Le relooking était nécessaire de toutes façons et c'est une bonne chose que ce soit fait :-)
Pour le certificat ou l'image, à voir parce qu'en utilisant plusieurs pcs, c'est un peu pénible à gérer ça, non ??
Attention au vol de cookie ! Il faut que site d'authentification n'est pas de faille XSS.
La mise en place d'un certificat SSL est une solution intéressante effectivement.
La solution de l'image cookie était en place depuis un moment, mais disons que le design du site ne la mettait pas en évidence.
@lordphoenix : merci pour le lien, je ne connaissais pas.
@NiCoS : personnellement j'ai 2 machines sur lesquelles je suis susceptible d'utiliser OpenID, après le public n'est pas forcément geek non plus...
@haypo : XSS est assez documenté maintenant, je pense (et j'espère !) que de telles failles ont été testées. De toute façon, lorsqu'on s'intéresse au phishing c'est la première chose à laquelle on pense.
Bah, même avec une XSS, ça devient plus complexe quand même. Ca veut dire qu'il faut viser quelqu'un particulièrement, préalablement arriver à lui faire exécuter le XSS sur son provider openid, puis après arriver à l'envoyer sur le faux site pour lui demander son login.
Je ne suis pas en train de dire que ce n'est pas possible ou que ce n'est pas très grave si ça arrive, mais ça implique de cibler une personne particulièrement et pas d'avoir un exploitation en masse. Ca implique aussi une exploitation qui n'est pas forcément facile.
Bref, des failles nous en aurons, comme dans toutes les applications. Là on a paré le problème principal, celui qui est exploitable en aveugle.
L'idée de l'image est exploitée en test depuis quelque temps par yahoo (ils appellent ca sign-in seal), mais ca pose une tonne de problèmes. Si on éduque l'utilisateur à se méfier quand il ne voit pas l'image, alors il aura le reflexe de se méfier à des mauvais moments (cookies nettoyés, nouveau navigateur, etc).
Et sur les PCs ou plein de monde circule (bibliothèques, cybercafés, etc) c'est risqué de laisser l'image dans un cookie, l'utilisateur croit qu'en se déconnectant c'est bon son compte est à l'abri, mais pas de bol le cookie est resté et peut être récupéré par quelqu'un ensuite. Il ne reste plus à ce quelqu'un qu'a mettre l'image sur un faux site pour feinter l'utilisateur quand il reviendra... Bien sur, c'est tiré par les cheveux, mais c'est quand même vachement problématique, je trouve.
Ca implique aussi une exploitation qui n'est pas forcément facile.
Mais, l'utilisation d'un certificat SSL client ne protège PAS contre le phishing.
Un site contrefait peut très bien accepter une authentification par certificat SSL client.
En revanche, pour se protéger du phishing, un site en https avec un certificat SSL serveur, certifié par une AC reconnue chargée dans le navigateur du client (Thawte, Verisign...), serait une bonne option.
à noter cette adresse : openiddirectory.com/ qui recense des sites utilisant OpenID