Re: passer à UTF8 --> risque
Le Samedi, 17 Décembre 2005 22.48, Stephane Bortzmeyer a écrit :
> On Sat, Dec 17, 2005 at 10:39:29PM +0100,
> steve <dlist@bluewin.ch> wrote
>
> a message of 12 lines which said:
> > http://www.schneier.com/blog/archives/2005/02/unicode_url_hac_1.html
>
> D'habitude, j'apprécie beaucoup tous les articles de Schneier
moi aussi
> mais celui-ci est vraiment idiot. La même attaque est possible sans Unicode
> (www.goog1e.com, par exemple).
l'argument de dire que l'article est idiot *parce que* la même attaque est
possible sans unicode ne me paraît pas très pertinent.
Il est vrai que ce problème existe depuis longtemps, même en ascii (un autre
exemple est le " r " suivi du " n ", qui semble donner un " m "); mais il est
bon, me semble-t-il, de rappeler que souvent, lorsque l'on veut résoudre un
problème, on amène son lot de complexité et de ce fait de nouvelles
possibilités de trous de sécurité. Je crois que c'est le message de Schneier.
De plus le problème est encore d'actualité:
The attack can be disabled in Firefox and Mozilla by setting
'network.enableIDN' to false in the browser's configuration (enter
about:config in the address bar to access the configuration functions).
Sur mon Firefox, cette variable est toujours à true.
> Et, de toute façon, Schneier ne propose aucune alternative (à part
> rester en US-ASCII, ce qui ne convient qu'aux anglophones et
> néérlandophones).
Non il ne dit pas ça; il dit que l'ascii étant plus restreint, il est moins
facile de commettre une erreur, car ne n'oublions pas "Errare humanum est".
Bon dimanche
--
steve
jabber : sdl@jabber.org
Reply to: