IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les pirates peuvent cacher une page entière dans un lien


Sujet :

Sécurité

  1. #1
    Rédacteur
    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut Les pirates peuvent cacher une page entière dans un lien
    Les pirates peuvent cacher une page entière dans un lien
    une méthode de phishing via URI fonctionnant sur Firefox et Opera détaillée

    L’hameçonnage, une technique utilisée par des pirates pour obtenir les informations personnelles des internautes pour usurper leur identité, pourrait se faire sans avoir recours à un site de phishing.

    Selon un rapport de recherche d’Henning Klevjer, un étudiant en sécurité informatique de l’université d’Oslo en Norvège, les pirates peuvent effectuer des attaques par phishing en intégrant le code complet d’une page Web dans un URI.

    Un URI (Uniform Resource Identifier) est une chaine de caractères identifiant une ressource sur un réseau. Une de ses implémentations est l’URL. Cependant, alors que les URL permettent de spécifier l'emplacement d'une ressource réseau et comment y accéder, les URI sont plus souples et peuvent même être utilisés pour héberger les données.

    Concrètement, un pirate pourrait par exemple créer une page Web autonome de phishing en utilisant des images et contenus provenant d’un site légitime, qui sera par la suite encodée en Base64 pour masquer son sens et ajoutée à un URI.

    L’URI codé ainsi pourra par la suite être raccourci par un réducteur d’URL et distribué sur les réseaux sociaux. Au clic d’un de ces liens, l’URI codé sera rendu par tout navigateur moderne comme une page Web.

    Plutôt que de créer une page malveillante qui sera probablement détectée et bloquée par le navigateur ou un antivirus, un pirate pourrait donc simplement s’orienter vers la création d’un URI louche qui sera distribué via réseaux sociaux, messagerie et autres.

    À titre d’exemple, Klevjer a procédé à la conception d’un URI de phishing de 24 682 caractères, qui a été raccourci en seulement 26 caractères et a été exécuté avec succès sur Firefox et Opera. Le test a échoué sur Internet Explorer et Chrome parce que ces navigateurs ont des limites sur la quantité de données pouvant être emballée dans un URI.

    Dans son rapport, Klevjer recommande de faire attention aux URL raccourcies assez fréquentes sur Facebook, Twitter et autres réseaux sociaux.

    Il faut noter que les données URI peuvent également contenir un applet Java malveillant.



    Source : Le rapport d’Henning Klevjer (au format PDF)


    Et vous ?

    Qu'en pensez-vous ?

  2. #2
    Expert éminent
    Avatar de Watilin
    Homme Profil pro
    En recherche d'emploi
    Inscrit en
    Juin 2010
    Messages
    3 094
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : En recherche d'emploi

    Informations forums :
    Inscription : Juin 2010
    Messages : 3 094
    Points : 6 755
    Points
    6 755
    Par défaut
    Je suis bien d'accord ! J'ai jamais aimé les URL courtes, et j'utilise un addon Firefox pour les « dé-raccourcir » automatiquement : https://addons.mozilla.org/fr/firefo...-url-expander/

  3. #3
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2007
    Messages
    1 195
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 195
    Points : 4 801
    Points
    4 801
    Par défaut
    Je suis surtout étonné que ce ne soit découvert que maintenant, parce que le « data: » ça sert depuis des années pour générer du HTML ou des images sans faire d'appel extérieur. Le truc c'est que ça donne toujours un truc bizarre dans la barre d'adresse, et ce n'est pas raccourcir le lien qui l'empêchera de s'afficher.

    Par contre je suis surpris que l'URI ne soit pas plus mise en évidence quand il s'agit de donnée.

    Pour la limite des URL :
    - IE : 2 083
    - Firefox : 65 536
    - Safari : > 90 000
    - Opera : > 190 000
    - Chrome : ~4 000

  4. #4
    Membre actif Avatar de Crazyfaboo
    Homme Profil pro
    Software Engineer
    Inscrit en
    Août 2004
    Messages
    89
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Software Engineer

    Informations forums :
    Inscription : Août 2004
    Messages : 89
    Points : 244
    Points
    244
    Par défaut
    Citation Envoyé par Zefling
    Pour la limite des URL :
    - IE : 2 083
    - Firefox : 65 536
    - Safari : > 90 000
    - Opera : > 190 000
    - Chrome : ~4 000
    T'as trouvé cette info où ?
    Elle est bizarre la limite d'IE…

  5. #5
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2007
    Messages
    1 195
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 195
    Points : 4 801
    Points
    4 801
    Par défaut
    Citation Envoyé par Crazyfaboo Voir le message
    T'as trouvé cette info où ?
    Elle est bizarre la limite d'IE…
    J'avais cherché cette info parce que pour un projet on avait un problème du à la limite du GET d'IE. En gros le système de paiement marchait partout sauf sous IE parce que l'URL était trop longue quelques octets... Du coup, grâce à IE on a du réduire la sécurité. C'était un cas où l'on ne pouvait pas passer l'info en POST sinon ça aurait plus simple.

  6. #6
    Expert éminent sénior
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Septembre 2012
    Messages
    3 020
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Septembre 2012
    Messages : 3 020
    Points : 16 093
    Points
    16 093
    Par défaut
    Même si la page est "cachée" dans l'URI, il faut toujours cliquer sur le lien, et rentrer ses coordonnées pour que le hameçonnage soit complet.

    Donc tant que l'utilisateur fait attention à ce qu'il fait, il ne cours pas plus de risque qu'avec les tentatives de phishing actuelle, si ce n'est que son navigateur ne lui signalera pas que le site est louche.

  7. #7
    Modérateur

    Homme Profil pro
    Développeur java, access, sql server
    Inscrit en
    Octobre 2005
    Messages
    2 713
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur java, access, sql server
    Secteur : Industrie

    Informations forums :
    Inscription : Octobre 2005
    Messages : 2 713
    Points : 4 792
    Points
    4 792
    Par défaut
    grâce à IE on a du réduire la sécurité
    j'aime bien l'expression

  8. #8
    Membre averti
    Inscrit en
    Mars 2008
    Messages
    283
    Détails du profil
    Informations forums :
    Inscription : Mars 2008
    Messages : 283
    Points : 380
    Points
    380
    Par défaut
    Le but est d'utiliser non pas le protocole HTTP mais le protocole DATA. Celui-ci ne présente aucune limitation de taille (L'argument qu'il ne fonctionnerais pas sur IE est invalide).

    L'idée est de penser que Mme Michu ne comprends pas les URI et sais pertinemment que c'est d'une complexité sans nom à chaque fois qu'on arrive sur un site de paiement.

    Le contenu du site est donné via l'URI, aussi il n'y a strictement aucune connexion aux serveurs au chargement de cette page. Par contre la page cible envoi bien un formulaire à un serveur distant au choix du pirate via de l'ajax car le navigateur perd la notion de l'hôte.

    Maintenant je sais que sur Chrome il y a le sandboxing qui nous empêche d'effectuer une requête AJAX ailleurs que sur l'hôte mais il doit y avoir des contournements ou sinon les boutons "j'aime" de facebook ne fonctionneraient pas. Sur Firefox ils sont un peu plus relax sur ce sujet donc c'est possible aussi. Sur Opera je ne sais pas et encore moins sur IE. Mais si Facebook/Google+/Twitter fonctionnent sur ces navigateurs, la requête Ajax de notre pirate doit pouvoir passer d'une façon ou d'une autrE.

  9. #9
    Modérateur

    Avatar de Bktero
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Juin 2009
    Messages
    4 486
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Juin 2009
    Messages : 4 486
    Points : 13 696
    Points
    13 696
    Billets dans le blog
    1
    Par défaut
    Je ne sais pas si c'est révolutionnaire ou totalement nouveau, mais c'est assez impressionnant.

    Pour ceux que ça intéresse, voici le URI proposé dans l'article (vous pouvez l'exécuter sans risque, il ouvre une fausse page de login Wikipedia et affiche le mot de passe que vous entrez dans une popup) :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    66
    67
    68
    69
    70
    71
    72
    73
    74
    75
    76
    77
    78
    79
    80
    81
    82
    83
    84
    85
    86
    87
    88
    89
    90
    91
    92
    93
    94
    95
    96
    97
    98
    99
    100
    101
    102
    103
    104
    105
    106
    107
    108
    109
    110
    111
    112
    113
    114
    115
    116
    117
    118
    119
    120
    121
    122
    123
    124
    125
    126
    127
    128
    129
    130
    131
    132
    133
    134
    135
    136
    137
    138
    139
    140
    141
    142
    143
    144
    145
    146
    147
    148
    149
    150
    151
    152
    153
    154
    155
    156
    157
    158
    159
    160
    161
    162
    163
    164
    165
    166
    167
    168
    169
    170
    171
    172
    173
    174
    175
    176
    177
    178
    179
    180
    181
    182
    183
    184
    185
    186
    187
    188
    189
    190
    191
    192
    193
    194
    195
    196
    197
    198
    199
    200
    201
    202
    203
    204
    205
    206
    207
    208
    209
    210
    211
    212
    213
    214
    215
    216
    217
    218
    219
    220
    221
    222
    223
    224
    225
    226
    227
    228
    229
    230
    231
    232
    233
    234
    235
    236
    237
    238
    239
    240
    241
    242
    243
    244
    245
    246
    247
    248
    249
    250
    251
    252
    253
    254
    255
    256
    257
    258
    259
    260
    261
    262
    data:text/html;base64,PCFET0NUWVBFIGh0bWwgUFVCTElDICItLy9XM0MvL0RURCBYSFRNTCAxLjAgVHJhbnNpdGlv
    bmFsLy9FTiIgImh0dHA6Ly93d3cudzMub3JnL1RSL3hodG1sMS9EVEQveGh0bWwxLXRyYW5zaXRpb25hbC5kdGQiPg0KPG
    h0bWwgbGFuZz0iZW4iIGRpcj0ibHRyIiBjbGFzcz0iY2xpZW50LW5vanMiIHhtbG5zPSJodHRwOi8vd3d3LnczLm9yZy8x
    OTk5L3hodG1sIj4NCjxoZWFkPg0KPHRpdGxlPkxvZyBpbiAvIGNyZWF0ZSBhY2NvdW50IC0gV2lraXBlZGlhLCB0aGUgZn
    JlZSBlbmN5Y2xvcGVkaWE8L3RpdGxlPg0KPG1ldGEgaHR0cC1lcXVpdj0iQ29udGVudC1UeXBlIiBjb250ZW50PSJ0ZXh0
    L2h0bWw7IGNoYXJzZXQ9VVRGLTgiIC8+DQo8bWV0YSBodHRwLWVxdWl2PSJDb250ZW50LVN0eWxlLVR5cGUiIGNvbnRlbn
    Q9InRleHQvY3NzIiAvPg0KPG1ldGEgbmFtZT0iZ2VuZXJhdG9yIiBjb250ZW50PSJNZWRpYVdpa2kgMS4yMHdtZjkiIC8+
    DQo8bWV0YSBuYW1lPSJyb2JvdHMiIGNvbnRlbnQ9Im5vaW5kZXgsbm9mb2xsb3ciIC8+DQo8bGluayByZWw9ImFwcGxlLX
    RvdWNoLWljb24iIGhyZWY9Ii8vZW4ud2lraXBlZGlhLm9yZy9hcHBsZS10b3VjaC1pY29uLnBuZyIgLz4NCjxsaW5rIHJl
    bD0ic2hvcnRjdXQgaWNvbiIgaHJlZj0iL2Zhdmljb24uaWNvIiAvPg0KPGxpbmsgcmVsPSJzZWFyY2giIHR5cGU9ImFwcG
    xpY2F0aW9uL29wZW5zZWFyY2hkZXNjcmlwdGlvbit4bWwiIGhyZWY9Imh0dHA6Ly9odHRwOi8vZW4ud2lraXBlZGlhLm9y
    Zy93L29wZW5zZWFyY2hfZGVzYy5waHAiIHRpdGxlPSJXaWtpcGVkaWEgKGVuKSIgLz4NCjxsaW5rIHJlbD0iRWRpdFVSSS
    IgdHlwZT0iYXBwbGljYXRpb24vcnNkK3htbCIgaHJlZj0iLy9lbi53aWtpcGVkaWEub3JnL3cvYXBpLnBocD9hY3Rpb249
    cnNkIiAvPg0KPGxpbmsgcmVsPSJjb3B5cmlnaHQiIGhyZWY9Ii8vY3JlYXRpdmVjb21tb25zLm9yZy9saWNlbnNlcy9ieS
    1zYS8zLjAvIiAvPg0KPGxpbmsgcmVsPSJhbHRlcm5hdGUiIHR5cGU9ImFwcGxpY2F0aW9uL2F0b20reG1sIiB0aXRsZT0i
    V2lraXBlZGlhIEF0b20gZmVlZCIgaHJlZj0iaHR0cDovL2VuLndpa2lwZWRpYS5vcmcvdy9pbmRleC5waHA/dGl0bGU9U3
    BlY2lhbDpSZWNlbnRDaGFuZ2VzJmFtcDtmZWVkPWF0b20iIC8+DQo8bGluayByZWw9InN0eWxlc2hlZXQiIGhyZWY9Imh0
    dHA6Ly9iaXRzLndpa2ltZWRpYS5vcmcvZW4ud2lraXBlZGlhLm9yZy9sb2FkLnBocD9kZWJ1Zz1mYWxzZSZhbXA7bGFuZz
    1lbiZhbXA7bW9kdWxlcz1leHQuZ2FkZ2V0LlJlZmVyZW5jZVRvb2x0aXBzJTJDdGVhaG91c2UlN0NleHQud2lraWhpZXJv
    JTdDbWVkaWF3aWtpLmxlZ2FjeS5jb21tb25QcmludCUyQ3NoYXJlZCU3Q3NraW5zLnZlY3RvciZhbXA7b25seT1zdHlsZX
    MmYW1wO3NraW49dmVjdG9yJmFtcDsqIiB0eXBlPSJ0ZXh0L2NzcyIgbWVkaWE9ImFsbCIgLz4NCjxtZXRhIG5hbWU9IlJl
    c291cmNlTG9hZGVyRHluYW1pY1N0eWxlcyIgY29udGVudD0iIiAvPg0KPGxpbmsgcmVsPSJzdHlsZXNoZWV0IiBocmVmPS
    JodHRwOi8vYml0cy53aWtpbWVkaWEub3JnL2VuLndpa2lwZWRpYS5vcmcvbG9hZC5waHA/ZGVidWc9ZmFsc2UmYW1wO2xh
    bmc9ZW4mYW1wO21vZHVsZXM9c2l0ZSZhbXA7b25seT1zdHlsZXMmYW1wO3NraW49dmVjdG9yJmFtcDsqIiB0eXBlPSJ0ZX
    h0L2NzcyIgbWVkaWE9ImFsbCIgLz4NCjxzdHlsZSB0eXBlPSJ0ZXh0L2NzcyIgbWVkaWE9ImFsbCI+YTpsYW5nKGFyKSxh
    OmxhbmcoY2tiKSxhOmxhbmcoZmEpLGE6bGFuZyhray1hcmFiKSxhOmxhbmcobXpuKSxhOmxhbmcocHMpLGE6bGFuZyh1ci
    l7dGV4dC1kZWNvcmF0aW9uOm5vbmV9DQoNCi8qIGNhY2hlIGtleTogZW53aWtpOnJlc291cmNlbG9hZGVyOmZpbHRlcjpt
    aW5pZnktY3NzOjc6NGVkZjQ2N2Q1OGZlZTQ0YzgzZGZlNzI0Y2EwN2MxNzkgKi88L3N0eWxlPg0KDQo8c2NyaXB0IHNyYz
    0iaHR0cDovL2JpdHMud2lraW1lZGlhLm9yZy9lbi53aWtpcGVkaWEub3JnL2xvYWQucGhwP2RlYnVnPWZhbHNlJmFtcDts
    YW5nPWVuJmFtcDttb2R1bGVzPXN0YXJ0dXAmYW1wO29ubHk9c2NyaXB0cyZhbXA7c2tpbj12ZWN0b3ImYW1wOyoiIHR5cG
    U9InRleHQvamF2YXNjcmlwdCI+PC9zY3JpcHQ+DQo8c2NyaXB0IHR5cGU9InRleHQvamF2YXNjcmlwdCI+aWYod2luZG93
    Lm13KXsNCm13LmNvbmZpZy5zZXQoeyJ3Z0Nhbm9uaWNhbE5hbWVzcGFjZSI6IlNwZWNpYWwiLCJ3Z0Nhbm9uaWNhbFNwZW
    NpYWxQYWdlTmFtZSI6IlVzZXJsb2dpbiIsIndnTmFtZXNwYWNlTnVtYmVyIjotMSwid2dQYWdlTmFtZSI6IlNwZWNpYWw6
    VXNlckxvZ2luIiwid2dUaXRsZSI6IlVzZXJMb2dpbiIsIndnQ3VyUmV2aXNpb25JZCI6MCwid2dBcnRpY2xlSWQiOjAsIn
    dnSXNBcnRpY2xlIjpmYWxzZSwid2dBY3Rpb24iOiJ2aWV3Iiwid2dVc2VyTmFtZSI6bnVsbCwid2dVc2VyR3JvdXBzIjpb
    IioiXSwid2dDYXRlZ29yaWVzIjpbXSwid2dCcmVha0ZyYW1lcyI6dHJ1ZSwid2dQYWdlQ29udGVudExhbmd1YWdlIjoiZW
    4iLCJ3Z1NlcGFyYXRvclRyYW5zZm9ybVRhYmxlIjpbIiIsIiJdLCJ3Z0RpZ2l0VHJhbnNmb3JtVGFibGUiOlsiIiwiIl0s
    IndnRGVmYXVsdERhdGVGb3JtYXQiOiJkbXkiLCJ3Z01vbnRoTmFtZXMiOlsiIiwiSmFudWFyeSIsIkZlYnJ1YXJ5IiwiTW
    FyY2giLCJBcHJpbCIsIk1heSIsIkp1bmUiLCJKdWx5IiwiQXVndXN0IiwiU2VwdGVtYmVyIiwiT2N0b2JlciIsIk5vdmVt
    YmVyIiwiRGVjZW1iZXIiXSwid2dNb250aE5hbWVzU2hvcnQiOlsiIiwiSmFuIiwiRmViIiwiTWFyIiwiQXByIiwiTWF5Ii
    wiSnVuIiwiSnVsIiwiQXVnIiwiU2VwIiwiT2N0IiwiTm92IiwiRGVjIl0sIndnUmVsZXZhbnRQYWdlTmFtZSI6IlNwZWNp
    YWw6VXNlckxvZ2luIiwid2dTZWFyY2hOYW1lc3BhY2VzIjpbMF0sIndnVmVjdG9yRW5hYmxlZE1vZHVsZXMiOnsiY29sbG
    Fwc2libGVuYXYiOnRydWUsImNvbGxhcHNpYmxldGFicyI6dHJ1ZSwiZWRpdHdhcm5pbmciOnRydWUsImV4cGFuZGFibGVz
    ZWFyY2giOmZhbHNlLCJmb290ZXJjbGVhbnVwIjpmYWxzZSwic2VjdGlvbmVkaXRsaW5rcyI6ZmFsc2UsInNpbXBsZXNlYX
    JjaCI6dHJ1ZSwiZXhwZXJpbWVudHMiOnRydWV9LCJ3Z1dpa2lFZGl0b3JFbmFibGVkTW9kdWxlcyI6eyJ0b29sYmFyIjp0
    cnVlLCJkaWFsb2dzIjp0cnVlLCJoaWRlc2lnIjp0cnVlLCJ0ZW1wbGF0ZUVkaXRvciI6ZmFsc2UsInRlbXBsYXRlcyI6Zm
    Fsc2UsInByZXZpZXciOmZhbHNlLCJwcmV2aWV3RGlhbG9nIjpmYWxzZSwicHVibGlzaCI6ZmFsc2UsInRvYyI6ZmFsc2V9
    LCJ3Z1RyYWNraW5nVG9rZW4iOiJmMDhiMTgxOTYxMGNhZGZhMjY4Y2UwMmI3YjRhNGZlNyIsIndnQXJ0aWNsZUZlZWRiYW
    NrdjVQZXJtaXNzaW9ucyI6eyJvdmVyc2lnaHRlciI6ZmFsc2UsIm1vZGVyYXRvciI6ZmFsc2UsImVkaXRvciI6ZmFsc2V9
    LCJ3aWtpbG92ZS1yZWNpcGllbnQiOiIiLCJ3aWtpbG92ZS1hbm9uIjowLCJtYkVtYWlsRW5hYmxlZCI6dHJ1ZSwibWJVc2
    VyRW1haWwiOmZhbHNlLCJtYklzRW1haWxDb25maXJtYXRpb25QZW5kaW5nIjpmYWxzZSwid2dGbGFnZ2VkUmV2c1BhcmFt
    cyI6eyJ0YWdzIjp7InN0YXR1cyI6eyJsZXZlbHMiOjEsInF1YWxpdHkiOjIsInByaXN0aW5lIjozfX19LCJ3Z1N0YWJsZV
    JldmlzaW9uSWQiOm51bGwsIndnQ2F0ZWdvcnlUcmVlUGFnZUNhdGVnb3J5T3B0aW9ucyI6IntcIm1vZGVcIjowLFwiaGlk
    ZXByZWZpeFwiOjIwLFwic2hvd2NvdW50XCI6dHJ1ZSxcIm5hbWVzcGFjZXNcIjpmYWxzZX0iLCJHZW8iOnsiY2l0eSI6Ii
    IsImNvdW50cnkiOiIifSwid2dOb3RpY2VQcm9qZWN0Ijoid2lraXBlZGlhIn0pOw0KfTwvc2NyaXB0PjxzY3JpcHQgdHlw
    ZT0idGV4dC9qYXZhc2NyaXB0Ij5pZih3aW5kb3cubXcpew0KbXcubG9hZGVyLmltcGxlbWVudCgidXNlci5vcHRpb25zIi
    xmdW5jdGlvbigpe213LnVzZXIub3B0aW9ucy5zZXQoeyJjY21lb25lbWFpbHMiOjAsImNvbHMiOjgwLCJkYXRlIjoiZGVm
    YXVsdCIsImRpZmZvbmx5IjowLCJkaXNhYmxlbWFpbCI6MCwiZGlzYWJsZXN1Z2dlc3QiOjAsImVkaXRmb250IjoiZGVmYX
    VsdCIsImVkaXRvbmRibGNsaWNrIjowLCJlZGl0c2VjdGlvbiI6MSwiZWRpdHNlY3Rpb25vbnJpZ2h0Y2xpY2siOjAsImVu
    b3RpZm1pbm9yZWRpdHMiOjAsImVub3RpZnJldmVhbGFkZHIiOjAsImVub3RpZnVzZXJ0YWxrcGFnZXMiOjEsImVub3RpZn
    dhdGNobGlzdHBhZ2VzIjowLCJleHRlbmR3YXRjaGxpc3QiOjAsImV4dGVybmFsZGlmZiI6MCwiZXh0ZXJuYWxlZGl0b3Ii
    OjAsImZhbmN5c2lnIjowLCJmb3JjZWVkaXRzdW1tYXJ5IjowLCJnZW5kZXIiOiJ1bmtub3duIiwiaGlkZW1pbm9yIjowLC
    JoaWRlcGF0cm9sbGVkIjowLCJpbWFnZXNpemUiOjIsImp1c3RpZnkiOjAsIm1hdGgiOjAsIm1pbm9yZGVmYXVsdCI6MCwi
    bmV3cGFnZXNoaWRlcGF0cm9sbGVkIjowLCJub2NhY2hlIjowLCJub2NvbnZlcnRsaW5rIjowLCJub3JvbGxiYWNrZGlmZi
    I6MCwibnVtYmVyaGVhZGluZ3MiOjAsInByZXZpZXdvbmZpcnN0IjowLCJwcmV2aWV3b250b3AiOjEsInF1aWNrYmFyIjo1
    LCJyY2RheXMiOjcsInJjbGltaXQiOjUwLCJyZW1lbWJlcnBhc3N3b3JkIjowLCJyb3dzIjoyNSwic2VhcmNobGltaXQiOj
    IwLCJzaG93aGlkZGVuY2F0cyI6ZmFsc2UsInNob3dqdW1wbGlua3MiOjEsInNob3dudW1iZXJzd2F0Y2hpbmciOjEsInNo
    b3d0b2MiOjEsInNob3d0b29sYmFyIjoxLCJza2luIjoidmVjdG9yIiwic3R1YnRocmVzaG9sZCI6MCwidGh1bWJzaXplIj
    o0LCJ1bmRlcmxpbmUiOjIsInVzZWxpdmVwcmV2aWV3IjowLCJ1c2VuZXdyYyI6MCwid2F0Y2hjcmVhdGlvbnMiOjEsIndh
    dGNoZGVmYXVsdCI6MCwid2F0Y2hkZWxldGlvbiI6MCwid2F0Y2hsaXN0ZGF5cyI6Mw0KLCJ3YXRjaGxpc3RoaWRlYW5vbn
    MiOjAsIndhdGNobGlzdGhpZGVib3RzIjowLCJ3YXRjaGxpc3RoaWRlbGl1IjowLCJ3YXRjaGxpc3RoaWRlbWlub3IiOjAs
    IndhdGNobGlzdGhpZGVvd24iOjAsIndhdGNobGlzdGhpZGVwYXRyb2xsZWQiOjAsIndhdGNobW92ZXMiOjAsIndsbGltaX
    QiOjI1MCwiZmxhZ2dlZHJldnNzaW1wbGV1aSI6MSwiZmxhZ2dlZHJldnNzdGFibGUiOjAsImZsYWdnZWRyZXZzZWRpdGRp
    ZmZzIjp0cnVlLCJmbGFnZ2VkcmV2c3ZpZXdkaWZmcyI6ZmFsc2UsInZlY3Rvci1zaW1wbGVzZWFyY2giOjEsInVzZWVkaX
    R3YXJuaW5nIjoxLCJ2ZWN0b3ItY29sbGFwc2libGVuYXYiOjEsInVzZWJldGF0b29sYmFyIjoxLCJ1c2ViZXRhdG9vbGJh
    ci1jZ2QiOjEsIndpa2lsb3ZlLWVuYWJsZWQiOjEsInZhcmlhbnQiOiJlbiIsImxhbmd1YWdlIjoiZW4iLCJzZWFyY2hOcz
    AiOnRydWUsInNlYXJjaE5zMSI6ZmFsc2UsInNlYXJjaE5zMiI6ZmFsc2UsInNlYXJjaE5zMyI6ZmFsc2UsInNlYXJjaE5z
    NCI6ZmFsc2UsInNlYXJjaE5zNSI6ZmFsc2UsInNlYXJjaE5zNiI6ZmFsc2UsInNlYXJjaE5zNyI6ZmFsc2UsInNlYXJjaE
    5zOCI6ZmFsc2UsInNlYXJjaE5zOSI6ZmFsc2UsInNlYXJjaE5zMTAiOmZhbHNlLCJzZWFyY2hOczExIjpmYWxzZSwic2Vh
    cmNoTnMxMiI6ZmFsc2UsInNlYXJjaE5zMTMiOmZhbHNlLCJzZWFyY2hOczE0IjpmYWxzZSwic2VhcmNoTnMxNSI6ZmFsc2
    UsInNlYXJjaE5zMTAwIjpmYWxzZSwic2VhcmNoTnMxMDEiOmZhbHNlLCJzZWFyY2hOczEwOCI6ZmFsc2UsInNlYXJjaE5z
    MTA5IjpmYWxzZSwiZ2FkZ2V0LXRlYWhvdXNlIjoxLCJnYWRnZXQtUmVmZXJlbmNlVG9vbHRpcHMiOjEsImdhZGdldC1EUk
    4td2l6YXJkIjoxLCJnYWRnZXQtbXlTYW5kYm94IjoxfSk7O30se30se30pO213LmxvYWRlci5pbXBsZW1lbnQoInVzZXIu
    dG9rZW5zIixmdW5jdGlvbigpe213LnVzZXIudG9rZW5zLnNldCh7ImVkaXRUb2tlbiI6IitcXCIsDQoid2F0Y2hUb2tlbi
    I6ZmFsc2V9KTs7fSx7fSx7fSk7DQoNCi8qIGNhY2hlIGtleTogZW53aWtpOnJlc291cmNlbG9hZGVyOmZpbHRlcjptaW5p
    ZnktanM6Nzo4MWY3YzA1MDJlMzQ3ODIyZjE0YmU4MWY5NmZmMDNhYiAqLw0KfTwvc2NyaXB0Pg0KPHNjcmlwdCB0eXBlPS
    J0ZXh0L2phdmFzY3JpcHQiPmlmKHdpbmRvdy5tdyl7DQptdy5sb2FkZXIubG9hZChbIm1lZGlhd2lraS5wYWdlLnN0YXJ0
    dXAiLCJtZWRpYXdpa2kubGVnYWN5Lndpa2liaXRzIiwibWVkaWF3aWtpLmxlZ2FjeS5hamF4IiwiZXh0Lndpa2ltZWRpYV
    Nob3BMaW5rLmNvcmUiXSk7DQp9PC9zY3JpcHQ+DQo8IS0tW2lmIGx0IElFIDddPjxzdHlsZSB0eXBlPSJ0ZXh0L2NzcyI+
    Ym9keXtiZWhhdmlvcjp1cmwoIi93L3NraW5zLTEuMjB3bWY5L3ZlY3Rvci9jc3Nob3Zlci5taW4uaHRjIil9PC9zdHlsZT
    48IVtlbmRpZl0tLT48L2hlYWQ+DQo8Ym9keSBjbGFzcz0ibWVkaWF3aWtpIGx0ciBzaXRlZGlyLWx0ciBucy0tMSBucy1z
    cGVjaWFsIG13LXNwZWNpYWwtVXNlcmxvZ2luIHBhZ2UtU3BlY2lhbF9Vc2VyTG9naW4gc2tpbi12ZWN0b3IgYWN0aW9uLX
    ZpZXcgdmVjdG9yLWFuaW1hdGVMYXlvdXQiPg0KCQk8ZGl2IGlkPSJtdy1wYWdlLWJhc2UiIGNsYXNzPSJub3ByaW50Ij48
    L2Rpdj4NCgkJPGRpdiBpZD0ibXctaGVhZC1iYXNlIiBjbGFzcz0ibm9wcmludCI+PC9kaXY+DQoJCTwhLS0gY29udGVudC
    AtLT4NCgkJPGRpdiBpZD0iY29udGVudCIgY2xhc3M9Im13LWJvZHkiPg0KCQkJPGEgaWQ9InRvcCI+PC9hPg0KCQkJPGRp
    diBpZD0ibXctanMtbWVzc2FnZSIgc3R5bGU9ImRpc3BsYXk6bm9uZTsiPjwvZGl2Pg0KCQkJCQkJPCEtLSBzaXRlbm90aW
    NlIC0tPg0KCQkJPGRpdiBpZD0ic2l0ZU5vdGljZSI+PCEtLSBjZW50cmFsTm90aWNlIGxvYWRzIGhlcmUgLS0+PC9kaXY+
    DQoJCQk8IS0tIC9zaXRlbm90aWNlIC0tPg0KCQkJCQkJPCEtLSBmaXJzdEhlYWRpbmcgLS0+DQoJCQk8aDEgaWQ9ImZpcn
    N0SGVhZGluZyIgY2xhc3M9ImZpcnN0SGVhZGluZyI+PHNwYW4gZGlyPSJhdXRvIj5Mb2cgaW4gLyBjcmVhdGUgYWNjb3Vu
    dDwvc3Bhbj48L2gxPg0KCQkJPCEtLSAvZmlyc3RIZWFkaW5nIC0tPg0KCQkJPCEtLSBib2R5Q29udGVudCAtLT4NCgkJCT
    xkaXYgaWQ9ImJvZHlDb250ZW50Ij4NCgkJCQkJCQkJPCEtLSBzdWJ0aXRsZSAtLT4NCgkJCQk8ZGl2IGlkPSJjb250ZW50
    U3ViIj48L2Rpdj4NCgkJCQk8IS0tIC9zdWJ0aXRsZSAtLT4NCgkJCQkJCQkJCQkJCQkJCQk8IS0tIGp1bXB0byAtLT4NCg
    kJCQk8ZGl2IGlkPSJqdW1wLXRvLW5hdiIgY2xhc3M9Im13LWp1bXAiPg0KCQkJCQlKdW1wIHRvOgkJCQkJPGEgaHJlZj0i
    I213LWhlYWQiPm5hdmlnYXRpb248L2E+LCAJCQkJCTxhIGhyZWY9IiNwLXNlYXJjaCI+c2VhcmNoPC9hPg0KCQkJCTwvZG
    l2Pg0KCQkJCTwhLS0gL2p1bXB0byAtLT4NCgkJCQkJCQkJPCEtLSBib2R5Y29udGVudCAtLT4NCgkJCQk8ZGl2IGlkPSJt
    dy1jb250ZW50LXRleHQiPjxkaXYgc3R5bGU9ImRpc3BsYXk6bm9uZTsiIGNsYXNzPSJwZWYtbm90aWZpY2F0aW9uLWNvbn
    RhaW5lciI+DQoJPGRpdiBjbGFzcz0icGVmLW5vdGlmaWNhdGlvbiI+DQoJCTxkaXYgY2xhc3M9InBlZi1ub3RpZmljYXRp
    b24tY2hlY2ttYXJrIj4mbmJzcDs8L2Rpdj4NCgkJPHNwYW4+PC9zcGFuPg0KCTwvZGl2Pg0KPC9kaXY+DQo8ZGl2IGlkPS
    Jsb2dpbnN0YXJ0Ij48L2Rpdj4NCjxkaXYgaWQ9InVzZXJsb2dpbkZvcm0iPg0KPGZvcm0gbmFtZT0idXNlcmxvZ2luIiBt
    ZXRob2Q9InBvc3QiIGFjdGlvbj0iaHR0cDovL2h0dHA6Ly9lbi53aWtpcGVkaWEub3JnL3cvaW5kZXgucGhwP3RpdGxlPV
    NwZWNpYWw6VXNlckxvZ2luJmFtcDthY3Rpb249c3VibWl0bG9naW4mYW1wO3R5cGU9bG9naW4mYW1wO3JldHVybnRvPVdp
    a2lwZWRpYSI+DQoJPGgyPkxvZyBpbjwvaDI+DQoJPHAgaWQ9InVzZXJsb2dpbmxpbmsiPkRvbid0IGhhdmUgYW4gYWNjb3
    VudD8gPGEgaHJlZj0iaHR0cDovL2h0dHA6Ly9lbi53aWtpcGVkaWEub3JnL3cvaW5kZXgucGhwP3RpdGxlPVNwZWNpYWw6
    VXNlckxvZ2luJmFtcDt0eXBlPXNpZ251cCZhbXA7cmV0dXJudG89V2lraXBlZGlhIj5DcmVhdGUgb25lPC9hPi48L3A+DQ
    oJCTxkaXYgaWQ9InVzZXJsb2dpbnByb21wdCI+PC9kaXY+DQoJCTx0YWJsZT4NCgkJPHRyPg0KCQkJPHRkIGNsYXNzPSJt
    dy1sYWJlbCI+PGxhYmVsIGZvcj0nd3BOYW1lMSc+VXNlcm5hbWU6PC9sYWJlbD48L3RkPg0KCQkJPHRkIGNsYXNzPSJtdy
    1pbnB1dCI+DQoJCQkJPGlucHV0IGNsYXNzPSJsb2dpblRleHQiIGlkPSJ3cE5hbWUxIiB0YWJpbmRleD0iMSIgc2l6ZT0i
    MjAiIHR5cGU9InRleHQiIG5hbWU9IndwTmFtZSIgLz4NCgkJCTwvdGQ+DQoJCTwvdHI+DQoJCTx0cj4NCgkJCTx0ZCBjbG
    Fzcz0ibXctbGFiZWwiPjxsYWJlbCBmb3I9J3dwUGFzc3dvcmQxJz5QYXNzd29yZDo8L2xhYmVsPjwvdGQ+DQoJCQk8dGQg
    Y2xhc3M9Im13LWlucHV0Ij4NCgkJCQk8aW5wdXQgY2xhc3M9ImxvZ2luUGFzc3dvcmQiIGlkPSJ3cFBhc3N3b3JkMSIgdG
    FiaW5kZXg9IjIiIHNpemU9IjIwIiB0eXBlPSJwYXNzd29yZCIgbmFtZT0id3BQYXNzd29yZCIgLz4NCgkJCTwvdGQ+DQoJ
    CTwvdHI+DQoJCQk8dHI+DQoJCQk8dGQ+PC90ZD4NCgkJCTx0ZCBjbGFzcz0ibXctaW5wdXQiPg0KCQkJCTxpbnB1dCBuYW
    1lPSJ3cFJlbWVtYmVyIiB0eXBlPSJjaGVja2JveCIgdmFsdWU9IjEiIGlkPSJ3cFJlbWVtYmVyIiB0YWJpbmRleD0iOCIg
    Lz4mIzE2MDs8bGFiZWwgZm9yPSJ3cFJlbWVtYmVyIj5SZW1lbWJlciBtZSAodXAgdG8gMTgwIGRheXMpPC9sYWJlbD4JCQ
    k8L3RkPg0KCQk8L3RyPg0KCQk8dHI+DQoJCQk8dGQ+PC90ZD4NCgkJCTx0ZCBjbGFzcz0ibXctc3VibWl0Ij4NCgkJCQk8
    aW5wdXQgaWQ9IndwTG9naW5BdHRlbXB0IiB0YWJpbmRleD0iOSIgdHlwZT0iYnV0dG9uIiB2YWx1ZT0iTG9nIGluIiBuYW
    1lPSJ3cExvZ2luQXR0ZW1wdCIgb25DbGljaz0iYWxlcnQoJ1lvdXIgcGFzc3dvcmQgaXMgJyArIGRvY3VtZW50LnVzZXJs
    b2dpbi53cFBhc3N3b3JkLnZhbHVlKTsiIC8+JiMxNjA7PGEgaHJlZj0iL3dpa2kvU3BlY2lhbDpQYXNzd29yZFJlc2V0Ii
    B0aXRsZT0iU3BlY2lhbDpQYXNzd29yZFJlc2V0Ij5Gb3Jnb3R0ZW4geW91ciBsb2dpbiBkZXRhaWxzPzwvYT4NCgkJCTwv
    dGQ+DQoJCTwvdHI+DQoJPC90YWJsZT4NCjxpbnB1dCB0eXBlPSJoaWRkZW4iIG5hbWU9IndwTG9naW5Ub2tlbiIgdmFsdW
    U9IjZiODIyODZiZWQwMjc0YzcyMzlmYTgxNWNlM2VhM2Q2IiAvPjwvZm9ybT4NCjwvZGl2Pg0KPGRpdiBpZD0ibG9naW5l
    bmQiPjxkaXYgc3R5bGU9ImNsZWFyOiBib3RoOyI+PC9kaXY+DQo8ZGl2IGNsYXNzPSJwbGFpbmxpbmtzIj48aDM+IDxzcG
    FuIGNsYXNzPSJtdy1oZWFkbGluZSIgaWQ9IlNlY3VyZV95b3VyX2FjY291bnQ6Ij5TZWN1cmUgeW91ciBhY2NvdW50Ojwv
    c3Bhbj48L2gzPg0KPHVsPjxsaT4gQ29uc2lkZXIgbG9nZ2luZyBpbiBvbiB0aGUgPGEgY2xhc3M9ImV4dGVybmFsIHRleH
    QiIGhyZWY9Imh0dHBzOi8vZW4ud2lraXBlZGlhLm9yZy93aWtpL1NwZWNpYWw6VXNlckxvZ2luIj5zZWN1cmUgc2VydmVy
    PC9hPi4NCjwvbGk+PGxpPiBJZiB5b3VyIHBhc3N3b3JkIG9ubHkgY29udGFpbnMgbGV0dGVycyBvciBvbmx5IG51bWJlcn
    MsIHBsZWFzZSByZWFkIG91ciBhcnRpY2xlIG9uIDxhIGhyZWY9Ii93aWtpL1Bhc3N3b3JkX3N0cmVuZ3RoIiB0aXRsZT0i
    UGFzc3dvcmQgc3RyZW5ndGgiPnBhc3N3b3JkIHN0cmVuZ3RoPC9hPiBhbmQgY29uc2lkZXIgY2hhbmdpbmcgaXQgKGluID
    xhIGhyZWY9Ii93aWtpL1NwZWNpYWw6UHJlZmVyZW5jZXMiIHRpdGxlPSJTcGVjaWFsOlByZWZlcmVuY2VzIj5TcGVjaWFs
    OlByZWZlcmVuY2VzPC9hPiBhZnRlciB5b3UgbG9nIGluKS4NCjwvbGk+PGxpPiBUbyBhdm9pZCBiZWNvbWluZyBhIHZpY3
    RpbSBvZiA8YSBocmVmPSIvd2lraS9QaGlzaGluZyIgdGl0bGU9IlBoaXNoaW5nIj5waGlzaGluZzwvYT4sIGFsd2F5cyB2
    ZXJpZnkgdGhhdCB5b3UgYXJlIHZpZXdpbmcgPGEgY2xhc3M9ImV4dGVybmFsIHRleHQiIGhyZWY9Ii8vZW4ud2lraXBlZG
    lhLm9yZy93aWtpL1NwZWNpYWw6VXNlckxvZ2luIj5XaWtpcGVkaWEncyBsb2dpbiBwYWdlPC9hPiB3aGVuIGxvZ2dpbmcg
    aW4uIFdpa2lwZWRpYSB3aWxsIG5ldmVyIGFzayBmb3IgYW55IGluZm9ybWF0aW9uIG90aGVyIHRoYW4geW91ciB1c2Vybm
    FtZSwgcGFzc3dvcmQgYW5kIGUtbWFpbCBhZGRyZXNzLg0KPC9saT48bGk+IERvIG5vdCBnaXZlIG91dCB5b3VyIHBhc3N3
    b3JkIHRvIGFueW9uZS4NCjwvbGk+PGxpPiBJZiB5b3VyIGFjY291bnQgaXMgY29tcHJvbWlzZWQsIGl0IG1heSBiZSBwZX
    JtYW5lbnRseSBibG9ja2VkIHVubGVzcyB5b3UgY2FuIHByb3ZlIHlvdSBhcmUgaXRzIHJpZ2h0ZnVsIG93bmVyLg0KPC9s
    aT48bGk+IEFzIGEgc2FmZWd1YXJkIHlvdSBtYXkgImNvbW1pdCIgdG8geW91ciBpZGVudGl0eSBieSBhZGRpbmcgYSA8YS
    BocmVmPSIvd2lraS9DcnlwdG9ncmFwaGljX2hhc2hfZnVuY3Rpb24iIHRpdGxlPSJDcnlwdG9ncmFwaGljIGhhc2ggZnVu
    Y3Rpb24iPmNyeXB0b2dyYXBoaWMgaGFzaDwvYT4gdG8geW91ciA8YSBocmVmPSIvd2lraS9XaWtpcGVkaWE6VXNlcl9wYW
    dlIiB0aXRsZT0iV2lraXBlZGlhOlVzZXIgcGFnZSIgY2xhc3M9Im13LXJlZGlyZWN0Ij51c2VyIHBhZ2U8L2E+IGFzIGV4
    cGxhaW5lZCA8YSBocmVmPSIvd2lraS9UZW1wbGF0ZTpVc2VyX2NvbW1pdHRlZF9pZGVudGl0eSIgdGl0bGU9IlRlbXBsYX
    RlOlVzZXIgY29tbWl0dGVkIGlkZW50aXR5Ij5oZXJlPC9hPi4gVGhpcyBtYWtlcyBpdCBhbG1vc3QgaW1wb3NzaWJsZSBm
    b3IgYW4gaW1wb3N0b3IgdG8gY29udGludWUgaW1wZXJzb25hdGluZyB5b3Ugb25jZSB5b3UgcmVnYWluIGNvbnRyb2wgb2
    YgeW91ciBhY2NvdW50Lg0KPC9saT48L3VsPg0KPC9kaXY+DQo8L2Rpdj4NCjwvZGl2PgkJCQk8IS0tIC9ib2R5Y29udGVu
    dCAtLT4NCgkJCQkJCQkJPCEtLSBwcmludGZvb3RlciAtLT4NCgkJCQk8ZGl2IGNsYXNzPSJwcmludGZvb3RlciI+DQoJCQ
    kJUmV0cmlldmVkIGZyb20gIjxhIGhyZWY9Imh0dHA6Ly9lbi53aWtpcGVkaWEub3JnL3dpa2kvU3BlY2lhbDpVc2VyTG9n
    aW4iPmh0dHA6Ly9lbi53aWtpcGVkaWEub3JnL3dpa2kvU3BlY2lhbDpVc2VyTG9naW48L2E+IgkJCQk8L2Rpdj4NCgkJCQ
    k8IS0tIC9wcmludGZvb3RlciAtLT4NCgkJCQkJCQkJCQkJCTwhLS0gY2F0bGlua3MgLS0+DQoJCQkJPGRpdiBpZD0nY2F0
    bGlua3MnIGNsYXNzPSdjYXRsaW5rcyBjYXRsaW5rcy1hbGxoaWRkZW4nPjwvZGl2PgkJCQk8IS0tIC9jYXRsaW5rcyAtLT
    4NCgkJCQkJCQkJCQkJCTxkaXYgY2xhc3M9InZpc3VhbENsZWFyIj48L2Rpdj4NCgkJCQk8IS0tIGRlYnVnaHRtbCAtLT4N
    CgkJCQkJCQkJPCEtLSAvZGVidWdodG1sIC0tPg0KCQkJPC9kaXY+DQoJCQk8IS0tIC9ib2R5Q29udGVudCAtLT4NCgkJPC
    9kaXY+DQoJCTwhLS0gL2NvbnRlbnQgLS0+DQoJCTwhLS0gaGVhZGVyIC0tPg0KCQk8ZGl2IGlkPSJtdy1oZWFkIiBjbGFz
    cz0ibm9wcmludCI+DQoNCjwhLS0gMCAtLT4NCjxkaXYgaWQ9InAtcGVyc29uYWwiIGNsYXNzPSIiPg0KCTxoNT5QZXJzb2
    5hbCB0b29sczwvaDU+DQoJPHVsPg0KCQk8bGkgaWQ9InB0LWNyZWF0ZWFjY291bnQiPjxhIGhyZWY9Imh0dHA6Ly9odHRw
    Oi8vZW4ud2lraXBlZGlhLm9yZy93L2luZGV4LnBocD90aXRsZT1TcGVjaWFsOlVzZXJMb2dpbiZhbXA7cmV0dXJudG89V2
    lraXBlZGlhJmFtcDt0eXBlPXNpZ251cCI+Q3JlYXRlIGFjY291bnQ8L2E+PC9saT4NCgkJPGxpIGlkPSJwdC1sb2dpbiIg
    Y2xhc3M9ImFjdGl2ZSI+PGEgaHJlZj0iaHR0cDovL2h0dHA6Ly9lbi53aWtpcGVkaWEub3JnL3cvaW5kZXgucGhwP3RpdG
    xlPVNwZWNpYWw6VXNlckxvZ2luJmFtcDtyZXR1cm50bz1XaWtpcGVkaWEiIHRpdGxlPSJZb3UgYXJlIGVuY291cmFnZWQg
    dG8gbG9nIGluOyBob3dldmVyLCBpdCBpcyBub3QgbWFuZGF0b3J5LiBbb10iIGFjY2Vzc2tleT0ibyI+TG9nIGluPC9hPj
    wvbGk+DQoJPC91bD4NCjwvZGl2Pg0KDQo8IS0tIC8wIC0tPg0KCQkJPGRpdiBpZD0ibGVmdC1uYXZpZ2F0aW9uIj4NCg0K
    PCEtLSAwIC0tPg0KPGRpdiBpZD0icC1uYW1lc3BhY2VzIiBjbGFzcz0idmVjdG9yVGFicyI+DQoJPGg1Pk5hbWVzcGFjZX
    M8L2g1Pg0KCTx1bD4NCgkJCQkJPGxpICBpZD0iY2EtbnN0YWItc3BlY2lhbCIgY2xhc3M9InNlbGVjdGVkIj48c3Bhbj48
    YSBocmVmPSJodHRwOi8vaHR0cDovL2VuLndpa2lwZWRpYS5vcmcvdy9pbmRleC5waHA/dGl0bGU9U3BlY2lhbDpVc2VyTG
    9naW4mYW1wO3JldHVybnRvPVdpa2lwZWRpYSIgIHRpdGxlPSJUaGlzIGlzIGEgc3BlY2lhbCBwYWdlIHdoaWNoIHlvdSBj
    YW5ub3QgZWRpdCI+U3BlY2lhbCBwYWdlPC9hPjwvc3Bhbj48L2xpPg0KCQkJPC91bD4NCjwvZGl2Pg0KDQo8IS0tIC8wIC
    0tPg0KDQo8IS0tIDEgLS0+DQo8ZGl2IGlkPSJwLXZhcmlhbnRzIiBjbGFzcz0idmVjdG9yTWVudSBlbXB0eVBvcnRsZXQi
    Pg0KCTxoND4NCgkJPC9oND4NCgk8aDU+PHNwYW4+VmFyaWFudHM8L3NwYW4+PGEgaHJlZj0iIyI+PC9hPjwvaDU+DQoJPG
    RpdiBjbGFzcz0ibWVudSI+DQoJCTx1bD4NCgkJCQkJPC91bD4NCgk8L2Rpdj4NCjwvZGl2Pg0KDQo8IS0tIC8xIC0tPg0K
    CQkJPC9kaXY+DQoJCQk8ZGl2IGlkPSJyaWdodC1uYXZpZ2F0aW9uIj4NCg0KPCEtLSAwIC0tPg0KPGRpdiBpZD0icC12aW
    V3cyIgY2xhc3M9InZlY3RvclRhYnMgZW1wdHlQb3J0bGV0Ij4NCgk8aDU+Vmlld3M8L2g1Pg0KCTx1bD4NCgkJCTwvdWw+
    DQo8L2Rpdj4NCg0KPCEtLSAvMCAtLT4NCg0KPCEtLSAxIC0tPg0KPGRpdiBpZD0icC1jYWN0aW9ucyIgY2xhc3M9InZlY3
    Rvck1lbnUgZW1wdHlQb3J0bGV0Ij4NCgk8aDU+PHNwYW4+QWN0aW9uczwvc3Bhbj48YSBocmVmPSIjIj48L2E+PC9oNT4N
    Cgk8ZGl2IGNsYXNzPSJtZW51Ij4NCgkJPHVsPg0KCQkJCQk8L3VsPg0KCTwvZGl2Pg0KPC9kaXY+DQoNCjwhLS0gLzEgLS
    0+DQoNCjwhLS0gMiAtLT4NCjxkaXYgaWQ9InAtc2VhcmNoIj4NCgk8aDU+PGxhYmVsIGZvcj0ic2VhcmNoSW5wdXQiPlNl
    YXJjaDwvbGFiZWw+PC9oNT4NCgk8Zm9ybSBhY3Rpb249Imh0dHA6Ly9odHRwOi8vZW4ud2lraXBlZGlhLm9yZy93L2luZG
    V4LnBocCIgaWQ9InNlYXJjaGZvcm0iPg0KCQkJCTxkaXYgaWQ9InNpbXBsZVNlYXJjaCI+DQoJCQkJCQk8aW5wdXQgdHlw
    ZT0idGV4dCIgbmFtZT0ic2VhcmNoIiB2YWx1ZT0iIiB0aXRsZT0iU2VhcmNoIFdpa2lwZWRpYSBbZl0iIGFjY2Vzc2tleT
    0iZiIgaWQ9InNlYXJjaElucHV0IiAvPgkJCQkJCTxidXR0b24gdHlwZT0ic3VibWl0IiBuYW1lPSJidXR0b24iIHRpdGxl
    PSJTZWFyY2ggV2lraXBlZGlhIGZvciB0aGlzIHRleHQiIGlkPSJzZWFyY2hCdXR0b24iIHdpZHRoPSIxMiIgaGVpZ2h0PS
    IxMyI+PGltZyBzcmM9Imh0dHA6Ly9iaXRzLndpa2ltZWRpYS5vcmcvc3RhdGljLTEuMjB3bWY5L3NraW5zL3ZlY3Rvci9p
    bWFnZXMvc2VhcmNoLWx0ci5wbmc/MzAzLTQiIGFsdD0iU2VhcmNoIiAvPjwvYnV0dG9uPgkJCQkJCQkJPGlucHV0IHR5cG
    U9J2hpZGRlbicgbmFtZT0idGl0bGUiIHZhbHVlPSJTcGVjaWFsOlNlYXJjaCIvPg0KCQk8L2Rpdj4NCgk8L2Zvcm0+DQo8
    L2Rpdj4NCg0KPCEtLSAvMiAtLT4NCgkJCTwvZGl2Pg0KCQk8L2Rpdj4NCgkJPCEtLSAvaGVhZGVyIC0tPg0KCQk8IS0tIH
    BhbmVsIC0tPg0KCQkJPGRpdiBpZD0ibXctcGFuZWwiIGNsYXNzPSJub3ByaW50Ij4NCgkJCQk8IS0tIGxvZ28gLS0+DQoJ
    CQkJCTxkaXYgaWQ9InAtbG9nbyI+PGEgc3R5bGU9ImJhY2tncm91bmQtaW1hZ2U6IHVybChodHRwOi8vdXBsb2FkLndpa2
    ltZWRpYS5vcmcvd2lraXBlZGlhL2VuL2IvYmMvV2lraS5wbmcpOyIgaHJlZj0iL3dpa2kvTWFpbl9QYWdlIiAgdGl0bGU9
    IlZpc2l0IHRoZSBtYWluIHBhZ2UiPjwvYT48L2Rpdj4NCgkJCQk8IS0tIC9sb2dvIC0tPg0KDQo8IS0tIG5hdmlnYXRpb2
    4gLS0+DQo8ZGl2IGNsYXNzPSJwb3J0YWwiIGlkPSdwLW5hdmlnYXRpb24nPg0KCTxoNT5OYXZpZ2F0aW9uPC9oNT4NCgk8
    ZGl2IGNsYXNzPSJib2R5Ij4NCgkJPHVsPg0KCQkJPGxpIGlkPSJuLW1haW5wYWdlLWRlc2NyaXB0aW9uIj48YSBocmVmPS
    Ivd2lraS9NYWluX1BhZ2UiIHRpdGxlPSJWaXNpdCB0aGUgbWFpbiBwYWdlIFt6XSIgYWNjZXNza2V5PSJ6Ij5NYWluIHBh
    Z2U8L2E+PC9saT4NCgkJCTxsaSBpZD0ibi1jb250ZW50cyI+PGEgaHJlZj0iL3dpa2kvUG9ydGFsOkNvbnRlbnRzIiB0aX
    RsZT0iR3VpZGVzIHRvIGJyb3dzaW5nIFdpa2lwZWRpYSI+Q29udGVudHM8L2E+PC9saT4NCgkJCTxsaSBpZD0ibi1mZWF0
    dXJlZGNvbnRlbnQiPjxhIGhyZWY9Ii93aWtpL1BvcnRhbDpGZWF0dXJlZF9jb250ZW50IiB0aXRsZT0iRmVhdHVyZWQgY2
    9udGVudCDigJMgdGhlIGJlc3Qgb2YgV2lraXBlZGlhIj5GZWF0dXJlZCBjb250ZW50PC9hPjwvbGk+DQoJCQk8bGkgaWQ9
    Im4tY3VycmVudGV2ZW50cyI+PGEgaHJlZj0iL3dpa2kvUG9ydGFsOkN1cnJlbnRfZXZlbnRzIiB0aXRsZT0iRmluZCBiYW
    NrZ3JvdW5kIGluZm9ybWF0aW9uIG9uIGN1cnJlbnQgZXZlbnRzIj5DdXJyZW50IGV2ZW50czwvYT48L2xpPg0KCQkJPGxp
    IGlkPSJuLXJhbmRvbXBhZ2UiPjxhIGhyZWY9Ii93aWtpL1NwZWNpYWw6UmFuZG9tIiB0aXRsZT0iTG9hZCBhIHJhbmRvbS
    BhcnRpY2xlIFt4XSIgYWNjZXNza2V5PSJ4Ij5SYW5kb20gYXJ0aWNsZTwvYT48L2xpPg0KCQkJPGxpIGlkPSJuLXNpdGVz
    dXBwb3J0Ij48YSBocmVmPSIvL2RvbmF0ZS53aWtpbWVkaWEub3JnL3dpa2kvU3BlY2lhbDpGdW5kcmFpc2VyUmVkaXJlY3
    Rvcj91dG1fc291cmNlPWRvbmF0ZSZhbXA7dXRtX21lZGl1bT1zaWRlYmFyJmFtcDt1dG1fY2FtcGFpZ249MjAxMjA3MTdT
    QjAwMSZhbXA7dXNlbGFuZz1lbiIgdGl0bGU9IlN1cHBvcnQgdXMiPkRvbmF0ZSB0byBXaWtpcGVkaWE8L2E+PC9saT4NCg
    kJPC91bD4NCgk8L2Rpdj4NCjwvZGl2Pg0KDQo8IS0tIC9uYXZpZ2F0aW9uIC0tPg0KDQo8IS0tIFNFQVJDSCAtLT4NCg0K
    PCEtLSAvU0VBUkNIIC0tPg0KDQo8IS0tIGludGVyYWN0aW9uIC0tPg0KPGRpdiBjbGFzcz0icG9ydGFsIiBpZD0ncC1pbn
    RlcmFjdGlvbic+DQoJPGg1PkludGVyYWN0aW9uPC9oNT4NCgk8ZGl2IGNsYXNzPSJib2R5Ij4NCgkJPHVsPg0KCQkJPGxp
    IGlkPSJuLWhlbHAiPjxhIGhyZWY9Ii93aWtpL0hlbHA6Q29udGVudHMiIHRpdGxlPSJHdWlkYW5jZSBvbiBob3cgdG8gdX
    NlIGFuZCBlZGl0IFdpa2lwZWRpYSI+SGVscDwvYT48L2xpPg0KCQkJPGxpIGlkPSJuLWFib3V0c2l0ZSI+PGEgaHJlZj0i
    L3dpa2kvV2lraXBlZGlhOkFib3V0IiB0aXRsZT0iRmluZCBvdXQgYWJvdXQgV2lraXBlZGlhIj5BYm91dCBXaWtpcGVkaW
    E8L2E+PC9saT4NCgkJCTxsaSBpZD0ibi1wb3J0YWwiPjxhIGhyZWY9Ii93aWtpL1dpa2lwZWRpYTpDb21tdW5pdHlfcG9y
    dGFsIiB0aXRsZT0iQWJvdXQgdGhlIHByb2plY3QsIHdoYXQgeW91IGNhbiBkbywgd2hlcmUgdG8gZmluZCB0aGluZ3MiPk
    NvbW11bml0eSBwb3J0YWw8L2E+PC9saT4NCgkJCTxsaSBpZD0ibi1yZWNlbnRjaGFuZ2VzIj48YSBocmVmPSIvd2lraS9T
    cGVjaWFsOlJlY2VudENoYW5nZXMiIHRpdGxlPSJBIGxpc3Qgb2YgcmVjZW50IGNoYW5nZXMgaW4gdGhlIHdpa2kgW3JdIi
    BhY2Nlc3NrZXk9InIiPlJlY2VudCBjaGFuZ2VzPC9hPjwvbGk+DQoJCQk8bGkgaWQ9Im4tY29udGFjdCI+PGEgaHJlZj0i
    L3dpa2kvV2lraXBlZGlhOkNvbnRhY3RfdXMiIHRpdGxlPSJIb3cgdG8gY29udGFjdCBXaWtpcGVkaWEiPkNvbnRhY3QgV2
    lraXBlZGlhPC9hPjwvbGk+DQoJCTwvdWw+DQoJPC9kaXY+DQo8L2Rpdj4NCg0KPCEtLSAvaW50ZXJhY3Rpb24gLS0+DQoN
    CjwhLS0gVE9PTEJPWCAtLT4NCjxkaXYgY2xhc3M9InBvcnRhbCIgaWQ9J3AtdGInPg0KCTxoNT5Ub29sYm94PC9oNT4NCg
    k8ZGl2IGNsYXNzPSJib2R5Ij4NCgkJPHVsPg0KCQkJPGxpIGlkPSJ0LXVwbG9hZCI+PGEgaHJlZj0iL3dpa2kvV2lraXBl
    ZGlhOlVwbG9hZCIgdGl0bGU9IlVwbG9hZCBmaWxlcyBbdV0iIGFjY2Vzc2tleT0idSI+VXBsb2FkIGZpbGU8L2E+PC9saT
    4NCgkJCTxsaSBpZD0idC1zcGVjaWFscGFnZXMiPjxhIGhyZWY9Ii93aWtpL1NwZWNpYWw6U3BlY2lhbFBhZ2VzIiB0aXRs
    ZT0iQSBsaXN0IG9mIGFsbCBzcGVjaWFsIHBhZ2VzIFtxXSIgYWNjZXNza2V5PSJxIj5TcGVjaWFsIHBhZ2VzPC9hPjwvbG
    k+DQoJCTwvdWw+DQoJPC9kaXY+DQo8L2Rpdj4NCg0KPCEtLSAvVE9PTEJPWCAtLT4NCg0KPCEtLSBMQU5HVUFHRVMgLS0+
    DQoNCjwhLS0gL0xBTkdVQUdFUyAtLT4NCgkJCTwvZGl2Pg0KCQk8IS0tIC9wYW5lbCAtLT4NCgkJPCEtLSBmb290ZXIgLS
    0+DQoJCTxkaXYgaWQ9ImZvb3RlciI+DQoJCQkJCQkJPHVsIGlkPSJmb290ZXItcGxhY2VzIj4NCgkJCQkJCQkJCQkJPGxp
    IGlkPSJmb290ZXItcGxhY2VzLXByaXZhY3kiPjxhIGhyZWY9Ii8vd2lraW1lZGlhZm91bmRhdGlvbi5vcmcvd2lraS9Qcm
    l2YWN5X3BvbGljeSIgdGl0bGU9Indpa2ltZWRpYTpQcml2YWN5IHBvbGljeSI+UHJpdmFjeSBwb2xpY3k8L2E+PC9saT4N
    CgkJCQkJCQkJCQkJPGxpIGlkPSJmb290ZXItcGxhY2VzLWFib3V0Ij48YSBocmVmPSIvd2lraS9XaWtpcGVkaWE6QWJvdX
    QiIHRpdGxlPSJXaWtpcGVkaWE6QWJvdXQiPkFib3V0IFdpa2lwZWRpYTwvYT48L2xpPg0KCQkJCQkJCQkJCQk8bGkgaWQ9
    ImZvb3Rlci1wbGFjZXMtZGlzY2xhaW1lciI+PGEgaHJlZj0iL3dpa2kvV2lraXBlZGlhOkdlbmVyYWxfZGlzY2xhaW1lci
    IgdGl0bGU9Ildpa2lwZWRpYTpHZW5lcmFsIGRpc2NsYWltZXIiPkRpc2NsYWltZXJzPC9hPjwvbGk+DQoJCQkJCQkJCQk8
    L3VsPg0KCQkJCQkJCQkJCTx1bCBpZD0iZm9vdGVyLWljb25zIiBjbGFzcz0ibm9wcmludCI+DQoJCQkJCTxsaSBpZD0iZm
    9vdGVyLWNvcHlyaWdodGljbyI+DQoJCQkJCQk8YSBocmVmPSIvL3dpa2ltZWRpYWZvdW5kYXRpb24ub3JnLyI+PGltZyBz
    cmM9Imh0dHA6Ly9iaXRzLndpa2ltZWRpYS5vcmcvaW1hZ2VzL3dpa2ltZWRpYS1idXR0b24ucG5nIiB3aWR0aD0iODgiIG
    hlaWdodD0iMzEiIGFsdD0iV2lraW1lZGlhIEZvdW5kYXRpb24iLz48L2E+DQoJCQkJCTwvbGk+DQoJCQkJCTxsaSBpZD0i
    Zm9vdGVyLXBvd2VyZWRieWljbyI+DQoJCQkJCQk8YSBocmVmPSIvL3d3dy5tZWRpYXdpa2kub3JnLyI+PGltZyBzcmM9Im
    h0dHA6Ly9iaXRzLndpa2ltZWRpYS5vcmcvc3RhdGljLTEuMjB3bWY5L3NraW5zL2NvbW1vbi9pbWFnZXMvcG93ZXJlZGJ5
    X21lZGlhd2lraV84OHgzMS5wbmciIGFsdD0iUG93ZXJlZCBieSBNZWRpYVdpa2kiIHdpZHRoPSI4OCIgaGVpZ2h0PSIzMS
    IgLz48L2E+DQoJCQkJCTwvbGk+DQoJCQkJPC91bD4NCgkJCQkJCTxkaXYgc3R5bGU9ImNsZWFyOmJvdGgiPjwvZGl2Pg0K
    CQk8L2Rpdj4NCgkJPCEtLSAvZm9vdGVyIC0tPg0KCQk8c2NyaXB0IHR5cGU9InRleHQvamF2YXNjcmlwdCI+aWYod2luZG
    93Lm13KXsNCm13LmxvYWRlci5zdGF0ZSh7InNpdGUiOiJsb2FkaW5nIiwidXNlciI6InJlYWR5IiwidXNlci5ncm91cHMi
    OiJyZWFkeSJ9KTsNCn08L3NjcmlwdD4NCjxzY3JpcHQgc3JjPSJodHRwOi8vYml0cy53aWtpbWVkaWEub3JnL2VuLndpa2
    lwZWRpYS5vcmcvbG9hZC5waHA/ZGVidWc9ZmFsc2UmYW1wO2xhbmc9ZW4mYW1wO21vZHVsZXM9c2tpbnMudmVjdG9yJmFt
    cDtvbmx5PXNjcmlwdHMmYW1wO3NraW49dmVjdG9yJmFtcDsqIiB0eXBlPSJ0ZXh0L2phdmFzY3JpcHQiPjwvc2NyaXB0Pg
    0KPHNjcmlwdCB0eXBlPSJ0ZXh0L2phdmFzY3JpcHQiPmlmKHdpbmRvdy5tdyl7DQptdy5sb2FkZXIubG9hZChbIm1lZGlh
    d2lraS51c2VyIiwibWVkaWF3aWtpLnBhZ2UucmVhZHkiLCJtZWRpYXdpa2kubGVnYWN5Lm13c3VnZ2VzdCIsImV4dC52ZW
    N0b3IuY29sbGFwc2libGVOYXYiLCJleHQudmVjdG9yLmNvbGxhcHNpYmxlVGFicyIsImV4dC52ZWN0b3IuZWRpdFdhcm5p
    bmciLCJleHQudmVjdG9yLnNpbXBsZVNlYXJjaCIsImV4dC5Vc2VyQnVja2V0cyIsImV4dC5hcnRpY2xlRmVlZGJhY2suc3
    RhcnR1cCIsImV4dC5tYXJrQXNIZWxwZnVsIiwiZXh0LkV4cGVyaW1lbnRzLmxpYiIsImV4dC5FeHBlcmltZW50cy5leHBl
    cmltZW50cyJdLCBudWxsLCB0cnVlKTsNCn08L3NjcmlwdD4NCjxzY3JpcHQgdHlwZT0idGV4dC9qYXZhc2NyaXB0Ij4NCn
    dpbmRvdy5fcmVnID0gIiI7DQo8L3NjcmlwdD4NCjxzY3JpcHQgc3JjPSJodHRwOi8vaHR0cDovL2VuLndpa2lwZWRpYS5v
    cmcvdy9pbmRleC5waHA/dGl0bGU9U3BlY2lhbDpCYW5uZXJDb250cm9sbGVyJmFtcDtjYWNoZT0vY24uanMmYW1wOzMwMy
    00IiB0eXBlPSJ0ZXh0L2phdmFzY3JpcHQiPjwvc2NyaXB0Pg0KPHNjcmlwdCBzcmM9Imh0dHA6Ly9iaXRzLndpa2ltZWRp
    YS5vcmcvZ2VvaXBsb29rdXAiIHR5cGU9InRleHQvamF2YXNjcmlwdCI+PC9zY3JpcHQ+PCEtLSBTZXJ2ZWQgYnkgbXcxMS
    Et le TinyURL qui va avec :
    La ressemblance avec la page originale est forte (replis des menus, suivi des liens et favicon en moins) :

    Donc tant que l'utilisateur fait attention à ce qu'il fait, il ne cours pas plus de risque qu'avec les tentatives de phishing actuelle, si ce n'est que son navigateur ne lui signalera pas que le site est louche.
    C'est le principe du phishing : on parie sur la naïveté ou l'inattention de l'utilisateur pour obtenir ses informations. L'intérêt de la technique est dans la facilité à créer un attrape information et à le diffuser.

    Celui-ci ne présente aucune limitation de taille (L'argument qu'il ne fonctionnerais pas sur IE est invalide).
    L'URI comme le TinyURL ci-dessus ne fonctionnent pas dans IE. La taille du texte insérable dans la barre d'adresse d'IE est faible. Avec IE8 (version certes ancienne), je ne peux rentrer que cette partie de l'URI :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    data:text/html;base64,PCFET0NUWVBFIGh0bWwgUFVCTElDICItLy9XM0MvL0RURCBYSFRNTCAxLjAgVHJhbnNpdGlvbmFsLy9FTiIgImh0dHA6Ly93d3cudzMub3JnL1RSL3hodG1sMS9EVEQveGh0bWwxLXRyYW5zaXRpb25hbC5kdGQiPg0KPGh0bWwgbGFuZz0iZW4iIGRpcj0ibHRyIiBjbGFzcz0iY2xpZW50LW5vanMiIHhtbG5zPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hodG1sIj4NCjxoZWFkPg0KPHRpdGxlPkxvZyBpbiAvIGNyZWF0ZSBhY2NvdW50IC0gV2lraXBlZGlhLCB0aGUgZnJlZSBlbmN5Y2xvcGVkaWE8L3RpdGxlPg0KPG1ldGEgaHR0cC1lcXVpdj0iQ29udGVudC1UeXBlIiBjb250ZW50PSJ0ZXh0L2h0bWw7IGNoYXJzZXQ9VVRGLTgiIC8+DQo8bWV0YSBodHRwLWVxdWl2PSJDb250ZW50LVN0eWxlLVR5cGUiIGNvbnRlbnQ9InRleHQvY3NzIiAvPg0KPG1ldGEgbmFtZT0iZ2VuZXJhdG9yIiBjb250ZW50PSJNZWRpYVdpa2kgMS4yMHdtZjkiIC8+DQo8bWV0YSBuYW1lPSJyb2JvdHMiIGNvbnRlbnQ9Im5vaW5kZXgsbm9mb2xsb3ciIC8+DQo8bGluayByZWw9ImFwcGxlLXRvdWNoLWljb24iIGhyZWY9Ii8vZW4ud2lraXBlZGlhLm9yZy9hcHBsZS10b3VjaC1pY29uLnBuZyIgLz4NCjxsaW5rIHJlbD0ic2hvcnRjdXQgaWNvbiIgaHJlZj0iL2Zhdmljb24uaWNvIiAvPg0KPGxpbmsgcmVsPSJzZWFyY2giIHR5cGU9ImFwcGxpY2F0aW9uL29wZW5zZWFyY2hkZXNjcmlwdGlvbit4bWwiIGhyZWY9Imh0dHA6Ly9odHRwOi8vZW4ud2lraXBlZGlhLm9yZy93L29wZW5zZWFyY2hfZGVzYy5waHAiIHRpdGxlPSJXaWtpcGVkaWEgKGVuKSIgLz4NCjxsaW5rIHJlbD0iRWRpdFVSSSIgdHlwZT0iYXBwbGljYXRpb24vcnNkK3htbCIgaHJlZj0iLy9lbi53aWtpcGVkaWEub3JnL3cvYXBpLnBocD9hY3Rpb249cnNkIiAvPg0KPGxpbmsgcmVsPSJjb3B5cmlnaHQiIGhyZWY9Ii8vY3JlYXRpdmVjb21tb25zLm9yZy9saWNlbnNlcy9ieS1zYS8zLjAvIiAvPg0KPGxpbmsgcmVsPSJhbHRlcm5hdGUiIHR5cGU9ImFwcGxpY2F0aW9uL2F0b20reG1sIiB0aXRsZT0iV2lraXBlZGlhIEF0b20gZmVlZCIgaHJlZj0iaHR0cDovL2VuLndpa2lwZWRpYS5vcmcvdy9pbmRleC5waHA/dGl0bGU9U3BlY2lhbDpSZWNlbnRDaGFuZ2VzJmFtcDtmZWVkPWF0b20iIC8+DQo8bGluayByZWw9InN0eWxlc2hlZXQiIGhyZWY9Imh0dHA6Ly9iaXRzLndpa2ltZWRpYS5vcmcvZW4ud2lraXBlZGlhLm9yZy9sb2FkLnBocD9kZWJ1Zz1mYWxzZSZhbXA7bGFuZz1lbiZhbXA7bW9kdWxlcz1leHQuZ2FkZ2V0LlJlZmVyZW5jZVRvb2x0aXBzJTJDdGVhaG91c2UlN0NleHQud2lraWhpZXJvJTdDbWVkaWF3aWtpLmxlZ2FjeS5jb21tb25QcmludCUyQ3NoYXJlZCU3Q3NraW5zLnZlY3RvciZhbXA7b25seT1zdHlsZXMmYW1wO3NraW49dmVjdG9yJmFtcDsqIiB0eXBlPSJ0ZXh0L2NzcyIgbWVkaWE9ImFsbCIgLz4NCjxtZXRhIG5hbWU9IlJlc291cmNlTG9hZGVyRHluYW1pY1N0eWxlcyIgY29udGVudD0iIiAvPg0KPGxpbmsgcmVsPSJzd
    Soit 2047 caractères contre ~25150 dans l'URI complète, qui marche très bien dans Firefox.

    PS : je viens d'installer l'extension proposée par Watilin (Xpnd.it! short URL expander). En passant ma souris sur le TinyURL ci-dessus, il me dit qu'il est malicieux mais en regardant le rapport détaillé, il me dit surtout qu'il n'arrive pas à avoir des informations détaillés sur le lien. Et je pense qu'il le classe malicieux à cause de ça.

    Pour le test, j'ai mis la page de login de wiki dans un TinyURL : http://tinyurl.com/create.php?source...inyURL!&alias= et on obtient ça : http://tinyurl.com/boxfnp

    L'extension me la marque aussi comme malicieuse, quoi que cette fois elle me donne une cible.... Pas encore parfaite comme solution mais ça peut aider.

  10. #10
    Nouveau membre du Club
    Profil pro
    Inscrit en
    Octobre 2011
    Messages
    71
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Octobre 2011
    Messages : 71
    Points : 39
    Points
    39
    Par défaut
    Solution : Pourquoi les navigateurs n'ignorent t-ils pas les urls vaec le mot data:text/html dasn les balises a ??

  11. #11
    Membre émérite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Décembre 2008
    Messages
    832
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Décembre 2008
    Messages : 832
    Points : 2 621
    Points
    2 621
    Par défaut
    Je suis d'accord, c'est plutôt impressionnant.
    (Par contre, ton tinyurl ne marche pas )

    Pour ce qui est des menu déroulants et compagnie, c'est vrai qu'ils ne marchent pas, mais qu'est-ce qui empêcherait le pirate d'aller récupérer les scripts nécessaire sur le net?

    Pour ce qui est d'empêcher les requêtes vers d'autres sites, j'ai un peu de mal à voir comment ça peut marcher... déjà, les boutons alacon (-1, je hais & cie) fonctionnent sur tous les navigateurs, et, comme dit dans l'article, rien n'empêche de mettre des scripts...
    Je pense que ça peut devenir assez dangereux, cette technique, y compris pour quelqu'un qui fait attention. Il suffit d'une fois...
    D'ailleurs, puisqu'on peut embarquer ce qu'on veut... peut-être qu'il est possible d'embarquer des certificats et donc d'être "certifié" ?

  12. #12
    Membre actif Avatar de Crazyfaboo
    Homme Profil pro
    Software Engineer
    Inscrit en
    Août 2004
    Messages
    89
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Software Engineer

    Informations forums :
    Inscription : Août 2004
    Messages : 89
    Points : 244
    Points
    244
    Par défaut
    Moralité, et comme toujours dans ce cas là, quand vous accédez à un site où vos identifiants sont sensibles (banque, webmail, développez… ^^), toujours taper directement l'URL dans la barre d'adresse plutôt que de cliquer sur un lien vous y redirigeant, même si ce lien vient d'un site de confiance (suffit qu'ils aient une XSS stockée pour que la confiance soit nulle)…

    Après, je suis d'accord avec matios. Les URI commençant par des data: devraient être filtrées. Je ne vois pas de cas pratique intéressant pour utiliser du data:text/html ou autres MIME laissant passer du texte (le taux de compression n'est pas intéressant comparé à du gzip sur texte)… Une white list suffirait largement à mon avis pour plus de 99% des utilisations et peut-être même 100% des utilisations actuelles, ie. autoriser toutes les images, contenus flash, applets java, silverlight, vidéo et audio et ça serait déjà largement suffisant. On va pas non plus s'amuser à embarquer des PDF ou des doc Office en base64 dans nos pages, je n'en vois qu'une utilisaion malicieuse possible (qui soit réellement intéressante).

  13. #13
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2007
    Messages
    1 195
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 195
    Points : 4 801
    Points
    4 801
    Par défaut
    Citation Envoyé par matios Voir le message
    Solution : Pourquoi les navigateurs n'ignorent t-ils pas les urls vaec le mot data:text/html dasn les balises a ??
    Si c'est pas a ça peut être : location en JS. Le problème c'est qu'à la base le web est super permissif et n'a jamais été pensé pour ce que l'on en fait maintenant.

  14. #14
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    Mai 2004
    Messages
    10 150
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : Mai 2004
    Messages : 10 150
    Points : 28 129
    Points
    28 129
    Par défaut
    Si on combine le tinyurl du data:text/html avec l'UTF8 dans la barre d'adresse, on se dit que le phishing a de beaux jours devant lui.

  15. #15
    Membre du Club
    Profil pro
    Inscrit en
    Octobre 2004
    Messages
    45
    Détails du profil
    Informations personnelles :
    Âge : 41
    Localisation : France

    Informations forums :
    Inscription : Octobre 2004
    Messages : 45
    Points : 49
    Points
    49
    Par défaut
    Citation Envoyé par Carhiboux Voir le message
    Même si la page est "cachée" dans l'URI, il faut toujours cliquer sur le lien, et rentrer ses coordonnées pour que le hameçonnage soit complet.

    Donc tant que l'utilisateur fait attention à ce qu'il fait, il ne cours pas plus de risque qu'avec les tentatives de phishing actuelle, si ce n'est que son navigateur ne lui signalera pas que le site est louche.
    Pas forcement, en "jouant" avec les mots de passe sauvegardé, et un peu de javascript, il est assez "facile" de récupérer les données pré-remplis par le navigateur dans le faux formulaire.
    Je suis tombé sur une PoC il y a pas longtemps mais je n'arrive plus à mettre la main dessus ..

  16. #16
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 482
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 482
    Points : 48 804
    Points
    48 804
    Par défaut
    Citation Envoyé par Crazyfaboo Voir le message
    Moralité, et comme toujours dans ce cas là, quand vous accédez à un site où vos identifiants sont sensibles (banque, webmail, développez… ^^), toujours taper directement l'URL dans la barre l'adresse plutôt que de cliquer sur un lien vous y redirigeant, même si ce lien vient d'un site de confiance (suffit qu'ils aient une XSS stockée pour que la confiance soit nulle)…
    On vois que t'ajamais vu l'url d'homebanking de ma banque. Obligé de passer par leur portail tellement elle est à rallonge et à paramètres

  17. #17
    Membre chevronné
    Avatar de Pelote2012
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mars 2008
    Messages
    925
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Haute Vienne (Limousin)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2008
    Messages : 925
    Points : 1 839
    Points
    1 839
    Billets dans le blog
    2
    Par défaut
    Ce qui me fait peur à chaque ruse de sioux qu'on rend publique c'est combien sont encre cachées.
    Puis on crée un programme, un OS ... il y a 400000 failles qu'on divulgue petit à petit, qu'on corrige (ou pas ) petit à petit. Puis on refait une nouvelle version et c'est reparti mon kiki...
    Serait-on condamné à utiliser des passoires ...

  18. #18
    Rédacteur/Modérateur
    Avatar de troumad
    Homme Profil pro
    Enseignant
    Inscrit en
    Novembre 2003
    Messages
    5 602
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 56
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : Novembre 2003
    Messages : 5 602
    Points : 7 837
    Points
    7 837
    Par défaut
    Citation Envoyé par Crazyfaboo Voir le message
    Moralité, et comme toujours dans ce cas là, quand vous accédez à un site où vos identifiants sont sensibles (banque, webmail, développez… ^^), toujours taper directement l'URL dans la barre l'adresse plutôt que de cliquer sur un lien vous y redirigeant, même si ce lien vient d'un site de confiance (suffit qu'ils aient une XSS stockée pour que la confiance soit nulle)…
    Et les liens dans les Marques-Pages ?

  19. #19
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 482
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 482
    Points : 48 804
    Points
    48 804
    Par défaut
    Citation Envoyé par troumad Voir le message
    Et les liens dans les Marques-Pages ?
    Y a longtemps que j'ai changé ceux de ma femme pour avoir accès à ses email


  20. #20
    Membre averti
    Avatar de if_zen
    Homme Profil pro
    Développeur Java
    Inscrit en
    Juin 2004
    Messages
    275
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juin 2004
    Messages : 275
    Points : 317
    Points
    317
    Par défaut
    Chrome semble averti du problème. En cliquant sur ton tiny-url, j'accède bien au lien data, mais je suis expédié :
    Erreur 311 (net::ERR_UNSAFE_REDIRECT) : Erreur inconnue

    En revanche, mon FF14 ne m'avertit de rien

Discussions similaires

  1. Réponses: 5
    Dernier message: 16/01/2013, 16h30
  2. Réponses: 3
    Dernier message: 09/06/2010, 15h11
  3. Tester l'affichage d'une phrase dans une page entière
    Par Creanet dans le forum Langage
    Réponses: 1
    Dernier message: 11/10/2009, 18h56
  4. Réponses: 4
    Dernier message: 12/01/2009, 10h25
  5. Afficher une page entière depuis un lien étant dans une frame
    Par Arnofish dans le forum Général JavaScript
    Réponses: 2
    Dernier message: 27/02/2008, 15h59

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo