IE se mélange les pinceaux...

Comments

# jeanmarc said on Friday, January 16, 2004 11:39 PM

hello ;)

Concerne l'URL Spoofing
Déjà commenté sur l'XPditif ;)

Quelques points qui me frappent :
- ce patch ne touche pas au GUI, quelle que soit la localization, le code est en Eng. Bien souvent, lorsque les patches sortaient d'abord en Eng et souvent nettement plus tard dans les autres langues, il suffsait de les renommer en fr pour qu'ils puissent s'appliquer sans problème...
- un dev indépendant à sorti un fix qui fonctionne parfaitement dans toutes les langues depuis plus d'un mois.
- Mozilla, concerné également par cette vunérabilité (mais dans une moindre mesure : l'URL complète s'affiche dans la barre d'adresse) avait retardé la sortie de sa nouvelle version en attendant d'avoir corrigé : c'est chose faite depuis un moment...
- Le Clusif considère le fishing comme la plus grande menace de 2003.
- Je me fais reprendre de volée sur le NG MS Private Security, les autres intervenants estiment que c'est tout à fait secondaire et déconseillent d'installer le fix de l'hydre Open source : ils ont le code sous les yeux et peuvent vérifier qu'il n'y a rien de malicieux dans ce code. Pourquoi cette crainte de tout ce qui n'est pas M$.
- Près de deux mois, sans sortir un fix pour cette vulnérabilité, sans pratiquement de communication officielle si ce n'est "under investigation", ça fait pas très sérieux quand on dit : objectif Number One security.
- Et toujours 22 autres failles, elles aussi bouchées par un dev indépendant...

# jeanmarc said on Saturday, January 17, 2004 8:15 AM

Tristan Nitot a donné la solution : passer à Mozilla 1.6 :)

D'ailleurs l'URL spoofing a été détourné de manière comique :

http://www.standblog.com/blog/2004/01/16/93113287-Incroyab

J'en ris encore.

NB : j'ai fait la comparaison IE 6.0 Sp1 / mozilla 1.6... Crevant :)