Après le Phishing, voici le Tabjacking, une nouvelle méthode de piratage utilisant une possibilité JavaScript qui permet de changer un onglet sans en modifier l’URL ! En gros si vous changez de tab, en 5 secondes, un site web classique peut se transformer en page Gmail, Facebook, Paypal ou tout site où vous devrez vous reloguer et ainsi donner vos identifiants sans presque vous en rendre compte (exemple inoffensif). Pour l’instant, la méthode fonctionnerait sous Chrome et Firefox. À surveiller de prés !
via Clubic
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Déjà si c’est en javascript c’est que vous êtes sur le site qui veut vous “hacker” à la base. Ensuite c’est déjà tout à fait réalisable avec de l’Ajax depuis belle lurette !!! Un div dans lequel on vient injecter de l’HTML et l’URL ne change pas alors que tout le contenu oui. Rien d’innovant, mais l’internaute lambda peut se faire avoir. Mais si c’est le cas, le site hébergeant sera vite dénoncé sur internet.
prenez NoScript, ça doit les empêcher
(Source: moi-même 😀 )
@index: Suffit de désactiver le JS dans tes option… pas besoin de logiciel tier.
@vd11: +1 rien de nouveau…
@jacop
noScript, c’est juste un module complémentaire qui te permet d’activer ou désactiver du javascript à certaines endroit que tu veux…
“Pour l’instant, la méthode fonctionnerait sous Chrome et Firefox.”
C’est là que tu te dis que t’as bien fait d’aller sur Opera, ou de rester dur IE ^^’
moi je suis sur Opera, parce que l’on en parle pas, donc si on en parle pas c’est que tout va bien, rapide efficace et stable. Mais j’aime bien les autres aussi. Enfin la question n’est pas la.
+1 pour index NoScript mais a force de rajouter des extension et encore ça deviens lourd je trouve mais bon la sécurité n’as pas de prix
c’est peut etre lourd de rajouter les addon , n’empeche que noscript + adblock ‘est un must pour pas se bouffer 3 tonnes de pub et perso j’ai reconfigurer pas mal de page a coup d’adblock (dont ici ^^ )
sinon oui la technique n’est pas nouvelle et faut frenchement pas etre doué pour se laisser avoir :/
Ça me fait marrer ces comportements !
On dirait que tu es allergique à la pub…
Il n’empêche qu’elle aide les sites que tu aimes à vivre et que tu pourrais au minimum ne pas les bloquer sur ces sites là pour les soutenir un peu.
hum, hum ça marche pas chez moi.
ah mais je suis bête j’ai no-script :p
Merci pour l’astuce les gars !
J’utilise NoScript depuis quelques années. Je viens de tester le lien donnée par Greg et j’ai constaté que la redirection auto vers une page factice de log gmail fonctionnait, alors que NoScript bloque tous les scripts de le page. Cependant, contrairement à ce qui est indiqué dans le billet, le nom de l’url change partiellement.
Pour info sur chromium 6 ça ne marche pas…
sur Clubic : “Pour l’instant, la méthode fonctionnerait sous Chrome et Firefox”
sur JDG : “Pour l’instant, la méthode fonctionnerait sous Chrome et Firefox.”
sur le site démo : “the test page failed completely against Google Chrome.”
Alors Clubic ne sait pas traduire l’anglais et le JDG relaye l’information (en copier/coller) sans vérifier la source. C’est du propre !
Je ne vois pas du tout ce que fait ce site virulé… ça ne fait rien du tout sur ma machine… je dois voir quoi ?
Tcho ça craint ça… 😥
Et arrêtez de cracher sur le JavaSript, ça peut être très utile!