Origin Chip : la fonction pour masquer les URL dans Chrome pour limiter le phishing pourrait favoriser des attaques
Selon des experts en sécurité

Le , par Arsene Newman, Expert éminent sénior
À peine quelques jours après l’annonce de la sortie de la controversée fonctionnalité « Origin Chip » sous la mouture de test Chrome Canary (sous la build36), PhishMe, entreprise spécialisée dans les programmes de tests d’attaques de phishing ,vient de découvrir une faille dans « Origin Chip » après quelques tests.

En effet, conduits par Aaron Higbee et Shyaam Sundhar, les tests en question ont révélé certaines faiblesses dans la fonctionnalité, cette dernière n’affichant plus le nom de domaine dans certains cas, comme lorsque la longueur de l’URL (nom de domaine+ sous domaine) dépasse les 98 caractères.

Autre cas de figure où la fonctionnalité expérimentale plante, lorsqu’il y a redimensionnement de la fenêtre du navigateur, action qui a pour conséquence la diminution du nombre de caractères qui peuvent être affichés dans « Origin Chip », ainsi même si l’URL ne dépasse pas les 50 caractères, un redimensionnement peut faire planter la fonctionnalité, laissant l’utilisateur dans le brouillard total.

Pour rappel, « Origin Chip » est une fonctionnalité expérimentale qui a pour but d’aider les utilisateurs à identifier l’URL consultée et de lutter contre les redirections vers des faux sites, en affichant l’URL dans une section appropriée.

Ce comportement hasardeux fait dire les deux testeurs que « même les utilisateurs les plus avertis en matière de sécurité et qui auront été entraînés pour reconnaître les URL frauduleuses seront en danger ».

De ce fait, l’une des solutions qu’ils préconisent serait d’appliquer un effet visuel sur l’URL et plus spécifiquement sur le domaine principal plutôt que d’afficher ça séparément, car « étendre simplement la longueur de l’URL n’est pas une solution, les attaquants y répondront en adaptant la longueur de leur URL de manière à rester cacher »

Source : Phisme.com

Et vous ?

Qu’en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Omote Omote - Membre actif https://www.developpez.com
le 12/05/2014 à 16:47
J'en pense que c'est une beta et doit être considéré en conséquence... Même si je ne suis pas particulièrement pour car les gens ne regardent pas les URL (quand bien même celles ci seraient plus courtes). Si au lieu de "http://www.developpez.net/" on était routé sur "http://www.developpez.ru/" je parie que Mr et Mme tout le monde ne se rendraient compte de rien.
Avatar de Zefling Zefling - Membre émérite https://www.developpez.com
le 12/05/2014 à 17:16
Citation Envoyé par Omote  Voir le message
J'en pense que c'est une beta et doit être considéré en conséquence... Même si je ne suis pas particulièrement pour car les gens ne regardent pas les URL (quand bien même celles ci seraient plus courtes). Si au lieu de "http://www.developpez.net/" on était routé sur "http://www.developpez.ru/" je parie que Mr et Mme tout le monde ne se rendraient compte de rien.

Tu mets même http://www.develloppez.net/ et je pense que presque personne s’apercevra de la faute.
Avatar de Shuty Shuty - Membre éprouvé https://www.developpez.com
le 14/05/2014 à 18:13
Citation Envoyé par sizvix  Voir le message
Éloigner encore un peu plus les utilisateur des URLs pour les rapprocher du moteur de recherche bien sûr

Très bonne réflexion, c'est vrai que je n'y avait pas passé. Mais c'est certain que sur un aspect financier, le faite de retirer / marquer la barre d'adresse rendra l'utilisation du moteur Google plus importante. Bien pensé... !
Offres d'emploi IT
Expert décisionnel business intelligence H/F
Safran - Ile de France - Évry (91090)
Ingénieur conception en électronique de puissance H/F
Safran - Ile de France - Moissy-Cramayel (77550)
Architecte sécurité des systèmes d'information embarqués H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil