Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    4 615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 4 615
    Points : 120 531
    Points
    120 531

    Par défaut Après Google, Mozilla se prépare à apporter l'isolation de site à son navigateur Firefox

    Après Google, Mozilla se prépare à apporter l'isolation de site à son navigateur Firefox,
    avec son projet Fission

    L'Internet peut nous servir à différentes choses, par exemple nous pouvons regarder des vidéos de chats et gérer des portefeuilles de crypto-monnaie, entre autres. Mais ce que nous ne souhaitons pas c’est que chatbeaute.mignon puisse avoir accès à nos jetons.

    En général, les sites Web ne peuvent pas accéder aux données d'autres sites Web dans le navigateur grâce à la politique de même origine. Cependant, des sites malveillants peuvent essayer de contourner cette politique pour attaquer d'autres sites Web, et occasionnellement, des bogues de sécurité sont trouvés dans le code du navigateur qui applique la politique de même origine. L'équipe Chrome vise à corriger ces bogues le plus rapidement possible.

    Il faut rappeler que Chrome a toujours eu une architecture multi-processus dans laquelle différents onglets pouvaient utiliser différents processus de rendu. Un onglet donné peut même changer de processus lorsque vous naviguez vers un nouveau site dans certains cas. Cependant, il était toujours possible que la page d'un attaquant partage un processus avec la page d'une victime. Par exemple, les iframes intersites et les pop-ups inter-sites restent généralement dans le même processus que la page qui les a créés. Cela permettrait à une attaque par Spectre réussie de lire des données (par exemple, des cookies, des mots de passe, etc.) appartenant à d'autres cadres ou fenêtres contextuelles dans son processus.

    L'isolation de site est une fonctionnalité de sécurité de Chrome qui offre une ligne de défense supplémentaire pour que ces attaques soient moins susceptibles de réussir. Elle garantit que les pages de différents sites Web sont toujours placées dans des processus différents, chacun s'exécutant dans un bac à sable qui limite ce que le processus est autorisé à faire. Cela empêche également le processus de recevoir certains types de données sensibles provenant d'autres sites. Par conséquent, avec l’isolation de site, il est beaucoup plus difficile pour un site Web malveillant d'utiliser des attaques par canal latéral spéculatives comme Specter pour voler des données provenant d'autres sites.

    Nom : isolation_de_site.png
Affichages : 3914
Taille : 16,7 Ko

    Lorsque l'isolation du site est activée, chaque processus de rendu contient des documents provenant d'au plus un site. Cela signifie que toutes les navigations vers des documents intersites provoquent un changement d'onglet dans les processus. Cela signifie également que toutes les iframes intersites sont placées dans un processus différent de leur cadre parent, en utilisant des iframes hors processus. Le fractionnement d'une seule page sur plusieurs processus est un changement majeur dans le fonctionnement de Chrome, et l'équipe de sécurité de Chrome poursuit cette démarche depuis plusieurs années, indépendamment de Specter. Les premières utilisations d'iframes hors processus livrées l'année dernière pour améliorer le modèle de sécurité de l'extension Chrome.

    Dans Chrome 67, l'isolation du site a été activée pour 99% des utilisateurs sous Windows, Mac, Linux et Chrome OS. Compte tenu de l'ampleur de ce changement, Google a décidé de maintenir pour l'instant une retenue de 1% pour surveiller et améliorer les performances. Cela signifie que même si une attaque Spectre devait survenir sur une page Web malveillante, les données d'autres sites ne seraient généralement pas chargé dans le même processus, et il y aurait donc beaucoup moins de données disponibles pour l'attaquant. Cela réduit considérablement la menace posée par Specter.

    Firefox va officiellement se mettre à l’isolation à son tour

    Après une année de préparations secrètes, Mozilla a annoncé son intention d'implémenter une fonctionnalité d'isolation de site.

    La fonctionnalité d'isolation de site de Chrome a été conçue comme un mécanisme de sécurité pour le navigateur Chrome des années avant sa publication, mais son déploiement a coïncidé avec la divulgation publique des défauts de processeur Meltdown et Specter, que Site Isolation a totalement atténué, même si cela n'a jamais été son objectif principal. .

    Mozilla, qui a également fourni les correctifs Meltdown et Specter sous la forme de réduction de la précision de diverses fonctions JavaScript dans Firefox, a estimé que l'approche de Google en ce qui concerne les défauts du processeur était supérieure, car elle permettait également d'éviter de futurs exploits similaires et de nombreux autres problèmes de sécurité.

    Nika Layzell, développeur de Mozilla, a déclaré que la Fondation avait commencé à travailler sur un mécanisme similaire d'isolation de site l'année dernière dans le cadre d'un projet portant le nom de code interne Project Fission.

    Citation Envoyé par Nika Layzell
    Au cours de la dernière année, nous avons travaillé à développer les bases de Fission en concevant de nouvelles infrastructures. Dans les semaines et les mois à venir, nous aurons besoin de l’aide de toutes les équipes de Firefox pour adapter notre code à une architecture de navigateur post-Fission.
    L’architecture de navigateur post-Fission à laquelle Layzell fait référence est semblable au fonctionnement actuel de Chrome. Les développeurs de Mozilla, eux aussi, prévoient d'isoler chaque site Web auquel l'utilisateur accède dans un processus séparé.

    Actuellement, Firefox est livré avec un processus pour l'interface utilisateur du navigateur et quelques processus (deux à dix) pour le code Firefox pour le rendu des sites Web.

    Avec Project Fission, ces derniers processus seront modifiés et un processus distinct sera créé pour chaque site Web auquel l'utilisateur accède.

    Cette séparation sera si fine que, comme dans Chrome, s’il existe un iframe sur la page, il recevra également son propre processus, protégeant ainsi les utilisateurs des menaces qui cachent du code malveillant dans des iframes (éléments HTML chargés sites Web à l'intérieur du site Web actuel).

    La Fondation se donne déjà un premier délai

    Citation Envoyé par Nika Layzell
    Notre premier jalon, "Milestone 1" est actuellement prévu pour la fin février. À partir de Milestone 1, nous prévoyons de préparer le terrain pour les iframes hors processus, qui englobent certains travaux importants, notamment les contributions suivantes:

    • : rhunt implémente le rendu iframe hors processus de base derrière un préf.
    • : jdai implémente les API natives JS Window Actor pour migrer FrameScripts.
    • : farre ajoute la prise en charge des champs BrowsingContext à synchroniser entre plusieurs processus de contenu.
    • : peterv implémente de nouveaux objets WindowProxy de traitement croisé afin d’émuler correctement les API d’objet Window exposées aux documents d’origine croisée.
    • : mattn convertit le code FormAutoFillListeners en infrastructure d'acteurs.
    • : felipe simule l'API Fission pour la communication entre les processus parent et enfant.
    • : heycam travaille sur le partage de feuilles de style UA entre processus.
    • : kmag,: erahm et de nombreux autres réduis par surcharge de mémoire par processus
    • : jld travaille sur le lancement de processus asynchrones
    • : dragana,: kershaw et d'autres déplacent la logique de réseau dans un processus de socket.
    • ...et bien plus!
    Source : Billet Nika Layzell

    Et vous ?

    Que pensez-vous de ce projet ?

    Voir aussi :

    Firefox 66 va bloquer la lecture automatique des médias joués avec du son, une mesure jugée insuffisante par les internautes
    Firefox 65 disponible avec le support du format WebP et du codec ouvert AV1 qui promet une meilleure compression vidéo que les concurrents
    Mozilla désactivera le plugin Flash par défaut dans Firefox 69 conformément à sa feuille de route, la suppression totale du support prévue pour 2020
    Firefox 65 promet une sécurité accrue sur Linux, Android et macOS et apporte le support du format WebP de Google pour un Web plus rapide
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    1 122
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 1 122
    Points : 2 454
    Points
    2 454

    Par défaut

    je pensais que quantum le faisais deja moi... mal du comprendre une news

Discussions similaires

  1. Réponses: 19
    Dernier message: 14/02/2013, 15h49
  2. Réponses: 14
    Dernier message: 21/01/2011, 13h04
  3. Réponses: 13
    Dernier message: 21/01/2011, 12h15
  4. Réponses: 12
    Dernier message: 20/05/2010, 10h27
  5. Réponses: 0
    Dernier message: 17/07/2009, 12h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo