Une petite faille de sécurité dans Internet Explorer version 6 (6.0.2800.1106C0), permet de faire croire à n'importe quel utilisateur qu'il se trouve sur un site officiel alors qu'il peut n'être que sur le site d'un Hacker. Imaginez ce que ça peut donner si vous pensez être sur le site de Amazon.com et que vous voulez commander un article. Il n'existe aucun patch pour le moment.
 
Concernant le code, rien de plus simple, il suffit d'insérer le caractère 0x01 (
en tapant sur Alt et 1) avant le signe @ dans une URL de type http://user@domain. De cette manière, Internet explorer n'affiche pas le vrai domaine mais uniquement le nom de l'utilisateur :
 
Un petit exemple avec forum-auto.com, cliquez sur le lien suivant :
http://www.ferrari.com

Wow

Terrible

Vive Microsoft

C'est les boules !!!
 

Hallucinant !

Clair !
Merci pour l'info !
Heuresement que la barre d'état permet de voir la totalité du lien, mais c'est sûr que si on ne fait pas gaffe ...

Sur Opera ça émet une alerte :
 

 
et l'adresse complète http://www.ferrari.com
@forum-auto.com/ est affichée dans la barre d'adresse.

En même temps, ce n'est pas nouveau du tout, hein.
 
Les pirates ont déjà utilisé ce genre de méthode lors de faux e-mails de sécurité. Mais il faut être bien crédule pour tomber dans le panneau. Car l'adresse est affichée dans la barre d'adresse, le lien est affiché dans la barre de statut. Il faut donc être tête-en-l'air pour tomber dans un tel panneau.
 
D'autant plus qu'à part détourner des e-mails du genre "PayPal doit mettre à jour tous les comptes, veuillez entrer votre numéro de carte bleu en cliquant ici" , ce genre de "détournement" tout bête me semble être rigoureusement inefficace pour quelque pirate que ce soit.

Pas ce probleme avec Opera

J'ai eu ca aussi ce matin "enter keyword or email adress"

Super violent ce truc là ...
 
Allez hop, et encore un petit correctif pour IE6...
   

Ca se présente comment sous IE ? Avec Mozilla, ça donne :
 
http://www.ferrari.com%01@forum-auto.com/
 
Par contre, Sur tous les navigateurs, il y a une autre faille qui y resemble (sans doute déjà signalée ici), qui permet de "cacher" la vraie adresse d'un site, avec une url genre http://www.forum-auto.com@3585746817/ (ici, c'est l'IP de FA qui donne sur OVH).
 
Dans ce cas, toutes les infos apparaissent réellement, mais noyée comme il faut dans une url à rallonge comme il en existe (sur le site Peugeot par exemple), ça passe inaperçu.

pfff.. ca fait au moins 4 ans qu'une technique similaire était utilisée, on pouvait mettre n'importe quelle url dans la barre d'adresse de IE