On Nov 6, 2012, at 1:18 PM, Francois Petillon wrote: > On 11/06/2012 01:11 PM, Kavé Salamatian wrote: >>> Quoi que fasse Google. >>> URL présentée avec FQDN : >>> 1) le navigateur résout l'adresse IP via DNS >>> 2) il se connecte à l'adresse IP >>> 3) il fournit un entête Host: FQDN au serveur HTTP >>> URL présentée avec adresse IP : >>> 1) le navigateur se connecte à l'adresse IP >>> 2) a priori il me semble qu'il fournit un entête Host: IP >>> mais je n'ai pas sous la main de quoi le vérifier. >> >> Non, google retourne adresse IP+adresse canonique >> 1) le navigateur se connecte avec l'adresse IP fourni >> 2) il met dans le message HTTP l'adresse canonique >> Tres facile a mettre en oeuvre dans chrome (et par des plugins dans les >> browser) , qui devient par ce biais plus rapide que les autres browser car >> il n'y a plus de resolution DNS. > > Le jour où quelqu'un arrive à faire passer ce type de technique, les > phisheurs et autres spammeurs vont sabrer le champagne... > > C'est techniquement possible, ce serait une nouvelle façon de faire passer > une URL mais ce serait un très gros trou de sécurité.
Si on reussit a se faire passer pour Google oui, ce sera un trou. D'autant plus qu'on a deja reussit a se faire passer pour google (voir utilsation des certificats diginotar pour se faire passer pour gmail), mais le probleme est le meme, a premiere vue me semble t'il, avec le DNS et DNSSEC. A+ > > François > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
