Discussion :

[Gordon Fowler]

Firefox : Mozilla présente une idée pour révolutionner la sécurité du Web
Les sites pourront définir eux-mêmes les contenus légitimes à afficher


La Fondation Mozilla, derrière le navigateur Firefox, travaille sur une technologie qui ferait "faire un bond dans le futur à la sécurité du Net".

L'idée de la fondation est d'intégrer une sorte de police d'assurance aux sites. Nommée "Content Security Policy" (CSP), cette technologie permettra au site de communiquer au navigateur les contenus légitimes qui le composent. Le navigateur n'exécutera donc plus que ce qui est véritablement crée par le développeur de la page mettant ainsi fin – d'après Mozilla – aux attaques de types cross-site scripting (XSS).

Le cross-site scripting est un type de faille de sécurité que l'on trouve dans les applications Web. Elles peuvent être utilisées par un attaquant pour faire des redirections vers des pages web contenant du code douteux.

La "Content Security Policy" est "semblable à NoScript," explique Brandon Sterne, Security Program Manager chez Mozilla "La différence c'est qu'ici ce n'est pas l'utilisateur mais le site qui décide de bloquer les contenus". NoScript est une extension de Firefox, très populaire auprès des utilisateurs, qui permet à l'internaute de bloquer comme bon lui semble les scripts en Java, JavaScript ou Flash.

La balle est aujourd'hui dans le camp des développeurs Web. Le succès de cette initiative dépendra en effet totalement de son acceptation par la communauté. Avec un peu plus de 20% de part de marché des navigateurs, Firefox a des arguments à faire valoir mais la tache reste grande face à Internet Explorer, le navigateur de Microsoft qui lui embarque une technologie différente contre le XSS (depuis IE 8).

La firme de Redmond a néanmoins qualifié cette "approche intéressante" de "bonne idée".

"C'est génial de voir que les autres prennent également cette menace au sérieux" déclare Sterne de son coté.

L'intégration des CSP à Firefox ne se fera pas dans la prochaine mise à jour du navigateur prévue le 13 Octobre prochain mais "après Firefox 3.6, pas avant" déclare le développeur, sans plus de précision.

En attendant, une démo a été mise en ligne par Mozilla pour illustrer la nouvelle technologie de sécurité qu'elle essaye de faire adopter.

Avec quel succès ?

Source :
Le Blog de Mozilla sur la Sécurité.
Les billets du blog de Microsoft sur Internet Explorer ici et ici.

Lire aussi :

Pas de "ruban" pour Firefox 4

La Rubrique développement Web (actu, tuto, FAQ, forums) de Développez.com
Et celle sur la Sécurité

Et vous ? :

Pensez-vous que cette idée soit bonne ?
A-t-elle une chance de s'imposer ?

[Inazo]

Bonjour,

Pour ma part bonne idée. Mais il faudrait faire attention à ne pas avoir autant de système de ce type, que de navigateur sinon on ne s'en sortira pas et cela finira par tomber dans l'oublie.

Mais j'ai une autre question comment est déclaré le contenu ? Car rien n'empêche de Hacker le site et de donc de déclarer du contenu "propre" alors qu'il est largement vérolé. Et la c'est donc l'effet inverse qui se produira les internautes faisant confiance se feront avoir.

Donc à surveiller tout de même notamment sur l'intégration et la déclaration de contenu "valide" et aussi sur les possibles exploitation qui seront possible de ce nouvel outil.

Cordialement,

[Médinoc]

Hacker le site sort du domaine du "cross-site scripting", donc de cette protection.

De toute façon, si tu hackes le site, il y a plus simple à faire que déclarer ton code off-site comme authentique: Tu peux directement coller ton code sur le site!

[Inazo]

Si le but et de faire une attaque type XSS, il me sera plus facile de berner l'utilisateur si mon contenu est déclaré comme sans risque non ? Car si le Hack est réalisé oui il y aura copier/coller du code malicieux mais aussi annonce via ce plugin que le code est sans danger.

Donc l'internaute n'aura aucune raison valable de se méfier. Attention je ne dit pas que cela se fera simplement comme Hack, ni qu'il faut bouder cette idée ou que le JS est un fléau etc.

Bien sur c'est une vue très "bizarre" de ma part sur cet outil qui est vraiment intéressant.

Il est vrai qu'il est expliqué que la déclaration de code comme OK se fait via un fichier spécifique et via des entêtes envoyé à Firefox. Bien sur un attaquant qui "aurait la maîtrise complète du serveur" pourrait simplement faire sauter le fichier et ne plus dire si le contenu et bon ou mauvais. Mais faire croire que le contenu est sans risque est bien plus "malin".

Enfin ce n'est qu'une idée.

Cordialement,

[Médinoc]

Ce que je veux dire, c'est que si tu peux forcer le site "piégé" à déclarer ton contenu comme sans risque, tu n'as plus besoin du XSS. Tu as déjà ouvert la porte, inutile de la dégonder en plus...

Voir aussi et aussi et aussi...

[Inazo]

Je ne dit pas le contraire et je pense qu'on c'est compris.

Cordialement,

[kaymak]

Ce que tu dis toi, sa fait plus peur .... N'y pensons pas.

Sur le principe je suis assez ok avec mozilla.
Dans la réalité j'y porte assez peu de crédit du fait de la lourdeur indue qui me semble rentrer en contradiction avec ce qu'est le trio html/css/javascript.

En effet tous trois ont toujours étaient utilisables dans le même flots d'instructions sans aucune distinction, c'est les bases du dhtml.

Hors avec leur techno, ce n'est plus possible.
Tout script doit être externe ce qui casse l'existant et créé une lourdeur quotidienne pour des équipes de webmastering qui ne souci guère des contraintes techniques.
Je ne parle même pas du webmaster amateur.

Au mieux, peut on espérer une croissance pousser par l'e-commerce, pour à termes forcer l'adoption de cette techno sur les sites professionnels.

[grunk]

Ce que tu dis toi, sa fait plus peur .... N'y pensons pas.
Dans la réalité j'y porte assez peu de crédit du fait de la lourdeur indue qui me semble rentrer en contradiction avec ce qu'est le trio html/css/javascript.

En effet tous trois ont toujours étaient utilisables dans le même flots d'instructions sans aucune distinction, c'est les bases du dhtml.

Avec cette techno un simple header suffit , rien d'autre à changer :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

X-Content-Security-Policy: allow 'self'

Ne permettra le chargement que des ressource du même domaine que le site.
Ainsi un petit malin qui utiliserais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script type="text/javascript" src="http://pirate.com/jevoletescookie.js"></script>

se verrait refuser l'execution du script

[kaymak]

Avec cette techno un simple header suffit , rien d'autre à changer :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

X-Content-Security-Policy: allow 'self'

Ne permettra le chargement que des ressource du même domaine que le site.
Ainsi un petit malin qui utiliserais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script type="text/javascript" src="http://pirate.com/jevoletescookie.js"></script>

se verrait refuser l'execution du script

Oui mais la dite techno t'empêche d'inclure du code js dans ton flot html avec les balises <script>, ou sur un attribut onclick d'une balise html.

Il est là le problème, la techno t'obliges à sortir ces instructions vers un fichier externe pour le référencer dans ton fichier de ressources déclarées.


En plus, ceci :

X-Content-Security-Policy: allow 'self'

N'est pas suffisant. Rien que les tags tracking de partenaires nécessite plus de permissions ; )
Rien que le tag google n'est plus valide ; )

PS
A noter que d'un point de vu purement programmeur, c'est plutôt une bonne chose.... Mais le web est un mélange d'éditeur de contenu et de dév : )