Mozilla veut apporter plus de sécurité dans Firefox

Le par  |  10 commentaire(s)
Firefox-Minefield

La Fondation Mozilla teste l'intégration d'une nouvelle technologie afin de lutter contre les attaques de type XSS.

Firefox-MinefieldUne attaque de type Cross-Site Scripting ou XSS consiste à injecter du code malveillant dans un site Web afin d'exécuter un script ( souvent JavaScript ) externe à la page avec pour principal objectif le vol de données utilisateurs. Ce code peut-être véhiculé via une publicité affichée sur le site, un commentaire laissé sur un forum, une API... Les vulnérabilités XSS sont le plus souvent dues à des erreurs de codage au niveau des applications Web et permettent d'exécuter du code dans le navigateur et dans le contexte du site consulté.

Dans la lutte contre les attaques XSS, la Fondation Mozilla travaille à l'élaboration d'une technologie baptisée Content Security Policy. Ce framework doit permettre aux sites Web de se protéger contre les attaques XSS et les attaques liées. CSP permet aux développeurs d'intégrer des en-têtes HTML dans leurs sites afin que le navigateur puisse déterminer quels domaines doivent être considérés comme sûrs. Un principe qui rappelle celui d'une liste blanche où seuls les domaines autorisés peuvent être appelés dans le cadre de l'exécution d'un script à partir d'un site.

Loin de jeter la pierre aux développeurs Web, Mozilla estime qu'il est difficile de tout superviser et de filtrer tout ce qu'un utilisateur malintentionné peut mettre en ligne sur un site, à l'heure où le Web est de plus en plus interactif. La semaine dernière, Mozilla qui est en quête de commentaires sur CSP, a fait part de son implémentation dans des versions d'essai spécialement concoctées de Firefox ( version 3.7 ). Une implémentation qui n'est pas encore entièrement complète, alors qu'une page de démonstration a été mise en ligne.

Reste à savoir si d'autres navigateurs adopterons CSP. Mozilla escompte du moins que CSP devienne un standard ouvert via le W3C.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Anonyme
Le #529251
Très bonne idée... encore une fois, on dira que c'est pas mozzarella qui inove!
Le #529281
Mouais ... Ce n'est surtout pas trop tôt.

Si ils arrivent à combler leurs failles de sécurité assez vite et efficacement ils pourraient arriver à faire grosse concurence à Internet Explorer.

Mais bon avec l'arrivée de l'antivirus de Microsoft ce n'est pas encore gagné
Anonyme
Le #529311
Nerthazrim
"grosse concurrence"? c'est déjà fait...

dans certains pays firefox est même devant... tiens, http://www.w3counter.com/globalstats.php
Le #529401
ppffff..
Il y a plus urgent ! l'audit des extensions qui sont dispo chez mozilla.
ils sont même pas fichus de garder leur nom, laisse une version spywarisée en libre accés et veulent soit-disant protéger le consommateur ?
http://www.mozilla.fr/


Pour moi mozilla a perdu toute crédibilité, c'est du windows like en sécurité, je préfère le pendnat libre de firefox, mis en place par debian :

- IceWeasel

mozilla/firefox intégre du drm ( vois about:config), c'est :
1) pas sécure
2) pas libre
3) pas sécure et pas libre

Mozilla n'a plus qu'un objectiff : les parts de marché, ça en devient microsoftien.
Le #529451
Euh... DMZ, tu le fais exprès d'être con ou c'est un don ?

Firefox est libre, au même titre que IceWeasel, renseigne toi un peu avant de parler.

Quand aux supposés DRM dans Firefox, faut arrêter la fumette...

Ok, j'ai marché dans le troll, mais là c'est vraiment abuser.
Le #529591
Surtout qu'en fait, au niveau d'IceWeasel, ce n'est rien d'autre que Firefox avec un logo libre (car en effet le logo de Mozilla Firefox est la propriété de Mozilla).
Idem pour IceDove/Thunderbird... C'est juste une question de logo "non libre".
Sinon, pour ceux qui aiment bien le trip KISS et qui aiment bien tout faire par eux mêmes, uzbl est pas mal du tout.
Le #529671
Pour ceux qui veulent une explication plus technique et en français intelligible http://www.clochix.net/post/2009/10/04/Content-Security-Policy-%3A-les-prochains-Firefox-seront-mieux-prot%C3%A9g%C3%A9s-contre-les-XSS

Et un peu plus de détails par l'auteur http://people.mozilla.org/~bsterne/content-security-policy/details.html ( accessible indirectement depuis un des liens de la news )

A tout hasard, je vais mettre ça en route dans la semaine. Un meta http-equiv dans le pire des cas est ignoré.
Le #529871
liberforce
Par contre toi tu ne le fais pas exprès, tu va m'enseigner le libre toi inculte....?? mdr
A toi de te renseigner ducon au lieu de la ramener. Moi je te file aucun lien, tu serais trop heureux d'en apprendre un peu plus ( en plus je le dis explicitement sur mon post) après si t'es sorti en cm2, c'est pas de ma faute.

lidstah
libre a toi de croire que Ice est juste un ff avec un logo changé. Pour sur le contrat social de debian ne sert qu'a changer les logos..

Fonctionnalités :
- Reprise du code source de la version 2.0.0.x de Firefox
- Suppression des fonctionnalités propriétaires présentes dans les binaires Firefox
- Extensions propriétaires non supportées
- Mises à jour prévues en fonction des nouvelles versions de Firefox, les correctifs...
- Ajout de fonctionnalités de protection de la vie privée spécifiques

un navigateur vraiment libre non lié aux affres du marketing
etc....
Le #529941
utilisateur du libre rime t'il avec idiot et méchant ?

je commence à le croire depuis le temps que je lis les commentaires sur ce site..

je vais prendre ma dose de windows seven avec internet explorer, histoire de faire remonter mon QI


Le #530031
Bon c'est déployé. C'est assez simple à mettre en œuvre en fait.

C'est rare quand je prends le train du web à temps . Bref merci gnt, pour une fois je ne serai pas à la bourre
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]