Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Une attaque de phishing peut être menée grâce à l’API Fullscreen du HTML5

Au prix quand même de nombreux efforts

Une attaque de phishing peut être menée grâce à l'API Fullscreen du HTML5

Le 11 octobre 2012 à 07h12

Un chercheur en sécurité a mis en évidence un proof-of-concept (PoC) dans lequel il utilise l’API Fullscreen du standard HTML5 pour berner l’utilisateur. Il semble possible en théorie de créer une nouvelle forme d’attaque par phishing.

phishing html5 fullscreen

 

Feross Aboukhadijeh est étudiant en sciences informatiques à la célèbre université de Stanford et chercheur indépendant en sécurité. Il s’est intéressé à l'API Fullscreen du standard HTML5 qui, comme son nom l’indique, permet de basculer dans un mode d’affichage plein écran. Si vous vous demandez à quel moment vous avez pu croiser cette fonctionnalité issue du HTML5, ne cherchez pas loin : l’agrandissement en plein écran des vidéos sur YouTube ou celui de la visionneuse de photos sur Facebook.

 

Dans son proof-of-concept, Aboukhadijeh affiche un lien semblant tout à fait légitime vers le très sérieux site de la Bank of America. Même la prévisualisation du lien montre que la destination est celle qui est annoncée. Sauf qu’au moment où l’utilisateur clique sur ledit lien, le navigateur bascule en mode plein écran et affiche une fausse version du site de la banque. Pour les besoins de la démonstration, il s’agit d’une simple image, mais Aboukhadijeh indique qu’un site fonctionnel peut très bien y prendre place.

 

Comme l’explique le chercheur, le problème se situe dans l’évènement clic sur le lien, qui par ailleurs est réel, d’où le danger. Quand l’utilisateur clique, le site d’origine bloque l’appel vers le site de la Bank of America. À la place, il lance un appel vers l’API Fullscreen et en profite pour glisser le contenu malveillant prévu.

 

L’exploitation a cependant une limite. Pour insérer le contenu qui l’intéresse, le vrai-faux mode plein écran doit représenter ce qui devrait normalement s’afficher sur l’écran de l’utilisateur. Or, cela intègre notamment une barre ainsi que des contrôles, ce qui repose donc sur le duo navigateur/OS. Or, dans notre cas, nous avons utilisé Chrome sous Windows 8 :

 

phishing html5 fullscreen

 

On remarque le bouton de fermeture est celui de Vista/Windows 7 et ne correspond donc pas. Aboukhadijeh indique cependant que la majorité des utilisateurs risque de ne pas faire attention : seuls ceux qui connaissent vraiment l’environnement informatique font attention à ce genre de détail. Et encore, on pourrait tout à fait penser à un bug ou à un souci d’affichage sans nécessairement faire la liaison avec un risque de sécurité. Il s’agit en fait de la faiblesse de l’attaque, comme signalée par plusieurs personnes dans les commentaires de l’exposé. Toutefois, le travail de précision repose sur les épaules du concepteur de l’attaque.

 

Ceux qui souhaitent en savoir davantage pourront lire l’explication complète de l’auteur.

Commentaires (61)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Spidard a écrit :



Un utilisateur inexpérimenté n’utilise pas linux ;)





Ne sait pas ce qu’il utilise. Ça pourrait être du linux qui n’en saurait rien.


votre avatar

Firefox 10.0.0.8 ESR, windows 7.



A part une musique débile, il ne se passe rien quand je clique…

votre avatar







Dunaedine a écrit :



Il y a une alerte quand on passe en mode plein écran non? Cela ne fonctionne pas comme le plein écran déjà ancien du navigateur (F11)?







Tout à fait. En faisant le test avec firefox (15), j’ai quand même un ENORME encart qui me dit que le site feross.org est maintenant en plein écran et me demande si je veux l’autoriser ou non ce qui est hautement suspect. Je peux comprendre que des gens n’y comprennent rien et sont prêt à cliquer sur autoriser de toute façon mais on ne peut pas dire que ça se fait discrètement pour le coup…


votre avatar

Avec une détection de l’OS et du navigateur, on pourrait très bien charger une image qui correspond à l’interface que l’utilisateur utilise (sauf les thèmes, nombres d’onglets,etc…).



Pour les avertis, clairement, ça marchera pas ce genre de méthode. Mais pour Madame Michu, je pense qu’elle y verra que du feu :/



Edit : Ah bah, c’est déjà ce qu’il fait presque. Maintenant, il faut encore faut encore gérer la version du navigateur (FF stable et FF Nightly n’ont pas la même interface par exemple ^^)

votre avatar







seboss666 a écrit :



C’est malheureusement tout à fait ça : j’ai vu des gens sous Seven cliquer sur des pubs javascript qui affichaient un design Playmobil/XP sans même sourciller…





Tout à fait. En fait, une bonne partie des utilisateurs lambda que je connais se laisseraient berner.



La vidéo présentée sur la page de demo montre bien cet effet : www.youtube.com/watch?v=FWSxSQsspiQ. Les gens ont tellement l’habitude que des trucs qu’ils ne comprennent pas se produisent que ça passerait comme une lettre à la poste si c’est dans le bon contexte (la personne veux aller sur le site de sa banque)


votre avatar

Avec l’option transparence, le lien ne permet pas de retrouver la même image que ton bureau. Et en plus, la barre des taches disparait.

votre avatar







Spidard a écrit :



Un utilisateur inexpérimenté n’utilise pas linux ;)





Si.


votre avatar

Bien essayé, même sous Linux … a condition d’avoir une Ubuntu de base <img data-src=" />



Le panurgisme des utilisateurs est l’une des plus grosse faille de l’informatique.

Le seul antivirus que je connaisse est une extinction de masse <img data-src=" />

votre avatar







GruntZ a écrit :



Bien essayé, même sous Linux … a condition d’avoir une Ubuntu de base <img data-src=" />



Le panurgisme des utilisateurs est l’une des plus grosse faille de l’informatique.

Le seul antivirus que je connaisse est une extinction de masse <img data-src=" />







Que dis-tu de commencer par un coup de sword sur ton commentaire ?


votre avatar







Vincent_H a écrit :



Que dis-tu de commencer par un coup de sword sur ton commentaire ?







En même temps, j’avoue qu’avec l’avertissement qui est affiché indiquant qu’il y a un plein écran alors que tu vois l’interface de ton navigateur… Heu… Là ça devient de la bêtise crasse…


votre avatar

Sérieux ? quand on passe en fullscreen, l’écran clignote donc très facile à percevoir.

votre avatar







tchize a écrit :



Firefox 10.0.0.8 ESR, windows 7.



A part une musique débile, il ne se passe rien quand je clique…





C’est la musique de Super Mario quand tu perds :)







Dunaedine a écrit :



Il y a une alerte quand on passe en mode plein écran non? Cela ne fonctionne pas comme le plein écran déjà ancien du navigateur (F11)?





+1,

Firefox indique qu’il s’agit du site feross.org et non bankofamerica.

Si tu n’approuve pas le full screen, le faux site disparait.


votre avatar







Inophage a écrit :



Sérieux ? quand on passe en fullscreen, l’écran clignote donc très facile à percevoir.





D’où la dissociation entre utilisateur expérimenté et inexpérimenté. Ma mère n’y verra rien et cliquera sur accepter.


votre avatar







Vincent_H a écrit :



Que dis-tu de commencer par un coup de sword sur ton commentaire ?





Je l’accepterais mais le comprendrais assez peu.



Je faisais juste remarquer que le fait d’être “comme tout le monde” est un risque en soit.



Lorsqu’une espèce n’a plus une diversité génétique suffisante, elle devient extrêmement fragile à une attaque virale qui cible un gêne fortement répandu.

si les porteurs sains ou les individus naturellement immunisés par une mutation du génome dominant ne sont pas en nombre suffisant, on assiste à une extinction de masse.



Et les PC sous Windows ne sont pas une “espèce” présentant un “grande diversité génétique”, et ça ne va pas aller en s’améliorant avec tablettes si peu personnalisables et si identiques entre elles.



Ils ont juste amélioré les popups d’alerte au vieux look WinXP qui me faisaient mourir de rire quand elle s’affichaient sur un Linux … mais qui ont quand même fait des ravages chez des utilisateurs qui ne voient dans un PC qu’un “terminal de consommation de loisirs numériques”


votre avatar







alexduf a écrit :



D’où la dissociation entre utilisateur expérimenté et inexpérimenté. Ma mère n’y verra rien et cliquera sur accepter.





Hélas. <img data-src=" />

Acceptez vous … =&gt; pas lu =&gt; OK


votre avatar

c’est possible aussi sur un smartphone?

Si oui, c’est plus compliqué à détecter vu qu’on a tous le même skin sur un mobile

votre avatar







GruntZ a écrit :



Ils ont juste amélioré les popups d’alerte au vieux look WinXP qui me faisaient mourir de rire quand elle s’affichaient sur un Linux …





“Rassure” toi, il y en a toujours.


votre avatar

Désolé mais avec noscript cela ne passe pas. <img data-src=" /> <img data-src=" />

votre avatar







GruntZ a écrit :



Je l’accepterais mais le comprendrais assez peu.



Je faisais juste remarquer que le fait d’être “comme tout le monde” est un risque en soit.



Lorsqu’une espèce n’a plus une diversité génétique suffisante, elle devient extrêmement fragile à une attaque virale qui cible un gêne fortement répandu.

si les porteurs sains ou les individus naturellement immunisés par une mutation du génome dominant ne sont pas en nombre suffisant, on assiste à une extinction de masse.



Et les PC sous Windows ne sont pas une “espèce” présentant un “grande diversité génétique”, et ça ne va pas aller en s’améliorant avec tablettes si peu personnalisables et si identiques entre elles.



Ils ont juste amélioré les popups d’alerte au vieux look WinXP qui me faisaient mourir de rire quand elle s’affichaient sur un Linux … mais qui ont quand même fait des ravages chez des utilisateurs qui ne voient dans un PC qu’un “terminal de consommation de loisirs numériques”







Tu ne peux pas comparer une population vivante frappée par un virus qui fait fi de toute conscience et donc de choix à une population d’utilisateur qui se choisit des machines pour des raisons qui ne sont pas les tiennes.



Faudra bien comprendre un jour que l’écrasante majorité des gens ne veut pas s’ennuyer avec des détails techniques : un PC est fait pour accomplir un travail, il a un devoir d’aide et est donc considéré comme domestique. Idéalement, ce devrait être aussi simple qu’un lave-linge.


votre avatar







Vincent_H a écrit :



Idéalement, ce devrait être aussi simple qu’un lave-linge.





Ah mais la lave linge c tout sauf simple : noir et couleur, programme laine …



<img data-src=" />



Aller, coup de sword, je l’ai bien mérité <img data-src=" />


votre avatar



Il semble possible en théorie



puis



Dans son proof-of-concept





Il faudrait choisir (à mon avis).

votre avatar







Spidard a écrit :



Ah mais la lave linge c tout sauf simple





ah mais à ce compte là prend plutôt une femme, même fonction, même effets secondaire.



(quoi ? on joue pas à qui sort la plus grosse ?)



Cela dit, oui, une forte proportion de mes connaissance ne lit pas ce que demande le navigateur et clique simplement sur OK (ou sur la croix quand il y en a une)

pour se débarrasser du bandeau.


votre avatar

En passant par Maxthon 3 c’est une fenetre style Chrome qui s’ouvre… du coup c’est relativement flagrant.

Pas testé avec d’autres naviguateurs, mais selon les différents retour, certains risquent de se faire avoir <img data-src=" />

votre avatar

IE9 ça passe pas comme quoi c’est pas toijours bon d’être à la page <img data-src=" />

votre avatar







Vincent_H a écrit :



Tu ne peux pas comparer une population vivante frappée par un virus qui fait fi de toute conscience et donc de choix à une population d’utilisateur qui se choisit des machines pour des raisons qui ne sont pas les tiennes.



Faudra bien comprendre un jour que l’écrasante majorité des gens ne veut pas s’ennuyer avec des détails techniques : un PC est fait pour accomplir un travail, il a un devoir d’aide et est donc considéré comme domestique. Idéalement, ce devrait être aussi simple qu’un lave-linge.





Avec de tel raisonnement, les anti-virus ne devraient pas exister. C’est en effet un détail technique ennuyant (l’anti-virus n’est là que pour résoudre un problème purement informatique: personne n’achète un ordinateur dans le but de le nettoyer de ses virus).



De la même façon que l’anti-virus a été quelque chose à apprendre pour l’utilisateur, la diversité des logiciels devrait l’être également.

Entre avoir un anti-virus qui élimine 90% des virus sur une machine utilisant des logiciels utilisés par 99% de la population et avoir une machine utilisant un logiciel utilisé à 25% avec une personnalisation utilisé à 25%, les risques de se faire avoir sont respectivement 9.9% et 6.25% (ce n’est qu’une bête simplification, mais c’est simplement pour dire que la diversité logicielle peut être tout aussi importante qu’un anti-virus).


votre avatar

Mon FF demande une confirmation avant de basculer en fullscreen <img data-src=" />.



Faudrait être vraiment inattentif pour se faire berner.

votre avatar







Vincent_H a écrit :



Que dis-tu de commencer par un coup de sword sur ton commentaire ?





à part sa remarque sur Ubuntu, quel est le problème de son commentaire ? Ah oui pardon, il dit une vérité.


votre avatar







yoda222 a écrit :



à part sa remarque sur Ubuntu, quel est le problème de son commentaire ? Ah oui pardon, il dit une vérité.





Parler d’extinction de masse comme la seule solution, il n’y a pas un truc qui te dérange? <img data-src=" />


votre avatar







Vincent_H a écrit :



Tu ne peux pas comparer une population vivante frappée par un virus qui fait fi de toute conscience et donc de choix à une population d’utilisateur qui se choisit des machines pour des raisons qui ne sont pas les tiennes.



Tant que la vente liée sera la règle, le verbe “choisir” me semblera déplacé dans ta phrase.

Le marketing crée un besoin que le consommateur cherche à combler; point.

S’il y arrive, il ne se pose plus de question jusqu’au besoin suivant.





Vincent_H a écrit :



Faudra bien comprendre un jour que l’écrasante majorité des gens ne veut pas s’ennuyer avec des détails techniques : un PC est fait pour accomplir un travail, il a un devoir d’aide et est donc considéré comme domestique. Idéalement, ce devrait être aussi simple qu’un lave-linge.









j-c_32 a écrit :



Avec de tel raisonnement, les anti-virus ne devraient pas exister. C’est en effet un détail technique ennuyant (l’anti-virus n’est là que pour résoudre un problème purement informatique: personne n’achète un ordinateur dans le but de le nettoyer de ses virus).





Merci j-c_32, c’est bien pour cela que je parle de “terminal de consommation de loisirs numériques” (pour le grand public) et pas d’ordinateur, dont ils n’ont que faire et qui s’avère surtout être une source de problèmes, de risques et finalement, de frustrations


votre avatar







Tolor a écrit :



Parler d’extinction de masse comme la seule solution, il n’y a pas un truc qui te dérange? <img data-src=" />





Désolé d’avoir choqué <img data-src=" /> le mot “masse” est malheureux



Mais c’est un fait, il y a déjà eu 6 grandes extinctions :

fr.wikipedia.org WikipediaEt sans celle qui à couté leur suprématie aux dinosaures, les premiers mammifères, accessoirement nos ancêtres, n’auraient pas hérité d’une niche écologique à occuper et où prospérer.



votre avatar







canard_jaune a écrit :



Mon FF demande une confirmation avant de basculer en fullscreen <img data-src=" />.



Faudrait être vraiment inattentif pour se faire berner.







Moi il passe d’abord en fullscreen et là il montre l’avertissement… je préférerai avoir l’alerte avant d’avoir une grosse pub X en plein écran <img data-src=" />


votre avatar







Tolor a écrit :



Parler d’extinction de masse comme la seule solution, il n’y a pas un truc qui te dérange? <img data-src=" />





Non, je ne vois pas ce qui peut choquer là dedans. Il ne parle pas de tuer tous ceux qui ne savent pas se servir d’un ordinateur, ni de tuer personne. Il parle de la disparition entière de la population, donc 1) ça n’implique pas qu’il veut la réaliser lui même, ça peut être naturel, et 2) ça le comprend lui également.


votre avatar

Sur le teste j’ai une interface Firefox, qui ressemble absolument pas à la mienne… Mais c’est sur que sans extensions, sans skins, et sans modif du système, on peut se faire avoir.



Mais c’était déjà réalisable avec Flash ce genre de truc.

votre avatar

Perso, j’obtiens exactement la même chose que sur mon firefox. Ca pourrait vraiment devenir piégeant, surtout si le lien semble au départ le bon.

Il n’y a que le zoom de win7 (mise à l’échelle pour les myopes<img data-src=" />) qui peut me montrer que l’interface est différente, on peut noter aussi les boutons de la barre d’adresse. Par contre, je ne remarque pas de différences au niveau du bouton de fermeture.

votre avatar

Bon bah je vais rester sur mon habitude de pas avoir le navigateur en plein écran <img data-src=" />

votre avatar

Je risque de ne pas trop me tromper, mon thème firefox n’est pas repris dans le mode fullscreen. Enfin, pour le moment…

votre avatar







zefling a écrit :



Mais c’était déjà réalisable avec Flash ce genre de truc.





Flash ne peut bloquer l’évènement click pour lancer autre chose en plein écran… Le tout pendant que l’utilisateur ne voit rien d’anormal.


votre avatar

Je suis sous Mageia, avec KDE et Firefox.

Le page me donne un thème qui ressemble à ambiance avec unity (avec le nom d’utilisateur faux, évidemment).

C’est très loin de passer inaperçu, même pour l’utilisateur inexpérimenté.



C’est une illustration originale du fait que la diversité des thèmes et des desktops (et donc des distributions) sous linux est une bonne chose pour la sécurité.

votre avatar

C’est connu, et ça fait longtemps que les mecs de chrome et Firefox y ont pensé. Ca a lancé pas mal de débats au tout début de l’élaboration de la norme entre ceux qui avaient peur de ce genre d’attaque, et ceux qui voulaient faire avancer les fonctionnalités.



Je pense que chacun de ces deux navigateurs doivent pouvoir être configurés à rejeter toute demande de plein écran, sauf une liste blanche. (si c’est pas le cas, ils devraient)









Bejarid a écrit :



Flash ne peut bloquer l’évènement click pour lancer autre chose en plein écran… Le tout pendant que l’utilisateur ne voit rien d’anormal.





Hum, on peut faire du click jacking avec du flash derrière, je pense que c’est réalisable.


votre avatar







IE9 a écrit :



Your browser does not support the Fullscreen API. Sorry - this demo will not work for you. Try Chrome, Firefox, or Safari 6 (on OS X 10.8 Mountain Lion).





Indeed, IE est super secure, impossible de se faire phisher comme ça <img data-src=" />





j-c_32 a écrit :



Je suis sous Mageia, avec KDE et Firefox.

Le page me donne un thème qui ressemble à ambiance avec unity (avec le nom d’utilisateur faux, évidemment).

C’est très loin de passer inaperçu, même pour l’utilisateur inexpérimenté.





Un utilisateur inexpérimenté n’utilise pas linux ;)


votre avatar

Il y a une alerte quand on passe en mode plein écran non? Cela ne fonctionne pas comme le plein écran déjà ancien du navigateur (F11)?

votre avatar

Rien que le fait de n’avoir que 1 onglet dans chrome est suspect pour moi…

votre avatar

Il faudrait pour que ça marche ne pas avoir de skin différent (ne serait-ce qu’une couleur qui ne soit pas le bleu sous Vista/7), pas d’onglet, ne pas voir l’avertissement qui dit que le feross.org veut afficher en plein écran (et non bankofamerica)… Ça fait quand même un peu beaucoup de conditions à réunir <img data-src=" />

votre avatar

Je suis sur Firefox et winXP (pas le choix, c’est pas ma bécane).



Mon thème noir n’est pas repris, du coup c’est flagrant <img data-src=" />

votre avatar

Malheureusement c’est suffisant pour ceux qui ne connaisse rien et qui accepte tout est n’importe quoi.





Autoriser le plein écran?

Ben oui je veux aller sur le site de ma banque.

Tiens mon navigateur bug, j’ai perdu mes onglet … Tant pis.

Bon, numéro de carte bleu, code, voila c’est rempli.





<img data-src=" />

votre avatar







ecatomb a écrit :



Malheureusement c’est suffisant pour ceux qui ne connaisse rien et qui accepte tout est n’importe quoi.







<img data-src=" />





C’est malheureusement tout à fait ça : j’ai vu des gens sous Seven cliquer sur des pubs javascript qui affichaient un design Playmobil/XP sans même sourciller…


votre avatar







alexduf a écrit :



D’où la dissociation entre utilisateur expérimenté et inexpérimenté. Ma mère n’y verra rien et cliquera sur accepter.







Et alors ? Ta mère elle tombe sur un lien du genre www.baankofamerica.com ou www.bankofamerika.com qui est en fait une mire du vrai site - ce qui au passage est nettement plus simple à réaliser de façon crédible qu’une image dépendante de la conf client - elle va faire gaffe qu’elle est pas en https ?



Et en admettant qu’elle soit bien dressée (déjà bravo, j’ai jamais réussi à aller jusque là), elle va aller jusqu’à consulter les infos du certificat de secu pour savoir à qui elle donne ses coordonnées bancaires ?



Des attaques de ce type y en a vraiment beaucoup de possibles, avec ou sans hook js sur le lien, avec ou sans HTML 5 <img data-src=" />


votre avatar







Vincent_H a écrit :



Faudra bien comprendre un jour que l’écrasante majorité des gens ne veut pas s’ennuyer avec des détails techniques : un PC est fait pour accomplir un travail, il a un devoir d’aide et est donc considéré comme domestique. Idéalement, ce devrait être aussi simple qu’un lave-linge.







Non c’est faux, pas plus qu’un automobiliste n’est dégagé de ses responsabilités sous prétexte qu’une voiture ne sert qu’à voyager.



Si tu ne veux pas mettre les mains dans le cambouis, libre à toi, tu payes un chauffeur et un garagiste.



Mais l’idée que ce soit différent pour les ordinateurs, qui sont les réceptacles de données de plus en plus confidentielles (des impôts aux bilans de santé en passant par le compte en banque) est d’une dangereuse irresponsabilité.


votre avatar







Vincent_H a écrit :



Idéalement, ce devrait être aussi simple qu’un lave-linge.





Mon père est dév et ne sait pas se servir du lave-linge. <img data-src=" />



Enfin comme beaucoup, c’est surtout qu’il a pas envie de savoir…







Tolor a écrit :



Parler d’extinction de masse comme la seule solution, il n’y a pas un truc qui te dérange? <img data-src=" />







C’est juste la solution pour sauver la terre. :) Enfin, sauver les autres êtres vivant, la Terre suivra même à la mort de toutes les créatures vivantes qui l’habite.


votre avatar







zefling a écrit :



C’est juste la solution pour sauver la terre. :) Enfin, sauver les autres êtres vivant, la Terre suivra même à la mort de toutes les créatures vivantes qui l’habite.







Euh, qu’on soit bien clair; l’espèce dont je souhaite l’éradication (assez souvent ici, d’ailleurs), c’est celle des PC sous Windows, ou des Mac, ou tout autre dispositif que son fournisseur à conçu pour qu’il obéisse en priorité à SON modèle économique, puis, accessoirement, et seulement si cela n’entre pas en conflit avec l’objectif précédent, au détenteur de la licence d’utilisation.



Après, sur le plan écologique, on peut bien penser ce qu’on veut; par exemple (ça date un peu, mais l’essentiel y est) :

http://www.notre-planete.info/actualites/actu_1059_avenir_espece_humaine_futur_p…


votre avatar







GruntZ a écrit :



Après, sur le plan écologique, on peut bien penser ce qu’on veut; par exemple (ça date un peu, mais l’essentiel y est) :

http://www.notre-planete.info/actualites/actu_1059_avenir_espece_humaine_futur_p…





En effet, on est à 1,5 planète… Et c’est de pire en pire, pour continuer de garder cette « croissance ».


votre avatar







XalG a écrit :



Bon bah je vais rester sur mon habitude de pas avoir le navigateur en plein écran <img data-src=" />





Ça n’a rien à voir.

Le navigateur peut se mettre tout seul en plein écran, par exemple pour afficher une image ou un jeu. Ou un faux site de banque qui réagit comme le vrai et affiche les infos de sécurité normales (adresse, https…).


votre avatar







lincruste a écrit :



Non c’est faux, pas plus qu’un automobiliste n’est dégagé de ses responsabilités sous prétexte qu’une voiture ne sert qu’à voyager.



Si tu ne veux pas mettre les mains dans le cambouis, libre à toi, tu payes un chauffeur et un garagiste.



Mais l’idée que ce soit différent pour les ordinateurs, qui sont les réceptacles de données de plus en plus confidentielles (des impôts aux bilans de santé en passant par le compte en banque) est d’une dangereuse irresponsabilité.







Chacun sa vision des choses. Mais de toute manière, tu auras beau lutter contre ça, ça ne changera rien, car c’est le désintérêt de la population pour les rouages qui façonnera l’informatique : la sécurité ne sera plus une option découlant d’un choix, mais quelque chose d’inhérent, de masqué, allant de soi. Je pense qu’il aurait fallu que ce soit comme ça dès le début.



Faut pas confondre : notre passion, ou tout du moins notre intérêt pour l’informatique, déforme complètement la vision qu’on peut avoir de cette activité. Difficile de comparer avec la voiture dans la mesure où perdre le contrôle de son véhicule a des implications directes pour la santé d’autres personnes.


votre avatar







Iridium a écrit :



Ça n’a rien à voir.

Le navigateur peut se mettre tout seul en plein écran, par exemple pour afficher une image ou un jeu. Ou un faux site de banque qui réagit comme le vrai et affiche les infos de sécurité normales (adresse, https…).







Hum ça a à voir. Si tu es en mode fenêtré et que ton navigateur passe en mode plein écran tu vois un peu plus le trick. Donc non <img data-src=" />


votre avatar

Yep, testé et effectivement, le constat est le même que beaucoup: c’est vrai que Fx m’a “indiqué” d’une manière peu conventionnelle que le mode fullscreen allait être mis en place, c’est vrai que l’interface qui a suivi n’avait rien à voir du tout (surtout quand t’as les onglets en-dessous à l’ancienne et que t’as un thème personas), mais… la manip’ existe dont elle est potentiellement efficace pour quelqu’un de béotien, peu intéressé, pressé, etc…



Enfin j’ai d’abord lu la news, puis tous les com’ avant d’aller quand même tester par curiosioté parce que :



Si vous vous demandez à quel moment vous avez pu croiser cette fonctionnalité issue du HTML5, ne cherchez pas loin : l’agrandissement en plein écran des vidéos sur YouTube

Euh non, c’est celle du lecteur flash <img data-src=" />



ou celui de la visionneuse de photos sur Facebook.

connais pas, désolé <img data-src=" />



Mais bref, évidemment les pbs de concordance graphique existeront, mais il doit y avoir une grosse proportion de gens qui ont tout par défaut et qui ne seront pas attentifs, )à mon avis c’est quand même la plus grosse proportion à l’heure actuelle, donc c’est potentiellement dangeureux

votre avatar







Vincent_H a écrit :



Chacun sa vision des choses. Mais de toute manière, tu auras beau lutter contre ça, ça ne changera rien, car c’est le désintérêt de la population pour les rouages qui façonnera l’informatique : la sécurité ne sera plus une option découlant d’un choix, mais quelque chose d’inhérent, de masqué, allant de soi. Je pense qu’il aurait fallu que ce soit comme ça dès le début.



[…]







L’épée précède le bouclier. Ce que tu souhaites n’existera jamais (enfin sauf changement radicale du comportement humain), il y a trop d’intérêt à s’attaquer aux données des gens (ou même juste à acquérir leur puissance de calcul pour un botnet).


votre avatar







Dunaedine a écrit :



L’épée précède le bouclier. Ce que tu souhaites n’existera jamais (enfin sauf changement radicale du comportement humain), il y a trop d’intérêt à s’attaquer aux données des gens (ou même juste à acquérir leur puissance de calcul pour un botnet).







Ah mais je n’ai jamais dit que les attaques cesseraient. Bien sûr qu’elles vont continuer. Je disais simplement que jamais l’immense majorité des utilisateurs ne s’intéressera de près à tout ce que ça implique. C’est rébarbatif et ça représente tout simplement trop d’efforts pour parvenir au même résultat. L’informatique va vers la simplification, encore et toujours. Le Saint Graal de l’utilisateur lambda n’est pas très compliqué : dépenser de moins en moins d’énergie pour parvenir au même résultat.


votre avatar







Vincent_H a écrit :



Ah mais je n’ai jamais dit que les attaques cesseraient. Bien sûr qu’elles vont continuer. Je disais simplement que jamais l’immense majorité des utilisateurs ne s’intéressera de près à tout ce que ça implique. C’est rébarbatif et ça représente tout simplement trop d’efforts pour parvenir au même résultat. L’informatique va vers la simplification, encore et toujours. Le Saint Graal de l’utilisateur lambda n’est pas très compliqué : dépenser de moins en moins d’énergie pour parvenir au même résultat.







Cela oui je suis d’accord, mais une plus grande diversité logicielle reste un plus. Cela n’implique pas forcément une grande diversité pour ce qui est interface, nous traversons juste une période d’évolution due à de nouvelles interface, mais à terme un paradigme finira par s’imposer. Comme cela s’est effectué par le passé. Les interfaces étant proches, un utilisateur n’aura pas d’effort à faire.


votre avatar







Dunaedine a écrit :



Cela oui je suis d’accord, mais une plus grande diversité logicielle reste un plus. Cela n’implique pas forcément une grande diversité pour ce qui est interface, nous traversons juste une période d’évolution due à de nouvelles interface, mais à terme un paradigme finira par s’imposer. Comme cela s’est effectué par le passé. Les interfaces étant proches, un utilisateur n’aura pas d’effort à faire.







Totalement d’accord. Quand je parle de simplification, je parle de l’accès en général et de la manière d’utiliser, l’UX en fait. Par contre, plus il y a d’applications, mieux c’est :)


votre avatar







XalG a écrit :



Hum ça a à voir. Si tu es en mode fenêtré et que ton navigateur passe en mode plein écran tu vois un peu plus le trick. Donc non <img data-src=" />





T’es au courant qu’une fenêtre peu très bien occuper tout le bureau ? Tu veux dire par mode fenêtré que ton navigateur occupe une portion de ton bureau ?



Plein écran, c’est quand tu appuis sur F11, pas quand ta fenêtre est maximisée. Dailleurs le mode plein écran n’est pas reproduit par la fausse interface.


votre avatar







Iridium a écrit :



T’es au courant qu’une fenêtre peu très bien occuper tout le bureau ? Tu veux dire par mode fenêtré que ton navigateur occupe une portion de ton bureau ?



Plein écran, c’est quand tu appuis sur F11, pas quand ta fenêtre est maximisée. Dailleurs le mode plein écran n’est pas reproduit par la fausse interface.







Non mais quand je parlais de pas être en plein écran je parlais d’avoir une fenêtre qui ne fait pas tout l’écran <img data-src=" />


Une attaque de phishing peut être menée grâce à l’API Fullscreen du HTML5

Fermer