septembre
2008
Un article de doctorrock
Point de CSRF niveau sécurité ici, mais plutôt une évolution majeure du Web, et du protocole HTTP.
Aujourd’hui, un objet javascript ne peut accéder à tout ou partie d’une page hebergée sur un domaine différent de celui pour lequel l’objet a été crée.
C’est une règle de sécurité que l’on comprendra, mais qui bloque pas mal de développeurs « Web2.0″, dont le but est justement un échange plus large de données.
On appelle cela le Same-Domain Policy (lisez ça si vous savez pas ce dont il s’agit).
Il existe évidemment plein d’astuces pour passer outre cette règle ( et créer des gros trous de sécurité, quoi vous n’êtes pas au courant?) : un proxy HTTP tout bête (c’est fait en 5 lignes de code ZendFramework, un peu plus en utilisant Apache directement), des fois même basés sur flash ou Silverlight
Le W3C a entendu l’appel et planche actuellement sur la modification des normes afin d’autoriser le cross site request, mais sous certaines conditions seulement. Le document intitulé « Access Control for Cross-Site Requests » est encore en version draft (brouillon), mais disponible ici et intéressera, à n’en point douter, tous les développeurs Web qui veillent, et aussi tous les aficionados de la sécurité du Web.
Commentaires récents
Archives
- novembre 2010
- août 2010
- juillet 2010
- juin 2010
- mai 2010
- avril 2010
- mars 2010
- février 2010
- janvier 2010
- décembre 2009
- novembre 2009
- octobre 2009
- septembre 2009
- août 2009
- juillet 2009
- juin 2009
- mai 2009
- avril 2009
- mars 2009
- février 2009
- janvier 2009
- décembre 2008
- novembre 2008
- octobre 2008
- septembre 2008
- août 2008
- juillet 2008
- juin 2008
- mai 2008
- avril 2008
- mars 2008
- février 2008
- janvier 2008
- décembre 2007
- novembre 2007
- octobre 2007
- septembre 2007
- août 2007
- juillet 2007
- juin 2007
- mai 2007
- avril 2007
- mars 2007
- février 2007