Exposition D7000

[Shepherd]

Jamais vu de pub auparavant.

Pour ceux qui seraient intéressés par l'offre, par mesure de sécurité (nous ignorons qui a intégré cette pub et ce lien), ne pas effectuer une commande en cliquant directement sur le lien dans la pub, mais saisir www.photim.com depuis la barre d'adresse de votre navigateur.

 

[jeanbart]

C'est exactement la même page de promo que sur la boutique photim. Seul les NCI ont pu insérer ce genre de pub.
Peut être un test pour faire comme sur le forum des pixelistes.

[Shepherd]

Jeanbart,

A moins que tu ne disposes des outils/moyens techniques et du temps pour le vérifier, j'ignore ce qui te permet d'en être certain.
Je préfère donc insister quant aux précautions à prendre pour ceux qui seraient intéressés par l'offre : ça ne coûte rien de saisir l'URL du site Photim dans un navigateur (au lieu de cliquer sur le lien direct) et ça peut éviter une éventuelle fraude.

Un peu dans l'idée : il ne faut jamais pointer une arme dans la direction de qq'un même en étant certain qu'elle n'est pas chargée, en matière de sécurité informatique, mieux vaut acquérir certains réflexes.

[JR94320]

Peut être un test pour faire comme sur le forum des pixelistes.

Noooooooooooooooooooooooooooo ooonnn ...... pas ça .....

[jeanbart]

Soit c'est un test, soit le forum s'est fait hacker. Et là les pirates (pas le corsaire) vont s'en donner à cœur joie.
Quoiqu'il en soit il faut avoir les clés pour changer un message.

Noooooooooooooooooooooooooooo ooonnn ...... pas ça .....

Si, si et avec une pub par pages pour audiophil les pros de la ventes sur les parkings à Montier.

[Shepherd]

Soit c'est un test, soit le forum s'est fait hacker. Et là les pirates (pas le corsaire) vont s'en donner à cœur joie.
Quoiqu'il en soit il faut avoir les clés pour changer un message.
...

Moi, ne sachant pas comment le "système" est ficelé (je lis tout de même PHP dans les URL), je préfère prévenir que guérir en cette période de congés.
Entre autres joyeusetés, injection SQL, ça te parle ? Pour obtenir "des clés", c'est une méthode qui peut faire des merveilles .

[GilD]

L'injection SQL est une technique de hacking utilisée principalement pour récupérer des donnés dans une base de données (mots de passe le plus souvent), mais un lien clickable ne peut pas te faire courir ce genre de risque puisque tu n'as pas de serveur. Le risque est plus a chercher du coté trojan ou encore phishing (faux formulaire d'abonnement pour avoir tes infos Visa par exemple).

(la je suis dans mon élément Shepherd )

[Shepherd]

L'injection SQL est une technique de hacking utilisée principalement pour récupérer des donnés dans une base de données (mots de passe le plus souvent), mais un lien clickable ne peut pas te faire courir ce genre de risque puisque tu n'as pas de serveur. Le risque est plus a chercher du coté trojan ou encore phishing (faux formulaire d'abonnement pour avoir tes infos Visa par exemple).

(la je suis dans mon élément Shepherd )

Oui GilD, nous sommes d'accord je crois .

Jeanbart disait que pour modifier un message il fallait avoir les clés : une injection SQL exploitant une faille (si applicable) peut permettre de récupérer des identifiants et donc de les utiliser à mauvais escient.

Je pensais donc à une possible attaque combinée (phishing, détournement d'URL vers un serveur "pirate", et autres possibilités).
J'ai vérifié que l'authentification et la création de compte sur le site Photim étaient sécurisées. Raison pour laquelle, par précaution, j'ai indiqué qu'il valait mieux saisir l'URL dans le navigateur plutôt que de cliquer sur le lien direct.
Même si une telle attaque est ici assez peu probable, ça ne coûte absolument rien de prendre cette précaution (qui devrait être un réflexe d'ailleurs ).

Je ne suis pas une spécialiste dans le détail, mais 7 ans passés chez un éditeur en logiciels de sécurité (y compris à localiser antivirus et suite de sécurité), ça aide à mieux appréhender les grandes lignes et la tendance des attaques/menaces .

[GilD]

Le lien envoie vers www.photim.com, il semblerait donc que le forum va bientôt se garnir de pubs entre les messages, comme ça se voit ailleurs (c'était peut être un test).

[mamad-06]

On s'en fous en même temps non? Il n'y a aucun modérateur sur ce forum pour que tous les fils deviennent n'importe quoi au bout de deux pages?

[Shepherd]

Le lien envoie vers www.photim.com, il semblerait donc que le forum va bientôt se garnir de pubs entre les messages, comme ça se voit ailleurs (c'était peut être un test).

GilD,

Quand on sait que de bien plus armés en matière de sécurité se sont fait avoir en beauté (dont Kaspersky, des sites bancaires, etc... certes nettement plus porteurs en termes de gains potentiels ), il y a bien longtemps que je ne me fie plus aux apparences .

Alors ce voyage en Angleterre, sympa ?

[GilD]

GilD,

Quand on sait que de bien plus armés en matière de sécurité se sont fait avoir en beauté (dont Kaspersky, des sites bancaires, etc... certes nettement plus porteurs en termes de gains potentiels ), il y a bien longtemps que je ne me fie plus aux apparences .

Alors ce voyage en Angleterre, sympa ?

Oui Shepherd, mais ce que je voulais dire c'est que la menace phishing peut déjà être écartée, les pirates ne possèdent pas le domaine photim.com je pense

Sinon oui très sympa Londres, mais je suis épuisé il faut marcher, marcher et encore marcher...
Je posterai quelques photos post-traitées à ma sauce dès mon retour

[Verso92]

On s'en fous en même temps non?

Ah ?

[Shepherd]

Oui Shepherd, mais ce que je voulais dire c'est que la menace phishing peut déjà être écartée, les pirates ne possèdent pas le domaine photim.com je pense

J'avais compris .

Juste pour exemples :

URL spoofing and phishing

Another kind of spoofing is "webpage spoofing," also known as phishing . In this attack, a legitimate web page such as a bank's site is reproduced in "look and feel" on another server under control of the attacker. The main intent is to fool the users into thinking that they are connected to a trusted site, for instance to harvest usernames and passwords.

This attack is often performed with the aid of URL spoofing , which exploits web browser bugs in order to display incorrect URLs in the browsers location bar; or with DNS cache poisoning in order to direct the user away from the legitimate site and to the fake once.

...

The internationalized domain name (IDN) homograph attack is a way a malicious party may deceive computer users about what remote system they are communicating with, by exploiting the fact that many different characters look alike, (ie, they are homographs , hence the term for the attack). For example, a person frequenting citibank .com may be lured to click the link [сitibank.com] ( punycode : xn--itibank-xjg.com/) where the Latin C is replaced with the Cyrillic С .

This kind of spoofing attack is also known as script spoofing . Unicode incorporates numerous writing systems, and for a number of reasons similarly looking characters, such as Greek Ο , Latin O and Cyrillic О , were not assigned the same code. Their incorrect or malicious usage is a possibility for security attacks. [ 1 ]

The registration of homographic domain names is akin to typosquatting . The major difference is that in typosquatting the perpetrator relies on natural human typos, while in homograph spoofing the perpetrator intentionally deceives the web surfer with visually indistinguishable names. Indeed, it would be a rare accident for a web user to type, eg, a Cyrillic letter within an otherwise English word such as "citibank". There are cases in which a registration can be both typosquatting and homograph spoofing; the pairs of l/I , i/j , and 0/O are all both close together on keyboards and bear a certain amount of resemblance to each other.

...

Ce que je voulais dire :
- tout est possible ou presque,
- alors toi qui est justement dans ton domaine, pourrais-tu encourager les bonnes pratiques STP ?
Un utilisateur lambda ne dispose ni des connaissances ni des outils ni du temps, pas davantage de l'attention permanente qu'il faudrait avoir, pour se prémunir des dangers, et aucune suite de sécurité n'est invulnérable (surtout contre les attaques de type phishing).

"Apprendre" à réaliser une opération - exigeant la saisie d'identifiants, d'infos personnelles et confidentielles - en évitant de cliquer directement sur un lien (qu'il soit dans un mail, une newsletter par exemple, ou sur un site) mais la faire en saisissant l'adresse du site directement dans la barre d'adresse me semble une sage précaution à défendre, non ?

Sinon oui très sympa Londres, mais je suis épuisé il faut marcher, marcher et encore marcher...
Je posterai quelques photos post-traitées à ma sauce dès mon retour

Oh oui, oh oui, des photos STP ! J'adore l'Angleterre .

[Lesfilmu]

non, rien...

[VOLAPUK]

c'est mieux...

[JP31]

lol

[GilD]

J'avais compris .

Juste pour exemples :

URL spoofing and phishing

Another kind of spoofing is "webpage spoofing," also known as phishing . In this attack, a legitimate web page such as a bank's site is reproduced in "look and feel" on another server under control of the attacker. The main intent is to fool the users into thinking that they are connected to a trusted site, for instance to harvest usernames and passwords.

This attack is often performed with the aid of URL spoofing , which exploits web browser bugs in order to display incorrect URLs in the browsers location bar; or with DNS cache poisoning in order to direct the user away from the legitimate site and to the fake once.

...

The internationalized domain name (IDN) homograph attack is a way a malicious party may deceive computer users about what remote system they are communicating with, by exploiting the fact that many different characters look alike, (ie, they are homographs , hence the term for the attack). For example, a person frequenting citibank .com may be lured to click the link [сitibank.com] ( punycode : xn--itibank-xjg.com/) where the Latin C is replaced with the Cyrillic С .

This kind of spoofing attack is also known as script spoofing . Unicode incorporates numerous writing systems, and for a number of reasons similarly looking characters, such as Greek Ο , Latin O and Cyrillic О , were not assigned the same code. Their incorrect or malicious usage is a possibility for security attacks. [ 1 ]

The registration of homographic domain names is akin to typosquatting . The major difference is that in typosquatting the perpetrator relies on natural human typos, while in homograph spoofing the perpetrator intentionally deceives the web surfer with visually indistinguishable names. Indeed, it would be a rare accident for a web user to type, eg, a Cyrillic letter within an otherwise English word such as "citibank". There are cases in which a registration can be both typosquatting and homograph spoofing; the pairs of l/I , i/j , and 0/O are all both close together on keyboards and bear a certain amount of resemblance to each other.

...

Ce que je voulais dire :
- tout est possible ou presque,
- alors toi qui est justement dans ton domaine, pourrais-tu encourager les bonnes pratiques STP ?
Un utilisateur lambda ne dispose ni des connaissances ni des outils ni du temps, pas davantage de l'attention permanente qu'il faudrait avoir, pour se prémunir des dangers, et aucune suite de sécurité n'est invulnérable (surtout contre les attaques de type phishing).

"Apprendre" à réaliser une opération - exigeant la saisie d'identifiants, d'infos personnelles et confidentielles - en évitant de cliquer directement sur un lien (qu'il soit dans un mail, une newsletter par exemple, ou sur un site) mais la faire en saisissant l'adresse du site directement dans la barre d'adresse me semble une sage précaution à défendre, non ?

Shepherd, tout ce que j'ai dit c'est que le lien pub dont nous parlons ici n'est pas l'oeuvre d'un pirate, après vérification. Pour le reste tu as raison et il ne semble pas avoir encouragé la négligence (ou alors décidément nous ne nous comprendrons jamais).

Je suis en train de trier mes photos dans LR3... pfff c'est long

[Shepherd]

GilD,

Pas tjs si facile de bien se comprendre via Internet, en quelques phrases et smileys .
L'essentiel est d'y mettre de la bonne volonté et d'y parvenir, ce que nous arrivons à faire maintenant (j'y crois très fort et souhaite que cela dure) .

Courage pour le tri des photos de Londres , que j'espère voir bientôt sur le forum ou sur ton site.

 

[GilD]

Courage pour le tri des photos de Londres , que j'espère voir bientôt sur le forum ou sur ton site.

En voici quelques unes, un peu à l'arrache (désolé pas de Buckingham Palace ou Westminster, c'est pas mon truc)

[GilD]

.

[GilD]

.

[GilD]

.

[GilD]

.

[jdm]

très sympa Gild