Après nous avoir fait sourire avec le ClickJacking, Petko « pdp » Petkov de GnuCitizen nous ressort une de ces « features » html qui pourrait ressembler à un bug . C’est le coup de l’URL qui change automatiquement avec le temps. On connaissait déjà l’ouverture intempestive d’une nouvelle fenêtre, technique qu’affectionnent certains sites pornographique et l’un de nos respectables confrères… voilà que survient le hack « multiplicateur de hits ». Car la première application de détournement financier qui vient à l’esprit, c’est le « faux hit provoqué » destiné à truander les statistiques de visite. Ce pourrait également être un moyen discret pour améliorer les attaques « drive by download » : dans un premier temps, l’internaute voit sa vigilance endormie par l’ouverture d’un site réputé fiable –Google, dans le petit code d’exemple fourni par PdP-. Puis, quelques secondes plus tard, Google s’efface et cède l’écran à une page truffée de Javascripts aussi virulents qu’inattendus. Entre Zalewski et Petkov, on ne sait qui aura le dernier mot.
A ce sujet… Google Chrome est disponible. Après l’annonce de Firefox 3.1 Beta et de la mise sur les starting-blocks d’Internet Explorer 8.0, voilà qui nous promet des nuits blanches, des migraines, des nervousses brékdones comme on dit de nos jours.
