IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

« HTML5 va créer de nombreuses occasions pour les cybercriminels »


Sujet :

Sécurité

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 570
    Points : 252 332
    Points
    252 332
    Billets dans le blog
    118
    Par défaut « HTML5 va créer de nombreuses occasions pour les cybercriminels »
    « HTML5 va créer de nombreuses occasions pour les cybercriminels »
    selon un chercheur en sécurité de Trend Micro

    HTML5, le futur standard du Web qui tend à mettre fin à l’utilisation des plug-ins comme Flash ou Silverlight va également ouvrir la voie à une nouvelle génération de malwares.

    La norme déjà largement adoptée par les éditeurs de navigateurs et les outils de création va créer de nombreuses occasions pour les cybercriminels, selon Robert McArdle, un chercheur en sécurité senior pour Trend Micro.

    Lors de sa Keynote pendant la conférence B-Sides de Londres sur la sécurité, McArdle a expliqué comment la norme pourrait être utilisée pour lancer des attaques à partir du navigateur.

    La plupart des scénarios d’attaque présentés par l’expert en sécurité utilisent le JavaScript pour créer des botnets résidants en mémoire pouvant envoyer des Spams, lancer des attaques par déni de service ou pire.

    De plus, HTML5 donnera une plus grande ouverture aux pirates. Parce que les attaques seront basées sur le navigateur, n’importe quel script malveillant pourra donc s’exécuter autant sur des ordinateurs Mac OS X que sur des smartphones Android ou tout autre système d’exploitation.

    McArdle déclare par ailleurs que le code JavaScript malveillant est très facile à masquer, afin de contourner assez simplement les passerelles réseau, et les attaques HTTP basées sur le langage passent également facilement à travers la plupart des pare-feu.

    Néanmoins, McArdle voit en HTML5 une plateforme ayant bien plus d’avantages que d’inconvénients. « Les bonnes choses en HTML5 l’emportent sur les mauvaises. Nous n’avons pas encore vu des utilisations malveillantes du standard, mais il est bon de penser à l’avance à développer des défenses » conclut McArdle.


    les scénarios d'attaques HTML5

    Source : conférence B-Sides, Billet de Robert McArdle sur la sécurité de HTML5


    Et vous ?

    Qu'en pensez-vous ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Expert confirmé
    Avatar de Loceka
    Profil pro
    Inscrit en
    mars 2004
    Messages
    2 274
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2004
    Messages : 2 274
    Points : 4 757
    Points
    4 757
    Par défaut
    Et il a expliqué en quoi ces attaques javascript étaient possibles en HTML 5 et pas en 4 ?

    Parce que pour moi, si le point faible c'est javascript, ces attaques devraient être aussi efficace actuellement que dans la nouvelle version de HTML.

  3. #3
    Membre chevronné

    Profil pro
    Account Manager
    Inscrit en
    décembre 2006
    Messages
    2 301
    Détails du profil
    Informations personnelles :
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Account Manager

    Informations forums :
    Inscription : décembre 2006
    Messages : 2 301
    Points : 1 751
    Points
    1 751
    Par défaut
    Très bonne remarque !!!

  4. #4
    Membre extrêmement actif

    Profil pro
    Grand Timonier des Chats
    Inscrit en
    décembre 2011
    Messages
    879
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Grand Timonier des Chats

    Informations forums :
    Inscription : décembre 2011
    Messages : 879
    Points : 3 266
    Points
    3 266
    Par défaut
    En même temps, ce n'est pas comme si Flash n'a jamais eu de failles

  5. #5
    Membre à l'essai
    Profil pro
    Étudiant
    Inscrit en
    décembre 2009
    Messages
    28
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2009
    Messages : 28
    Points : 21
    Points
    21
    Par défaut
    Quand on parle d'HTML5 en général on parle aussi des nouveautés javascript

  6. #6
    Expert confirmé Avatar de DonQuiche
    Inscrit en
    septembre 2010
    Messages
    2 741
    Détails du profil
    Informations forums :
    Inscription : septembre 2010
    Messages : 2 741
    Points : 5 459
    Points
    5 459
    Par défaut
    Citation Envoyé par MiaowZedong Voir le message
    En même temps, ce n'est pas comme si Flash n'a jamais eu de failles
    Oui mais le Flash ça se bloque sans que ce soit gênant. Dans cinq ans bloquer le canvas reviendra à bloquer les trois quarts du contenu html.

  7. #7
    Expert confirmé
    Avatar de Thes32
    Homme Profil pro
    Développeur PHP, .Net, T-SQL
    Inscrit en
    décembre 2006
    Messages
    2 379
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur PHP, .Net, T-SQL

    Informations forums :
    Inscription : décembre 2006
    Messages : 2 379
    Points : 4 850
    Points
    4 850
    Par défaut
    Citation Envoyé par Loceka Voir le message
    Et il a expliqué en quoi ces attaques javascript étaient possibles en HTML 5 et pas en 4 ?

    Parce que pour moi, si le point faible c'est javascript, ces attaques devraient être aussi efficace actuellement que dans la nouvelle version de HTML.
    Oui mais le Javascript est beaucoup plus développé qu'en 4, les nouvelles fonctionnalités comme le web offline, local storage, local file access par exemple...
    Développeur | Zend Certified Engineer

    Étapes Pour mieux se servir du forum:
    1. Commencez par lire les cours et tutoriels ;
    2. Faites une recherche;
    3. Faites un post si rien trouvé dans les deux étapes précédentes en respectant les règles;

    Nix>_Rien n'est plus pratique que la théorie

  8. #8
    Invité
    Invité(e)
    Par défaut
    Selon moi, et ce n'est qu'un avis personnel, si l'on n'y prend pas garde, on va se retrouver au même point qu'à la fin des années 90 avec des pages Web qui commençaient à devenir plus riches mais présentaient beaucoup plus de risques d'exploitation de failles.

    Quand on voit par exemple les API qui seraient possibles en HTML5 comme l'accès aux fichiers, les développeurs se doivent d'être extrêmement prudents. Et vu qu'aujourd'hui, la mode est à l'intégration de services (Facebook pour ne citer que lui), on s'expose à des risques de failles qui proviennent non pas de son site, mais des autres aussi.

    Je suis donc assez méfiant envers tout ce buzz qui entoure le HTML5 et j'espère que les considérations sur la sécurité sont aussi à l'ordre du jour au lieu d'un tapage plutôt "marketing" (on voit déjà des termes ridicules comme "Web 3.0").

  9. #9
    Membre émérite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2008
    Messages
    831
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : décembre 2008
    Messages : 831
    Points : 2 619
    Points
    2 619
    Par défaut
    Citation Envoyé par Squeak Voir le message
    (on voit déjà des termes ridicules comme "Web 3.0").
    J'ai pas encore croisé ce terme, mais si jamais je le croise, je pense que je ne pourrai y répondre qu'avec mon pote cynisme...
    Le web "2.0" me blase de plus en plus, et je m'aperçois que la plupart des informations utiles que j'arrive à récupérer se trouvent sur des sites classiques dont le type existant avant l'avènement de ce fichu 2.0 comme les forums.

    Le web moderne me semble de plus en plus plastifié et pré-digéré, avec le fameux effet "bulle" dont certains parlent. Un bel exemple de ce nouveau "web" est la refonte de jamendo que j'ai découverte il y 3 jours. Un site qui était relativement accessible (quoiqu'avec quelques légers bugs tout de même) et sobre est devenu inutilisable, lent, lourd et "joli" (question de goût, mais perso, j'aime pas).
    On le dirait "optimisé" pour les tablettes en fait.

    Bon, le sujet n'est pas cette refonte, mais je trouve que c'est un magnifique exemple de ce qui se fait de plus en plus.
    A moins que je ne sois le seul à trouver plus dommageable qu'autre chose cette propension à alourdir les pages pour d'inutiles effets graphiques...

    PS: avant de vouloir sortir des standards pour augmenter les fonctionnalités, je me demande si ça ne serait pas mieux d'avoir plus de sites qui respectent l'existant? Parce que sinon ça donne ce genre de résultats au validateur ou plutôt, manque de résultats...

    PPS: désolé pour le post qui fait très "coup de gueule"

  10. #10
    Membre actif
    Homme Profil pro
    Développeur Web
    Inscrit en
    mai 2011
    Messages
    66
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Madagascar

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2011
    Messages : 66
    Points : 200
    Points
    200
    Par défaut
    Les bonnes choses en HTML5 l’emportent sur les mauvaises
    C'est une conclusion qui convient parfaitement. Je pense que les problèmes qui ont été évoqués et exposés ne sont que des avertissements pour les développeurs.
    Un message qui dit simplement de prendre en compte les mesures de sécurité face aux nombreuses nouveautés du HTML5. C'est vrai que lorsqu'on découvre de nouveaux outils, il y a des développeurs qui se pressent de les utiliser sans faire suffisamment attention.
    C'est donc une façon de ne pas refaire les mêmes erreurs du passé essayant de prévoir les problèmes au lieu de rectifier après coups.

  11. #11
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : avril 2010
    Messages : 1 229
    Points : 3 551
    Points
    3 551
    Par défaut
    Citation Envoyé par Freem Voir le message
    J'ai pas encore croisé ce terme, mais si jamais je le croise, je pense que je ne pourrai y répondre qu'avec mon pote cynisme...
    On utilise le terme Web 3.0 pour parler du web sémantique (ou web de données)
    "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla

    Je soutiens Diaspora*, le réseau social libre.

    Veillez à porter une attention toute particulière à l'orthographe...

    Blog collaboratif avec des amis : http://geexxx.fr

    Mon avatar a été fait par chiqitos, merci à lui !

  12. #12
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    847
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 847
    Points : 1 846
    Points
    1 846
    Par défaut
    HTML5 cré des failels de sécurité car il permet beaucoup de chose complex comme la crétion de websocket, de base de donnée local... bref tout ce qu'il faut pour faire un logiciel qui communique avec l'extérieur alors qu'avant il falait pénétré le système pour faire ce genre de chose javascript ne permettait pas de faire grand chose (à part des opérations arythmétique / et une modification visuel de la page).

    Par contre HTML5 va concentrer les potentiels faille dans le navigateurs qui est plus facilement à jour que flash / java et autres.

    Il permet de répondre à un besoin tout en simplifiant la vie.
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  13. #13
    Membre à l'essai
    Profil pro
    Inscrit en
    février 2008
    Messages
    9
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations forums :
    Inscription : février 2008
    Messages : 9
    Points : 14
    Points
    14
    Par défaut Armure de protection encore plus lourde
    J'admire toute la complexité la richesse et le potentiel des applications WEB (libs javascript, html4/5/6 etc...).

    Je ne suis pas un développeur au niveau web - donc ignorant de ce monde. Mais je connais quelques librairies comme JQuery(-UI) et PrototypeJS ansi que les bases du principe AJAX.

    Depuis l'existence même du WEB riche - lire: AJAX, Modèle contrôleur-view etc.. Il semble que la sécurité est rendue tellement lourde, et que le navigateur( ses sous-API exécutables ) des mobiles, tablettes et 'desktops' en a pris une trop grande place et ses responsabilités deviennent trop grandes. Si ce ne sont pas les navigateurs, ce sont les protocoles, toujours en javascript ou html AJAX sous la plateforme.

    Même .NET avec VBScript(.NET), client-C#, client-ASP(.NET) se transforment tous en javascript sous le navigateur (DLL de iExplorer entres autres) en finale!

    Pour la simple raison que le serveur 'distant' utilise et ne 'parle' qu'en 'HTML'

    D'une part, je m'en réjoui puisque je suis en plein développement d'un système intranet/extranet qui n'utilise aucuns protocoles html/ajax/js. C'est du pure C/C++ ayant son propre protocole de communication dans la couche application de TCP/IP.

    D'autre part, je ne peux qu'être vraiment déçu et désillusionné de constater que toute cette beauté riche du web soit si fragile, mais surtout que l'humanité est capable d'être si créatrice dans le crime. Je ne serais pas surpris d'apprendre que des grandes corporations soient derrière des 'spams', crackers, et autres contrats de vols d'informations sous l'espoinage indutriel, etc..

    Allez, bon codage en C/C++ et soyez prudents!!!

    Merci d'être indulgent envers mon français

  14. #14
    Membre confirmé Avatar de Inazo
    Profil pro
    Gérant - société de développement web
    Inscrit en
    avril 2007
    Messages
    417
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Gérant - société de développement web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2007
    Messages : 417
    Points : 617
    Points
    617
    Par défaut
    Bonjour,

    je vous invite aussi à lire ceci : 2011 02-07-html5-security-v1@@AMEPARAM@@ssplayer2.swf?doc=2011-02-07-html5-security-v1-120208093825-phpapp02&stripped_title=2011-0207html5securityv1@@AMEPARAM@@2011-02-07-html5-security-v1-120208093825-phpapp02@@AMEPARAM@@2011-0207html5securityv1

    Une présentation sur HTML 5 et la sécurité, on apprend des choses intéressantes qui rejoignent l'idée que HTML 5 va faciliter certaines attaquent et laisser la possibilité d'en créer de nouvelles (sur du full JS).

    Cordialement,

  15. #15
    Membre éprouvé
    Profil pro
    Développeur Web
    Inscrit en
    février 2008
    Messages
    1 088
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : février 2008
    Messages : 1 088
    Points : 938
    Points
    938
    Par défaut
    C'est quoi le web sémantique ?
    (Gloops, Gluups ... c'est un peu pareil)

  16. #16
    Membre averti

    Profil pro
    Inscrit en
    octobre 2006
    Messages
    67
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : octobre 2006
    Messages : 67
    Points : 408
    Points
    408
    Par défaut
    L'évolution vers HTML5 me parait irrévocable. En tout cas dans ma boite, la pression pour introduire des applications HTML5 est forte. Et ce, malgré que la stratégie proclamée est plutôt restrictive pour ce qui concerne les nouvelles technologies.

    Le fait que HTML5 est souvent lié aux tablettes et autres mobiles n'est certainement pas étranger à l'engouement pour HTML5. Ce nouveau standard profite de la vague de l'iPad, même s'il n'y a aucun lien entre eux!

    Quant à l'aspect sécurité, il est évidemment inquiétant. Ce d'autant que certaines nouvelles possibilités, comme l'accès à d'autre domaines ou le stockage local, n'est pas forcément utilisés dans toutes les applications. Il faudrait que les navigateurs permettent de conserver ces contraintes, et de les lever seulement avec l'accord de l'utilisateur.

Discussions similaires

  1. Réponses: 0
    Dernier message: 15/02/2012, 23h18
  2. comment créer un repo local pour les module perl
    Par Eti38 dans le forum Modules
    Réponses: 1
    Dernier message: 24/11/2011, 13h52
  3. Créer des raccourcis claviers pour les events.
    Par christophertux dans le forum Windows Presentation Foundation
    Réponses: 6
    Dernier message: 10/08/2009, 17h10
  4. Créer des fichiers log pour les pages web visitées hors ligne
    Par AprilD dans le forum Général JavaScript
    Réponses: 9
    Dernier message: 23/03/2008, 23h01
  5. Créer un paragraphe "commentaire" pour les visiteurs du site
    Par gordi dans le forum Balisage (X)HTML et validation W3C
    Réponses: 7
    Dernier message: 16/10/2007, 23h50

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo