Paypal a des doutes sur la sécurité deSafari

[arnaud]

Dans un article paru dans Infoworld, le responsable de la sécurité de Paypal déconseille d'utiliser Safari, qui est, d'après lui, dépourvu de réelle sécurité anti-phishing.

Il recommande Firefox, Opera, et même IE7. Le bougre !

En cause, la façon dont Safari montre le degré de confiance, basé sur le certificat, à accorder à un site. Firefox, par exemple, affiche une belle couleur rouge pour alerter l'utilisateur en cas de site suspect. Sur Safari, il faut cliquer sur le cadenas qui indique le cryptage pour connaître les détails du certificat.

Pour les utilisateurs peu avertis, donc, c'est sans doute une bonne idée que de prêter attention à ce conseil.

Source

[iScarabee]

Je ne le savais même pas !!

Décidément, c'est tout Apple... Etant très peu bavard sur ses fonctionnalités (peu de captures, notices extrêmement succinctes, etc.), on passe toujours à côté de fonction qui pourraient être utiles !

C'est très souvent sur le fruit du hasard que l'on découvre ça et là. Bien que l'initiative de dévoiler certaines astuces sur m4e ou d'autres sites est bonne, y'en aura tellement que l'on aura pas tout découvert...

[VD]

Safari n'a pas de filtre anti-phising (basé sur une blacklist) contrairement à FF et IE7, c'est un fait.
Mais pour le coup du certificat... Un site contrefait peut très bien avoir un certificat valide. Si on le regarde, on va voir qu'il n'appartient pas au site paypal.com (par exemple), mais aucun message d'alerte ne va être affiché, quelque soit le navigateur.
En ce qui concerne les certificats qui ne semblent pas signés par une autorité reconnue, Safari affiche un message de la même façon que FireFox et autres.

[tempete]

@ VD .. exactement ce que j'allais écrire .. Safari avertit dès que le certificat n'est pas valide ... donc ???

[rand0m]

... donc le rédacteur confond certificat et filtre anti phishing!

La news est fausse, ce que Paypal reproche à Safari ce n'est pas sa gestion des certificats, SSL et autres sécurités, c'est l'absence du filtre anti phishing. Le degré de confiance dont parle l'article est calculé suivant les capacités de cryptage du serveur et les informations du certificat.


L'anti phishing c'est une liste disponible sur un serveur que le navigateur interroge pour savoir si ce nom de domaine n'est pas connu comme frauduleux. Si le site est reconnu comme tel, le navigateur bloque la page ou affiche un message d'erreur énorme.

Opera, FF et IE disposent tous de ce système (implémenté différemment mais le résultat est le même) mais pas Safari.

[tempete]

du coup, suffit juste de prendre les dns d'opendns... et vous avez un anti-pishing ...www.opendns.org

[SN]

En même temps, il suffit de ne pas se laisser avoir par du phishing et ça c'est pas très difficile, suffit de réfléchir un peu

[Arnaud de Brescia]

Je n'ai aucune confiance en Safari : c'est un programme informatique.

Je n'ai aucune confiance en PayPal. La seule tentative de pishing que j'ai reçu dans ma boîte Mail les concernaient (mais je n'avais pas de compte PayPal alors ça m'a bien fait rigoler).

Faire confiance à un filtre anti-pishing, c'est s'en remettre aveuglément à la qualité de leurs informations. Pourtant, il y a forcément un moment où un site falsifié n'est pas encore dans leur base de donnée.

Je me fie à mon bon sens et à une prudence de tous les instants ; pas à un programme informatique ou à une quelconque base de données consultée par le même programme.

AdB.

[Dims]

Je me fie à mon bon sens et à une prudence de tous les instants...

Pareil, et c'est bien plus efficace que n'importe quel solution software

[iScarabee]

+1

[imaginus]

Paypal c'est le mal.

[leblase]

Je me fie à mon bon sens et à une prudence de tous les instants ; pas à un programme informatique ou à une quelconque base de données consultée par le même programme.

AdB.

Arnaud, bien sûr: mais pour un gars comme toi combien d'autres, à qui l'on a dit que sur Mac y avait pas de virus et qui vont tout confondre (spyware, malware, failles, phishing)? et présumeront que puisqu'on est sur Mac, il n'y a pas de danger?

[Macleone]

Je n'ai aucune confiance en PayPal. La seule tentative de pishing que j'ai reçu dans ma boîte Mail les concernaient (mais je n'avais pas de compte PayPal alors ça m'a bien fait rigoler).

En même temps je ne suis pas certain que Paypal ai besoin de t'envoyer des faux email pour obtenir tes coordonnées (si tu as un comptes chez eux bien entendu). Ce que je veux dire c'est qu'ils ne sont pas particulièrement responsable du phishing les concernant.

[berli]

Moi, je ne mise pas un malheureux kopek sur mon bon sens.