Advertisement
Categories : Actualités télécom

Google s’inquiète de l’augmentation de certaines attaques et met en place un site pour avertir les utilisateurs

Advertisement

Un nouveau wiki est mis à disposition par Google afin de renforcer la recherche sur les fuites d’informations “cross-site leaks”.

Les fuites d’information de type “cross-site leaks” sont des failles utilisées par des sites web pour récolter des informations sur l’utilisateur ou dérober ses données à travers d’autres applications web. “De plus en plus, les problèmes de sécurité découverts dans les applications web moderne reposent sur l’utilisation abusive de comportements connus de longue date des plateformes web, permettant à des sites peu recommandables de révéler des informations sur l’utilisateur ou ses données dans d’autres applications web. Cette catégorie de problèmes, généralement appelée “cross-site leaks” (XS-Leaks, ou fuites intersites en français, NDLR), pose des défis intéressants aux ingénieurs en sécurité et aux développeurs de navigateurs web en raison de la diversité des attaques et de la complexité de la mise en place de défenses complètes” indique Google sur son blog. 

Ce nouveau wiki contient des explications sur le fonctionnement des failles de catégorie cross-site leaks, les modes d’attaques et les possibilités de défense contre celles-ci. Il est également expliqué que les XS-Leaks “sont une classe de vulnérabilités dérivées des canaux latéraux (side-channels, NDLR) au sein du web. Ils tirent parti d’un principe fondamental du web, la “composabilité”, qui permet aux sites web d’interagir entre eux, et d’abuser de mécanismes légitimes pour déduire des informations sur l’utilisateur ” est-il précisé. 

Depuis 2010, Google lutte contre les failles XS-Leaks avec des chercheurs en sécurité au travers du programme bug bounty pour ses propres sites. Plus particulièrement pour Google et YouTube. Il y a encore peu, Google utilisait XSS Auditor, une fonctionnalité permettant de scanner le code source d’un site web afin d’y trouver d’éventuel signe d’attaques. Cependant Google a supprimé cette fonctionnalité il y a un an après avoir constaté que XSS Auditor provoquait lui-même de nombreuses fuites XS Leaks. Le wiki présente plusieurs outils de sécurité pour contourner ou atténuer les attaques. Le navigateur web peuvent également intégrer de nouvelles fonctions de sécurité avec Fetch Metadata Request Headers. Cette dernière envoie des requêtes HTTPS pour récolter des informations contextuelles sur l’origine d’une requête.

 

Source : ZDnet

Cet article a été repris sur le site Univers FreeBox

Advertisement
Laura Dubois

Advertisement

Articles récents

Clin d’oeil : comment Xavier Niel met-il le grappin sur de nouveaux talents ? C’est surprenant

Le fondateur le milliardaire qui recrute sur Linkedin. Dans un entretien accordé à Spiegel, Xavier…

8 novembre 2024

Toutes les chaînes Canal+ offertes : la sélection ciné à ne pas louper cette semaine pour les abonnés Freebox

Univers Freebox vous propose une petite sélection de programmes pour profiter à fond du cadeau…

8 novembre 2024

Un nouvel opérateur internet américain par satellite va débarquer en France, l’Arcep va l’autoriser à utiliser des fréquences

ViatSat a sollicité en septembre une autorisation d’utilisation de fréquences auprès de l'Arcep. Après étude…

8 novembre 2024

Orange annonce offrir 40 chaînes à ses abonnés durant une semaine. Chez Free vous êtes gâtés car elles sont déjà presque toutes incluses avec la Freebox

L'occasion de découvrir gratuitement une quarantaines de chaînes habituellement payantes sur la Livebox. Orange vient…

7 novembre 2024

Livraison de livres : l’astuce d’Amazon qui agace l’État

Amazon joue au chat et à la souris avec les règles sur la livraison des…

7 novembre 2024

Free Mobile renforce son réseau pour le Vendée Globe avec une connectivité optimale pour le grand départ

L'ex-trublion dévoile son dispositif de réseau mobile mis en place aux Sables-d’Olonne à l'occasion du…

7 novembre 2024
Advertisement