Advertisement
Categories : Actualités télécom

Google s’inquiète de l’augmentation de certaines attaques et met en place un site pour avertir les utilisateurs

Advertisement

Un nouveau wiki est mis à disposition par Google afin de renforcer la recherche sur les fuites d’informations “cross-site leaks”.

Les fuites d’information de type “cross-site leaks” sont des failles utilisées par des sites web pour récolter des informations sur l’utilisateur ou dérober ses données à travers d’autres applications web. “De plus en plus, les problèmes de sécurité découverts dans les applications web moderne reposent sur l’utilisation abusive de comportements connus de longue date des plateformes web, permettant à des sites peu recommandables de révéler des informations sur l’utilisateur ou ses données dans d’autres applications web. Cette catégorie de problèmes, généralement appelée “cross-site leaks” (XS-Leaks, ou fuites intersites en français, NDLR), pose des défis intéressants aux ingénieurs en sécurité et aux développeurs de navigateurs web en raison de la diversité des attaques et de la complexité de la mise en place de défenses complètes” indique Google sur son blog. 

Ce nouveau wiki contient des explications sur le fonctionnement des failles de catégorie cross-site leaks, les modes d’attaques et les possibilités de défense contre celles-ci. Il est également expliqué que les XS-Leaks “sont une classe de vulnérabilités dérivées des canaux latéraux (side-channels, NDLR) au sein du web. Ils tirent parti d’un principe fondamental du web, la “composabilité”, qui permet aux sites web d’interagir entre eux, et d’abuser de mécanismes légitimes pour déduire des informations sur l’utilisateur ” est-il précisé. 

Depuis 2010, Google lutte contre les failles XS-Leaks avec des chercheurs en sécurité au travers du programme bug bounty pour ses propres sites. Plus particulièrement pour Google et YouTube. Il y a encore peu, Google utilisait XSS Auditor, une fonctionnalité permettant de scanner le code source d’un site web afin d’y trouver d’éventuel signe d’attaques. Cependant Google a supprimé cette fonctionnalité il y a un an après avoir constaté que XSS Auditor provoquait lui-même de nombreuses fuites XS Leaks. Le wiki présente plusieurs outils de sécurité pour contourner ou atténuer les attaques. Le navigateur web peuvent également intégrer de nouvelles fonctions de sécurité avec Fetch Metadata Request Headers. Cette dernière envoie des requêtes HTTPS pour récolter des informations contextuelles sur l’origine d’une requête.

 

Source : ZDnet

Cet article a été repris sur le site Univers FreeBox

Advertisement
Laura Dubois

Advertisement

Articles récents

TF1 impose désormais une nouvelle restriction très agaçante sur ses chaînes à de nombreux abonnés Freebox

Revenir en arrière dans les programmes des chaînes de TF1 ou faire pause pour mieux…

23 novembre 2024

Canal+ envoie à un mail à des abonnés pour leur annoncer l’arrivée de trois nouvelles chaînes dans leur offre

Boomerang, Cartoon Network et Cartoonito sont à présent incluses pour certains abonnés Canal+. Après avoir…

23 novembre 2024

TTFB : c’est les montagnes russes pour les abonnés Free, de l’IA dans le futur Player Freebox ?, etc

Nouveau numéro d votre magazine hebdomadaire “Totalement Fibrés” , en direct tous les vendredi à…

22 novembre 2024

Abonnés Freebox et Prime : récupérez 6 nouveaux jeux PC gratuitement, dont deux titres très populaires

Jouez entre amis ou affrontez des aventures aux défis redoutables avec la sélection Prime Gaming…

22 novembre 2024

Orange lance une nouvelle salve de promos pour ses abonnés Livebox

Orange lance sa Black Week pour ses abonnés Livebox, de nombreux contenus en VOD sont…

22 novembre 2024

Free Mobile ajoute un nouveau téléphone 4G à moins de 60€ à sa boutique

L'opérateur continue d'enrichir son offre de feature phone à petit prix avec un mobile proposé…

22 novembre 2024
Advertisement