Paypal, le système de paiements en ligne d'eBay ne bloquera pas les utilisateurs de Safari. C'est ce qu'a affirmé Michael Oldenburg, son responsable communication. "Nous n'avons absolument aucune intention d'interdire l'accès à notre site à une quelconque version des navigateurs actuels, Safari inclus".
Une mise au point en réponse à l'interprétation faite du contenu d'un livre blanc de Paypal sur le phishing (voir l'article Safari bientôt banni par PayPal ?).
L'entreprise y expliquait qu'elle écarterait des navigateurs dont les méthodes de signalement des sites falsifiés sont jugées insuffisantes. Selon Michael Oldenburg, sont plutôt concernées des combinaisons de navigateurs et d'OS qui ne sont plus supportés par leurs éditeurs, tels Internet Explorer 4 et Windows 98.
Paypal avait néanmoins montré du doigt Safari, en février dernier, pour son système antiphishing moins développé que ceux de Firefox 3 et d'Internet Explorer 7 (voir l'article Paypal tacle Safari sur la sécurité). Un thème du phishing qui est particulièrement absent des pages techniques d'Apple. A l'exception d'une note invitant les utilisateurs de Mail à redoubler de prudence, avec quelques conseils élémentaires.
Safari Mobile à améliorer
La question du phishing n'épargne pas le Safari de l'iPhone. Une étude (PDF, 1.8 Mo) a été menée à l'Université de Californie avec 37 utilisateurs à qui on avait confié l'appareil d'Apple.
De par la taille de l'écran, l'adresse d'un site ne peut être affichée dans son entier. Alors que c'est notamment la syntaxe anormale d'un URL qui peut mettre la puce à l'oreille sur la véritable origine d'un site. Même en appuyant longuement sur un lien reçu dans un courrier, l'utilisateur ne verra qu'une adresse tronquée, dont la partie centrale est absente. À l'auteur du site frauduleux de se débrouiller pour glisser au bon endroit les points litigieux de son adresse.
L'utilisateur devra lui aller à l'intérieur du champ de l'adresse pour la parcourir, laborieusement, en intégralité. Mais là encore, des astuces sont possibles. Lorsqu'on fait défiler une page dans Safari Mobile, la barre d'adresses ne reste pas à l'écran, elle s'en va dans le défilement.
Rien de plus facile, comme l'ont réussi les auteurs de ce test, que de faire charger une page qui contiendra en son sein une fausse barre d'adresses avec tous les atours graphiques de la vraie (cadenas de sécurité compris, voir la seconde image ci-dessous).
Ensuite quelques lignes de JavaScript empêcheront l'utilisateur de faire défiler la page afin de remonter jusque vers la barre originale, où l'absence du cadenas pourrait signifier un problème. A chaque fois la page se recalera au niveau de la fausse barre.
Du Mac à l'iPhone, la question de la capacité de Safari à se mettre en travers du chemin des sites falsifiés pour aider les utilisateurs étourdis, novices ou imprudents reste d'actualité…
Une mise au point en réponse à l'interprétation faite du contenu d'un livre blanc de Paypal sur le phishing (voir l'article Safari bientôt banni par PayPal ?).
L'entreprise y expliquait qu'elle écarterait des navigateurs dont les méthodes de signalement des sites falsifiés sont jugées insuffisantes. Selon Michael Oldenburg, sont plutôt concernées des combinaisons de navigateurs et d'OS qui ne sont plus supportés par leurs éditeurs, tels Internet Explorer 4 et Windows 98.
Paypal avait néanmoins montré du doigt Safari, en février dernier, pour son système antiphishing moins développé que ceux de Firefox 3 et d'Internet Explorer 7 (voir l'article Paypal tacle Safari sur la sécurité). Un thème du phishing qui est particulièrement absent des pages techniques d'Apple. A l'exception d'une note invitant les utilisateurs de Mail à redoubler de prudence, avec quelques conseils élémentaires.
Safari Mobile à améliorer
La question du phishing n'épargne pas le Safari de l'iPhone. Une étude (PDF, 1.8 Mo) a été menée à l'Université de Californie avec 37 utilisateurs à qui on avait confié l'appareil d'Apple.
De par la taille de l'écran, l'adresse d'un site ne peut être affichée dans son entier. Alors que c'est notamment la syntaxe anormale d'un URL qui peut mettre la puce à l'oreille sur la véritable origine d'un site. Même en appuyant longuement sur un lien reçu dans un courrier, l'utilisateur ne verra qu'une adresse tronquée, dont la partie centrale est absente. À l'auteur du site frauduleux de se débrouiller pour glisser au bon endroit les points litigieux de son adresse.
L'utilisateur devra lui aller à l'intérieur du champ de l'adresse pour la parcourir, laborieusement, en intégralité. Mais là encore, des astuces sont possibles. Lorsqu'on fait défiler une page dans Safari Mobile, la barre d'adresses ne reste pas à l'écran, elle s'en va dans le défilement.
Rien de plus facile, comme l'ont réussi les auteurs de ce test, que de faire charger une page qui contiendra en son sein une fausse barre d'adresses avec tous les atours graphiques de la vraie (cadenas de sécurité compris, voir la seconde image ci-dessous).
Ensuite quelques lignes de JavaScript empêcheront l'utilisateur de faire défiler la page afin de remonter jusque vers la barre originale, où l'absence du cadenas pourrait signifier un problème. A chaque fois la page se recalera au niveau de la fausse barre.
Du Mac à l'iPhone, la question de la capacité de Safari à se mettre en travers du chemin des sites falsifiés pour aider les utilisateurs étourdis, novices ou imprudents reste d'actualité…
