Le Samedi, 17 Décembre 2005 22.48, Stephane Bortzmeyer a écrit : > On Sat, Dec 17, 2005 at 10:39:29PM +0100, > steve <[EMAIL PROTECTED]> wrote > > a message of 12 lines which said: > > http://www.schneier.com/blog/archives/2005/02/unicode_url_hac_1.html > > D'habitude, j'apprécie beaucoup tous les articles de Schneier
moi aussi > mais celui-ci est vraiment idiot. La même attaque est possible sans Unicode > (www.goog1e.com, par exemple). l'argument de dire que l'article est idiot *parce que* la même attaque est possible sans unicode ne me paraît pas très pertinent. Il est vrai que ce problème existe depuis longtemps, même en ascii (un autre exemple est le " r " suivi du " n ", qui semble donner un " m "); mais il est bon, me semble-t-il, de rappeler que souvent, lorsque l'on veut résoudre un problème, on amène son lot de complexité et de ce fait de nouvelles possibilités de trous de sécurité. Je crois que c'est le message de Schneier. De plus le problème est encore d'actualité: The attack can be disabled in Firefox and Mozilla by setting 'network.enableIDN' to false in the browser's configuration (enter about:config in the address bar to access the configuration functions). Sur mon Firefox, cette variable est toujours à true. > Et, de toute façon, Schneier ne propose aucune alternative (à part > rester en US-ASCII, ce qui ne convient qu'aux anglophones et > néérlandophones). Non il ne dit pas ça; il dit que l'ascii étant plus restreint, il est moins facile de commettre une erreur, car ne n'oublions pas "Errare humanum est". Bon dimanche -- steve jabber : [EMAIL PROTECTED]
