 |
Emploi
|
|
Start-up
|
|
Evénements 01 | |
Avis d'expert | |
Vidéos | |
Indicateurs
|
|
Distribution
|
|
Telecharger Pro
|
|
Livres blancs | |||||||||||||||||||||
Mozilla veut bloquer l'exécution des javascripts malveillants
par mail
l'article
En quelques années, la manière de construire des pages Web a beaucoup évolué. La page HTML (*) d'aujourd'hui – autrement dit la page Web 2.0 – est une collection de petits scripts et de codes exécutables provenant de multiples endroits de la Toile.
Par exemple, la page pourra comporter une publicité provenant d'un adserver, un script de mesure d'audience provenant d'un Google Analytics ou d'un Xiti, une vidéo hébergée chez YouTube ou encore une API Google Maps, etc. Une autre caractéristique du Web 2.0 est d'offrir la possibilité aux internautes de s'exprimer sur les sites,Cr de laisser des commentaires, autrement dit d'avoir la capacité de modifier les pages.
Ces deux composantes sont à l'origine de nouvelles vulnérabilités que l'on appelle cross-site scripting (XSS). Pour les cybercriminels, cette technique consiste à poster un message dans un forum ou dans un formulaire accompagné d'un javascript malveillant. Si le site est mal sécurisé, lors de la visite d'un autre internaute sur cette même page, ce script s'exécutera dans le but de lancer des actions potentiellement dangereuse pour le visiteur : lancement d'une commande sur un site d'e-commerce, récupération d'un mot de passe, téléchargement d'un malware, etc.
Une liste blanche dans un futur Firefox
Pour réduire le potentiel de nuisance de ces menaces, la fondation Mozilla vient de dévoiler dans un billet, sur son blog sécurité, une technologie baptisée Content Security Policy (CSP). Encore expérimentale mais déjà bien aboutie, comme en témoignent ses spécifications, celle-ci permettrait aux webmasters de créer une liste blanche des domaines autorisés à être appelés par le navigateur, lors d'une visite sur leur site.
Grâce à celle-ci, ils pourront par exemple autoriser uniquement les domaines de Google et de YouTube à être appelés par des scripts et bloquer l'exécution de tous les autres. « Notre ambition est d'intégrer cette technologie dans une prochaine version de Firefox, pas la 3.5, mais dans une version ultérieure. A terme, nous aimerions que d'autres navigateurs l'adoptent également, pour plus de sécurité sur le Web », explique Tristan Nitot, président de Mozilla Europe.
Pour Thibault Koechlin, responsable du pôle sécurité au cabinet d'experts en sécurité informatique NBS System, « L'idée est bonne mais pas nouvelle puisqu'il existe déjà un plug-in noScript pour Firefox, pour une fonctionnalité similaire. Et pour que la technologie soit efficace, il faut que les webmasters l'utilisent, ce qui n'est jamais certain… »
* Article modifié le 25 juin 2009 : nous avons corrigé une coquille (HTLM à la place de HTML), merci à l'attentif lecteur qui nous a signalé cette erreur.
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
