le pishing depuis Firefox 1.0.jesaispluscombien. Normalement il l'ouvre mais indique quelque chose dans la barre d'état (après tout il ne peut pas savoir si le site est le bon ou pas). Il détecte de changement de script je crois. Mais tous les types de phishing ne se basent pas là-dessus. Pour être efficace, il faudrait avoir une base de données des sites de phising, mise à jour en temps réelle (un peu comme les blacklists pour les spams). Mais je ne pense pas qu'il le fasse. Il avec l'exemple de Stéphane (que tu peux essayer), tu verras qu'il ne bronchera pas lorsqu'un nom de domaine a un 1 (qui pourrait être pris pour un l) dans un mot. -- Vincent Lefèvre [EMAIL PROTECTED] - Web: http://www.vinc17.org/ 100% accessible validated (X)HTML - Blog: http://www.vinc17.org/blog/ Work: CR INRIA - computer arithmetic / SPACES project at LORIA -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: passer à UTF8 -- risque
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Vincent Lefevre a écrit : On 2005-12-18 00:44:24 +0100, RTyler wrote: Ah oui ? Il me semblait que Firefox intégrait le pishing depuis Firefox 1.0.jesaispluscombien. Normalement il l'ouvre mais indique quelque chose dans la barre d'état (après tout il ne peut pas savoir si le site est le bon ou pas). Il détecte de changement de script je crois. Mais tous les types de phishing ne se basent pas là-dessus. Pour être efficace, il faudrait avoir une base de données des sites de phising, mise à jour en temps réelle (un peu comme les blacklists pour les spams). Mais je ne pense pas qu'il le fasse. Il avec l'exemple de Stéphane (que tu peux essayer), tu verras qu'il ne bronchera pas lorsqu'un nom de domaine a un 1 (qui pourrait être pris pour un l) dans un mot. Je crois qu'Internet Explorer ou Firefox a une base de donnée. Attends je te retrouve ça. http://siteduzero.com/news-62-34-mozilla-ie-opera-tous-unis-contre-le-phishing.html Arf en fait non je me suis trompé. En tout cas cela dépend des navigateurs. Sinon il y a l'astuce de creditIonnais (un I à la place de l qui s'affiche pareil selon la police). Bref, utilisons les adresses IP directement :D (c'est sûrement la meilleure parade au pishing). - -- - - Ma clé GPG est disponible sur http://www.keyserver.net (0x2B8BE385) - - _ |Protégez votre vie privée: | \|||/ | - Signez/chiffrez vos messages. __| q o - p|Respectez celle des autres: | / __mn__\_^_/_nm__| - Masquez les destinataires de vos mailings |/ |__/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.2 (GNU/Linux) iD8DBQFDpLegXBAlpiuL44URAiAaAKCDXecaHvTR/S0Xd9Go5AyguFR24ACfc+QR NIr40DHevIq+U6RC+B8ovQk= =c3Bq -END PGP SIGNATURE- -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]