Article complet: Sécurité anti XSS de Mozilla : ContentSecurityPolicy
28/06/2009
, julien pauli Sécurité anti XSS de Mozilla : ContentSecurityPolicy
Tout développeur Web connait le SOP, pour Same Origin Policy. Ces règles qui empêchent notamment un objet XHR de requêter un domaine différent de la page depuis laquelle il est issu, obligeant les développeurs à avoir recours à des proxies ou autres joyeusetés du genre. C'est la même chose avec les cookies, et fort heureusement sinon le Web aurait explosé depuis des lustres.
Malheureusement, la protection SOP ne suffit plus aujourd'hui, et XSS règne en maitre dans le domaine des failles de sécurité sur le Web.
Conscients de ce problème depuis bien longtemps, les ingénieurs de chez Mozilla ont inventé CSP : Content Security Policy.
Les règles basiques sont simples :
- Tout javascript inline, c'est à dire non issu d'un fichier JS est totalement interdit et ignoré par le moteur JS
- Tout javascript issu d'un fichier JS ne pourra être exécuté que si le domaine de provenance du JS fait partie d'une liste blanche établie par le développeur
Tout cela sent bon pour la sécurité car XSS semble définitivement impossible. Enfin presque, car avec cette règle il faudrait alors trouver une faille dans le navigateur - ce qui reste tout à fait faisable et possible : mettez vos navigateurs à jour.
Ou encore spoofer le DNS - ce qui est aussi possible, soit en s'introduisant dans la table de routage de la box de l'utilisateur, la plupart du temps c'est assez simple car ils ne changent pas le mot de passe par défaut de leur box, soit en empoisonnant les cache DNS plus haut, là ça se corse tout de même.
Une fois de plus, la question de la migration :
Mozilla assure que celle-ci sera simplifiée, le processus CSP pouvant être personnalisé et ne se résumant pas aux 2 règles que j'ai citées plus haut ( la page officielle pour plus d'info ). Ils ont étudié beaucoup de pages Web, de complexité plus ou moins grande, et ont assuré que passer à CSP pourra se faire progressivement pour les pages très complexes, et sera simple pour les pages moins complexes.
CSP arrive dans FF 3.5 (c'est à dire très bientot). Quant aux autres navigateurs qui ne supportent pas la technologie : aucun changement pour eux, ils ignoreront les tags HTML et les en-têtes HTTP rajoutés par la technologie CSP (qui d'ailleurs posent des problèmes de confidentialité car les en-têtes utilisés s'approchent grandement du Referer, à suivre ...)
Le blog de Mozilla Security saura vous renseigner d'avantage
La page officielle du CSP, à lire en long, large et travers
Les groupes Mozilla Security
Social Bookmarking:
Commentaires:
Cet article n'a pas de Commentaires pour le moment...
Vous devez être identifié pour poster un commentaire.
Liste des blogs
Julien Pauli DevPHP blog
Developpement web PHP
Catégories
Rechercher
| Lun | Mar | Mer | Jeu | Ven | Sam | Dim |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 |
Divers
Syndiquez ce blog 
Articles :
Commentaires :
![[Valid RSS]](/img/valid-rss.png "Validate my RSS feed")
![[Valid Atom 1.0]](/img/valid-atom.png "Validate my Atom 1.0 feed")
phpmyvisites
Copyright © 2000-2012 - www.developpez.com