La fonctionnalité de sécurité d'Internet Explorer 8 est dangereuse
Selon Giorgio Maone, le développeur du module d'extension NoScript pour Firefox, la protection contre les attaques XSS (Cross-site scripting) introduite dans Internet Explorer serait dangereuse.
Selon Maone, qui n’a pas encore dévoilé les détails sur la cause du problème, « la cause est un défaut de conception fondamentales ».
Maone dit qu'il a découvert le problème lorsqu’il était avec d’autres développeurs en train d'analyser les divers mécanismes de protection XSS dans les navigateurs, et il ajoute qu'il ne va pas publier les détails de la faille que lorsqu’une solution sera trouvé.
Contrairement à NoScript, la protection contre les attaques XSS d’internet explorer8 filtre les réponses des serveurs plutôt que les requêtes des utilisateurs.
Cela permet aux attaquants de manipuler la réponse du serveur et d'injecter du code arbitraire. Toutefois, Maone a déclaré que l'attaquant doit avoir un certain contrôle sur le contenu de la page consultée par la victime. C'est, par exemple le cas sur les pages de réseaux sociaux, les forums, et les wikis et même Google Apps.
Mais Google, qui a déjà l’air de connaitre cette faille de sécurité, a désactive le filtre XSS d’Internet Explorer 8 en envoyant l’entête X-XSS-Protection: 0, ce qui élimine tout risque d’exploitation de la faille.
La protection contre les attaques de type Cross-site scripting a été à partir d'Internet Explorer 8.
Source
Et vous ? :
Faut-il continuer à utiliser Internet Explorer ?
Ou faut-il juste attendre la disponibilité d’une solution au problème ?
Qu’en pensez-vous ?
Voir aussi :
la rubrique sécurité
Partager