Usurpation d'identité via javascript dans les navigateurs we

En amenant un internaute à cliquer sur un lien piégé pointant vers un site
de confiance mais commandant l'exécution d'un certain code javascript, il
est possible de lui laisser croire qu'une fenêtre pop-up ou qu'une boîte de
dialogue apparaissant au premier plan appartient au site de confiance alors
qu'elle appartient à un site tiers malveillant. Cette exploitation n'est pas
à proprement parler une faille des navigateurs mais peut être en théorie
utilisée pour soutirer à l'internaute des données sensibles ou pour afficher
un message qui serait faussement attribué au site de confiance. Tous les
navigateurs web sont concernés mais le risque est faible.
http://www.secuser.com/communiques/2005/050621_navigateurs.htm

Logiciels concernés!
Apple Safari
Microsoft Internet Explorer
Mozilla Camino
Mozilla Firefox
Mozilla Suite
Opera
autres
Compte tenu de la nature du problème, aucune solution complète n'est
attendue dans un avenir proche, aussi la sensibilisation des internautes est
un élément primordial. Il est en effet aisément possible de se prémunir
contre ce type d'attaque en suivant les conseils habituels : désactiver la
prise en charge de javascript et autres langages de script dans son logiciel
de messagerie, prendre l'habitude de ne jamais cliquer sur les liens
contenus dans les messages non sollicités reçus et éviter de surfer sur des
sites douteux en même temps que sur un site de confiance. Compte tenu du
faible niveau de risque la désactivation de javascript dans le navigateur
web n'est pas recommandée. Les utilisateurs du navigateur Opéra peuvent par
ailleurs installer la dernière version du logiciel depuis le site de
l'éditeur : pour tenter de remédier au problème dans le cas d'une boîte de
dialogue javascript, l'adresse du site d'origine y est indiquée en clair.
http://www.secuser.com/communiques/2005/050621_navigateurs.htm#correctif

ce reveil maintenant c'est pourtant pas nouveau