Google et Mozilla se prémunissent contre les failles du Web 2.0
L’un renforce les procédures d’authentification de ses services en ligne, l’autre instaure une technologie de validation des services web dans une mouture expérimentale de Firefox.
01net.
le 05/10/2009 à 18h16
Face aux risques liés au Web 2.0, Google et Mozilla ont décidé de mettre en œuvre de nouveaux mécanismes de sécurité dans leurs produits ou services. Selon notre confrère The Register, le moteur de recherche a renforcé la protection de ses services en ligne – tel que Gmail – contre les attaques dites de Cross-site request forgeries (CSRF). Ces attaques utilisent des sessions d'utilisateur authentifié, soit pour exécuter du code malicieux, soit pour accéder à des informations privées. Selon la revue, pour contrer ces tentatives malveillantes, Google dépose désormais chez chaque utilisateur un cookie supplémentaire, servant à vérifier plus fréquemment qu'avant l'identité de l'utilisateur.
De son côté, la fondation Mozilla intègre désormais dans une version d'essai de Firefox la technologie Content Security Policy, qu'elle teste depuis quelques mois et qui fournit une protection contre les attaques dites de Cross-site Scripting (CSS). Les webmasters peuvent, grâce à elle, créer une liste blanche de domaines autorisés à être appelés par les navigateurs, lors d'une visite sur leur site. Cette version de Firefox intégrant le CSP est d'ores et déjà disponible au téléchargement. Elle peut être testée sur une page de démonstration que Mozilla a également mis en ligne.
