Discussion :

[Djug]

La fonctionnalité de sécurité d'Internet Explorer 8 est dangereuse

Selon Giorgio Maone, le développeur du module d'extension NoScript pour Firefox, la protection contre les attaques XSS (Cross-site scripting) introduite dans Internet Explorer serait dangereuse.



Selon Maone, qui n’a pas encore dévoilé les détails sur la cause du problème, « la cause est un défaut de conception fondamentales ».

Maone dit qu'il a découvert le problème lorsqu’il était avec d’autres développeurs en train d'analyser les divers mécanismes de protection XSS dans les navigateurs, et il ajoute qu'il ne va pas publier les détails de la faille que lorsqu’une solution sera trouvé.

Contrairement à NoScript, la protection contre les attaques XSS d’internet explorer8 filtre les réponses des serveurs plutôt que les requêtes des utilisateurs.

Cela permet aux attaquants de manipuler la réponse du serveur et d'injecter du code arbitraire. Toutefois, Maone a déclaré que l'attaquant doit avoir un certain contrôle sur le contenu de la page consultée par la victime. C'est, par exemple le cas sur les pages de réseaux sociaux, les forums, et les wikis et même Google Apps.

Mais Google, qui a déjà l’air de connaitre cette faille de sécurité, a désactive le filtre XSS d’Internet Explorer 8 en envoyant l’entête X-XSS-Protection: 0, ce qui élimine tout risque d’exploitation de la faille.

La protection contre les attaques de type Cross-site scripting a été à partir d'Internet Explorer 8.

Source

Et vous ? :

Faut-il continuer à utiliser Internet Explorer ?

Ou faut-il juste attendre la disponibilité d’une solution au problème ?

Qu’en pensez-vous ?

Voir aussi :

la rubrique sécurité

[danielhagnoul]

Faut-il continuer à utiliser Internet Explorer ? Non !

Il y a longtemps que je ne l'utilise plus que pour vérifier comment il massacre la page internet que j'ai fini de construire.

[fabrice91]

Il y a longtemps que je ne l'utilise plus que pour vérifier comment il massacre la page internet que j'ai fini de construire.

Pareil
Mais bon, pour avoir une large visibilité sur le net, il m'oblige à mettre des rustines sur ma page pour la compatibilité...

[sidev]

Même avec une bonne sensibilisation il serait difficile à l'utilisateur lambda de passer à un autre navigateur que IE ........

[chemanel]

Et il y a beaucoup de professionnels de l'informatique qui sont satisfait de IE aussi...

[sevyc64]

Et que dire des boites et des ingénieurs systèmes qui impose IE6 et interdit l'installation de tout autre navigateur.
Et après ils se plaignent qu'ils choppent des virus que des données ont été volées, ....

[chemanel]

Et que dire des boites et des ingénieurs systèmes qui impose IE6 et interdit l'installation de tout autre navigateur.
Et après ils se plaignent qu'ils choppent des virus que des données ont été volées, ....

Firefox n'est pas beaucoup mieux niveau sécurité... Le système d'extension est vraiment très très bancal la dessus...

http://www.developpez.net/forums/d83...e-jette-doute/

On en a déjà discuté sur un post ici , et ni69 a écris un très bon whitepaper la dessus : http://www.ni69.info/security-fr.php

Bref, tout les navigateurs ont leurs points faibles !

[Chuck_Norris]

Firefox n'est pas beaucoup mieux niveau sécurité... Le système d'extension est vraiment très très bancal la dessus...

Il suffit de faire attention à ce qu'on installe comme extension. C'est pareil sous Windows, si tu installes n'importe quoi, tu cours droit vers les problèmes. D'ailleurs même sous Linux je fais gaffe.

Mon firefox est sans extension, du pur natif et je ne trouve pas qu'il manque une quelconque fonctionnalité indispensable.

[thelvin]

Ce qui a déjà été dit sur ce même thread d'ailleurs.

Par ailleurs, je ne vois pas le rapport entre les problèmes de Firefox avec les extensions, et le fait que IE ouvre des failles pouvant être exploitées par n'importe quel site visité, sans interaction.
Firefox n'est certes pas parfait, mais ça peut se dire sans être incohérent.