Commentaires sur : Phishing and domain names: size matters http://sunfox.org/blog/2009/12/14/domain-namesonline-payments/ Le blogue de Sunny Ripert Thu, 09 Feb 2012 13:26:49 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Par : Renverser les URLs - Sunfox http://sunfox.org/blog/2009/12/14/domain-namesonline-payments/#comment-132040 Renverser les URLs - Sunfox Mon, 21 Jun 2010 06:44:43 +0000 http://sunfox.org/?p=1599#comment-132040 [...] des parties est illogique. Je m’en plaignais déjà dans les commentaires, la plus haute autorité pour une adresse (le nom du site) est en plein milieu de l’adresse [...] [...] des parties est illogique. Je m’en plaignais déjà dans les commentaires, la plus haute autorité pour une adresse (le nom du site) est en plein milieu de l’adresse [...]

]]> Par : Antoine http://sunfox.org/blog/2009/12/14/domain-namesonline-payments/#comment-127172 Antoine Mon, 14 Dec 2009 18:10:00 +0000 http://sunfox.org/?p=1599#comment-127172 Moi oui, je regarde ça quasiment tout le temps. Mais pour le pékin moyen, il suffit en général de lui dire de regarder le petit cadenas dans la barre d'URL. Les navigateurs se chargent de valider le certificat de toute manière, donc si il est invalide, si il est expiré, si l'autorité certificatrice est inconnue... Le navigateur affiche une erreur. Les versions de Firefox récentes sont d'ailleurs assez chiantes avec ça... Les sites de phishing ne possèdent jamais de certificat, car il est attribué pour un domaine (qui change souvent vu qu'ils se font fermés), et que les autoritées certificatrices reconnues sont payées pour vérifier leur identitée. Et aussi parce que finalement, c'est assez cher (500€ environ). Le risque après, c'est les fausse pages sécurisées avec un faux cadenas à coté du formulaire. C'est assez con, mais Mme Michu on lui dit de chercher un cadenas, elle fait pas la différence entre une image et le cadenas affiché dans la barre d'url de son navigateur (sauf si on lui apprend). Concernant les domaines, ouais c'est pas dans le bon sens, c'est con mais c'est comme ça, et c'est le genre de truc qu'on changera je pense jamais... Moi oui, je regarde ça quasiment tout le temps. Mais pour le pékin moyen, il suffit en général de lui dire de regarder le petit cadenas dans la barre d’URL.

Les navigateurs se chargent de valider le certificat de toute manière, donc si il est invalide, si il est expiré, si l’autorité certificatrice est inconnue… Le navigateur affiche une erreur. Les versions de Firefox récentes sont d’ailleurs assez chiantes avec ça…

Les sites de phishing ne possèdent jamais de certificat, car il est attribué pour un domaine (qui change souvent vu qu’ils se font fermés), et que les autoritées certificatrices reconnues sont payées pour vérifier leur identitée. Et aussi parce que finalement, c’est assez cher (500€ environ).

Le risque après, c’est les fausse pages sécurisées avec un faux cadenas à coté du formulaire. C’est assez con, mais Mme Michu on lui dit de chercher un cadenas, elle fait pas la différence entre une image et le cadenas affiché dans la barre d’url de son navigateur (sauf si on lui apprend).

Concernant les domaines, ouais c’est pas dans le bon sens, c’est con mais c’est comme ça, et c’est le genre de truc qu’on changera je pense jamais…

]]> Par : Sunny http://sunfox.org/blog/2009/12/14/domain-namesonline-payments/#comment-127169 Sunny Mon, 14 Dec 2009 17:44:51 +0000 http://sunfox.org/?p=1599#comment-127169 Oui, la seule chose qui importe c'est la dernière section du nom de domaine. Mais je parle d'utilisateurs qui ont du mal à décortiquer les différentes parties d'un domaine (Quelle mauvaise idée d'avoir mis la partie la plus importante à la fin, et encore même pas tout à fait à la fin…) <blockquote>il faut regarder le certificat, par qui il a été établie et à qui, et eventuellement aussi la sa classe de celui-ci (qui varie en fonction du niveau de vérification faites par le certificateur).</blockquote> As-tu déjà fait tout ça ? Est-ce que tout le monde va faire ça avant chaque achat en ligne ? À des gens qui ont peur de payer en ligne j'aimerais pouvoir dire "regarde la première partie de l'adresse et si c'est un site https" et que ça suffise. Oui, la seule chose qui importe c’est la dernière section du nom de domaine. Mais je parle d’utilisateurs qui ont du mal à décortiquer les différentes parties d’un domaine (Quelle mauvaise idée d’avoir mis la partie la plus importante à la fin, et encore même pas tout à fait à la fin…)

il faut regarder le certificat, par qui il a été établie et à qui, et eventuellement aussi la sa classe de celui-ci (qui varie en fonction du niveau de vérification faites par le certificateur).

As-tu déjà fait tout ça ? Est-ce que tout le monde va faire ça avant chaque achat en ligne ? À des gens qui ont peur de payer en ligne j’aimerais pouvoir dire « regarde la première partie de l’adresse et si c’est un site https » et que ça suffise.

]]> Par : Antoine http://sunfox.org/blog/2009/12/14/domain-namesonline-payments/#comment-127165 Antoine Mon, 14 Dec 2009 16:18:41 +0000 http://sunfox.org/?p=1599#comment-127165 (Réponse en Français parce flemme) Je suis plutôt d'accord avec Ook. De toute manière dans le domaine, le plus important à regarder c'est la fin, car personne d'autre que hsbc ne peut créer de sous-zone de hsbc.fr. Donc on s'en tape un peu de ce qui se trouve après. Le domaine n'authentifie rien, il faut regarder le certificat, par qui il a été établie et à qui, et eventuellement aussi la sa classe de celui-ci (qui varie en fonction du niveau de vérification faites par le certificateur). (Réponse en Français parce flemme)

Je suis plutôt d’accord avec Ook. De toute manière dans le domaine, le plus important à regarder c’est la fin, car personne d’autre que hsbc ne peut créer de sous-zone de hsbc.fr. Donc on s’en tape un peu de ce qui se trouve après.

Le domaine n’authentifie rien, il faut regarder le certificat, par qui il a été établie et à qui, et eventuellement aussi la sa classe de celui-ci (qui varie en fonction du niveau de vérification faites par le certificateur).

]]> Par : Sunny http://sunfox.org/blog/2009/12/14/domain-namesonline-payments/#comment-127159 Sunny Mon, 14 Dec 2009 13:10:19 +0000 http://sunfox.org/?p=1599#comment-127159 @atomicbee: non, ça devient juste un mélange bordélique. @Ook: I don't agree. The natural tendency to solve spelling mistakes is stronger when there are lots of words around. That's why <code>www.securepaiement.elysnet.hbsc.fr</code> is a bad idea. (And that's also why I didn't spot your deliberate typo ;)) @atomicbee: non, ça devient juste un mélange bordélique.

@Ook: I don’t agree. The natural tendency to solve spelling mistakes is stronger when there are lots of words around.

That’s why http://www.securepaiement.elysnet.hbsc.fr is a bad idea. (And that’s also why I didn’t spot your deliberate typo ;))

]]> Par : Ook? Ook! http://sunfox.org/blog/2009/12/14/domain-namesonline-payments/#comment-127149 Ook? Ook! Mon, 14 Dec 2009 07:58:00 +0000 http://sunfox.org/?p=1599#comment-127149 Meeeb! False good idea: short names are recognize, not read. Our (superior?) brain has a natural tendancy to solve spelling problem by himself, and hbsc.fr is easy to read, to recognize, etc. Short domain would make phishing even easier. My only true solution? SSL Authentication! No need to give a name/mail/credit card number or whatever. Just have the certificate. You're done. BTW, have you notice the typo? :) Meeeb! False good idea: short names are recognize, not read. Our (superior?) brain has a natural tendancy to solve spelling problem by himself, and hbsc.fr is easy to read, to recognize, etc.

Short domain would make phishing even easier.
My only true solution? SSL Authentication! No need to give a name/mail/credit card number or whatever. Just have the certificate. You’re done.

BTW, have you notice the typo? :)

]]> Par : atomicbee http://sunfox.org/blog/2009/12/14/domain-namesonline-payments/#comment-127148 atomicbee Mon, 14 Dec 2009 05:32:10 +0000 http://sunfox.org/?p=1599#comment-127148 Ton blog est en anglais maintenant ? :o Ton blog est en anglais maintenant ? :o

]]>