211service.com
Firefox vise à débrancher les attaques de scripts
Les sites qui reposent sur du contenu créé par les utilisateurs peuvent involontairement être utilisés pour attaquer leurs propres utilisateurs via JavaScript et d'autres formes courantes de code Web. Ce problème de sécurité, connu sous le nom de cross-site scripting (XSS), peut, par exemple, permettre à un attaquant d'accéder au compte d'une victime et de voler des données personnelles.

Attaque Patsy : un attaquant (affiché en rouge) peut utiliser des scripts intersites pour forcer l'ordinateur d'un utilisateur (à gauche) à attaquer un autre système (au milieu), simplement en visitant un site Web apparemment innocent (en haut).
Désormais, les créateurs du Navigateur Web Firefox l'intention d'adopter une stratégie pour aider à bloquer les attaques. La technologie, appelée Content Security Policy (CSP), permettra au propriétaire d'un site Web de spécifier quels domaines Internet sont autorisés à héberger les scripts qui s'exécutent sur ses pages.
Dans ce cas, ils ne créent pas une nouvelle alternative technologique au HTML, ni ne protègent l'utilisateur contre un problème existant, explique Eduardo Vela, un chercheur indépendant en sécurité qui parlera des attaques XSS lors de la conférence Black Hat du mois prochain sur la sécurité, à Las Vegas. Ils suppriment en fait les fonctionnalités HTML qui ont permis ces problèmes en premier lieu.
Les attaques XSS ont causé de nombreux maux de tête, en particulier pour les réseaux sociaux et les entreprises du Web 2.0, permettant aux attaquants de détourner des enchères eBay, par exemple, et de créer un ver qui a amené les utilisateurs de MySpace à se lier d'amitié automatiquement avec un utilisateur nommé Samy. Le problème principal est que de nombreux sites permettent aux utilisateurs non fiables d'ajouter leur propre contenu aux pages tandis que les navigateurs Web traitent tout le contenu renvoyé par un site Web comme provenant de la même entité. Si le site Web est approuvé, le contenu créé par un utilisateur inconnu est également approuvé. Le problème a été classé parmi les 25 problèmes de codage les plus graves par le SANS Institute, un organisme de formation pour les administrateurs système et les programmeurs.
Dans de nombreux cas, les sociétés Web peuvent traquer et restreindre le contenu dangereux créé par les utilisateurs. Mais comme de nombreux sites sont si grands, trouver et corriger toutes les vulnérabilités est une tâche longue et difficile. De plus, de nombreux sites, notamment ceux de réseaux sociaux, souhaitent laisser une certaine latitude à leurs utilisateurs pour créer des contenus intéressants.
Le CSP de Mozilla rompra avec la tradition des navigateurs Web de traiter tous les scripts de la même manière. Au lieu de cela, il faudra que les sites Web participants mettent leurs scripts dans des fichiers séparés et indiquent explicitement quels domaines sont autorisés à exécuter les scripts.
La fondation Mozilla, qui fabrique le navigateur Firefox, a choisi l'implémentation car elle permet aux sites de choisir d'adopter ou non les restrictions. La gravité du problème XSS dans la nature et le coût de la mise en œuvre du CSP en tant qu'atténuation sont sujets à interprétation par les sites individuels, a écrit Brandon Sterne, responsable du programme de sécurité pour Mozilla. sur le blog de sécurité de Mozilla . Si le rapport coût/bénéfice n'a pas de sens pour certains sites, ils sont libres de continuer à faire des affaires comme d'habitude.
La nouvelle mesure de sécurité est basée sur les suggestions faites par le spécialiste de la sécurité Web Robert Hansen en 2005. Le chercheur avait étudié différents types d'attaques Web et avait identifié une idée intéressante : permettre aux sites Web de modifier le niveau de sécurité du navigateur de l'utilisateur.
Hansen a renversé l'idée et, à la place, a proposé un modèle qu'il a appelé Content Restrictions. Le modèle ne devrait pas être, si vous me faites confiance, désactiver toute la sécurité ; le modèle devrait être, croyez-moi pour vous dire de ne pas me faire confiance, déclare Hansen, qui est maintenant PDG du cabinet de conseil en sécurité Web SecTheory. Si je sais qu'une page est mauvaise, alors je devrais pouvoir vous dire qu'elle est mauvaise.
Un ingénieur de la Fondation Mozilla, Gervase Markham, a défendu l'idée au sein de l'équipe Firefox et a développé la technologie, et a noté que le chercheur en sécurité Web Jeremiah Grossman a appelé publiquement à l'adoption de la technique. Quatre ans plus tard, Mozilla s'est engagé à mettre en œuvre la technologie.
La nouvelle fonctionnalité de sécurité de Firefox pourrait aider à bloquer une autre forme d'attaque, connue sous le nom de détournement de clic, qui permet à un attaquant d'inciter un utilisateur à cliquer sur un bouton dangereux, par exemple, en lançant un virement bancaire lorsqu'il pense qu'il envoie un e-mail. Cependant, le détournement de clics est un problème si répandu qu'un modèle opt-in ne fonctionne vraiment pas, dit Hansen.
Tout le monde n'est pas d'accord pour dire que de telles restrictions de contenu sont la voie à suivre. Microsoft a créé un filtre de script intersites dans Internet Explorer 8 qui empêche les attaques probables d'atteindre le navigateur de la victime. La société a également introduit une nouvelle fonctionnalité, appelée X-FRAME-OPTIONS, dans Internet Explorer 8, qui peut être utilisée par des sites pour restreindre l'utilisation de scripts dans les iframes, une astuce utilisée par les attaquants pour exécuter du code de manière invisible.
De tels efforts, et la difficulté d'intégrer le CSP dans l'architecture Web du géant du logiciel, .NET, font qu'il est probable que le CSP de Mozilla ne sera pas adopté par d'autres fabricants de navigateurs, fait valoir Vela, qui prévoit de présenter sa propre solution à Black Hat. Je ne pense sincèrement pas que cela va être largement adopté, dit-il, principalement parce que c'est si compliqué.
Mozilla, qui a refusé de commenter au-delà de la publication du blog, aura probablement la technologie prête à être intégrée à Firefox dans 6 à 12 mois, dit Hansen. L'étape suivante consiste à demander à eBay et à MySpace de le récupérer et de dire : « Hé, c'est génial », dit le chercheur.