Purée,
Le buzz fait rage. Une faille de sécurité dans le nouveau naviguateur à la mode, c'est la panique, heureusement, notre bon vieux bastion des butineurs n'est pas touché par la dite faille. Pour en avoir lu des tartines, je vais donc prendre mon pot de culture informatique, et en étaler une bonne tranche (et oui, un, il en reste qu'un fond).
Donc du coup, posons nous la question, qu'est ce que c'est que cette faille tant déclamée ? Cette dernière permet de faire croire à l'utilisateur qu'il clique sur un lien x, tout en le dirigeant sur y. Mais comment cela se faisse (droite ou gauche, à vous de choisir, bien que les deux soit une option) ? C'est très simple. Les gens qui utilisent un navigateur tapent leurs adresses en ASCII, oui, cette bonne vieille table des symboles. Cela ce n'est pas suffisant, pour bien des gens, alors les gens bien pensant de ce monde on fait l'IDN, pour international domain name, qui permet tout simplement d'écrire des URL en UTF-8. Simple non ? Le problème, c'est dans la conception même de l'engin, il peut y avoir des parties qui ont la même représentation, sans avoir la même valeur (code dans la table en fait). Et donc du coup (deuxième), on clique sur un lien, en ayant l'impression de butiner X, tout en butinant Y. C'est un peu comme sortir avec des jumelles vous voyez ?
Alors ce qui fait crier haut et fort les gens, c'est que IE n'est pas touché par cette faille, tandis que le browser tant déclamé, et grignotant des parts de marché l'est. Etonnant non. Cela dit, FireFox est sujet à cette faille, tout comme tous les navigateurs implémentant l'IDN, comme Opera, Konqueror, etc. Oui, nous l'avons vu, c'est un problème de conception au niveau même du protocole. Alors pourquoi ce bon vieux IE n'est pas sensible ? Tout simplement parce qu'il n'implémente pas IDN. Pour ce faire, téléchargez un plugin IDN pour IE, et vous aurez, comme pour le reste des gens, un naviguateur sensible à cette faille.
Pour la petite comparaison, c'est comme dire qu'un navigateur est sécure, car il n'est pas connecté à une JVM, ne lit pas les CSS, ne comprend pas l'ECMAScript, et si possible, préfere afficher seulement du texte. J'exagère ? Bien sur, cependant, comparons, s'il vous plait, les choses avec leurs équivalent.
Alors pourquoi ce buzz ? Parce que beaucoup de gens ont annoncés que FireFox était très sécurisé, et à la moindre faille, les gens déchantent. Et les pro IE de se frotter les mains. Prenons par exemple un site que Mr Kimmerlin aime à présenter, Secunia, vous y trouverez le détail des failles pour IE et pour FireFox, voir d'autres navigateurs, et vous pourrez comparez de vous même le nombre de failles et la gravités de celles-ci. Bien sur qu'il y a des failles dans FireFox, et plus il sera utilisé, plus on en trouvera, nulle part il n'y a de code parfait. Allez Messieurs Dames, un peu de bonne foi et d'objectivité, ça ne ferait pas de mal.
Allons, utilisez donc le navigateur qui a votre préférence, mais ne criez pas au feu à la moindre étincelle chez le voisin... Libre à vous d'utiliser un browser en paille par contre.
EDIT: Ce n'est pas vérifié, mais il semblerait que le
GBrowser, le navigateur du futur, soit aussi sensible à cette faille.