samedi 6 février 2010

Google, firefox et clickjacking

Le clickjacking est une technique ancienne permettant de tromper l'utilisateur: il pense cliquer sur un lien, mais cela l'envoie vers une autre URL.

Le clickjacking le plus basique consiste à différencier le HREF du lien pointé par exemple en indiquant:
<a href="http://www.evil.com/">http://innocent.com</a>
et l'utilisateur inconséquent pensera aller sur innocent.com. Toutefois, les utilisateurs avisés surveillent la barre du bas de leur navigateur qui indique le lien réellement pointé.

Il semble que Google vient de mettre un système de clickjacking particulièrement efficace lorsque vous êtes sous firefox (testé sous Mac et windows, Safari sous Mac ne semble pas impacté, IE non testé).

Voici une page de résultat classique avec le lien qui s'affiche lorsque je passe la souris sur un lien de résultat:

On voit que le lien pointé 'adwords.google.com' correspond bien au lien affiché.

Voici le lien qui change dès l'instant ou je clique dessus; un clic droit -> Copier la cible du lien sous enregistre bien l'URL "googlisé".
Le lien complet est:
http://www.google.fr/url?sa=t&source=web&ct=res&cd=1&ved=0CAcQFjAA&url=http%3A%2F%2Fadwords.google.com%2F&rct=j&q=google+click&ei=rlttS-XZBom04gbM_LyqBw&usg=AFQjCNHpRZBbV_ZQDlEK2yop_qrx1e0uJg

La raison en est dûe à un bout de javascript qui joue sur le onmousedown :


C'est efficace, mais cela est tout de même un peu effrayant. A partir du moment ou google utilise
cette méthode, cela signifie deux choses:

1/
Google traque nos données, ça on le sait. La nouveauté c'est que Google traque également les clics sur ses résultats de recherche. Il y a le même mécanisme sur google news. Je pense que google doit faire des stats pour connaître les liens les plus cliqués: s'agit t'il des liens en première page? En deuxième page?

2/
Si google peut faire ça, tout le monde peut le faire avec un bout de javascript. Comment avoir confiance dans les liens sur lesquels on clique?

Peut-être un rapport de bug à remonter à Mozilla corp?

EDIT 07/02/2010: Le bugreport existe déjà. https://bugzilla.mozilla.org/show_bug.cgi?id=229050 et il est bien fait mention de google dans les dernières activités. Ceci dit, le bug a été ouvert en ... 2003.

1 commentaire:

  1. Trop peu de commentaire sur ce blog très intéressant que je viens de découvrir. Vous venez de "gagner" un lecteur ;-)

    RépondreSupprimer