En utilisant le Javascript, des liens peuvent être modifiés de telle façon que même l'utilisateur le plus attentif ne le verrait pas. Cela peut être exploité par des pirates afin de créer des poison links et attirer les utilisateurs vers des pages web qu'ils n'avaient pas l'intention de visiter. Le blogueur et développeur Bilawal Hameed, qui a découvert cette vulnérabilité, le décrit comme un nouvel outil pour les phishers.
Même en pensant la souris au-dessus du lien on voit le lien ciblé comme dans son exemple. En cliquant dessus par contre, on déclenche un événement onclick qui sert à détourner l'utilisateur vers une autre URL.
Il suffit de quelques lignes de code pour mettre en œuvre ce subterfuge :
var links = document.links;
for(i in links) {
links[i].onclick = function(){
this.href = 'http://bit.ly/141nisR';
};
}Intégrer ce script est un jeu d'enfant. Hameed a donc informé Mozilla (et d'autres éditeurs de navigateurs) de sa découverte mais n'a pas encore reçu de réponses. Selon les "rumeurs sur Internet", Google travaille déjà sur un patch. Opera est actuellement le seul navigateur où ce trick ne fonctionne pas.
Hameed a suggéré d'avertir les utilisateurs quand la localisation d'un lien change d'un domaine vers un autre. Jusqu'à ce que la vulnérabilité soit corrigée, les utilisateurs doivent vérifier qu'ils arrivent bien sur le lien donné. Hameed a initialement suggéré au W3C de désactiver la possibilité pour l'attribut href d'être changé après un événement onclick mais des sites comme Google et Facebook utilisent cette capacité. Il a depuis retiré cette proposition et est parti de l'idée d'avertir les utilisateurs des modifications de lien.
Jeu de briques
Snake
Pacman
Bubble