Un nouveau wiki est mis à disposition par Google afin de renforcer la recherche sur les fuites d’informations “cross-site leaks”.
Les fuites d’information de type “cross-site leaks” sont des failles utilisées par des sites web pour récolter des informations sur l’utilisateur ou dérober ses données à travers d’autres applications web. “De plus en plus, les problèmes de sécurité découverts dans les applications web moderne reposent sur l’utilisation abusive de comportements connus de longue date des plateformes web, permettant à des sites peu recommandables de révéler des informations sur l’utilisateur ou ses données dans d’autres applications web. Cette catégorie de problèmes, généralement appelée “cross-site leaks” (XS-Leaks, ou fuites intersites en français, NDLR), pose des défis intéressants aux ingénieurs en sécurité et aux développeurs de navigateurs web en raison de la diversité des attaques et de la complexité de la mise en place de défenses complètes” indique Google sur son blog.
Ce nouveau wiki contient des explications sur le fonctionnement des failles de catégorie cross-site leaks, les modes d’attaques et les possibilités de défense contre celles-ci. Il est également expliqué que les XS-Leaks “sont une classe de vulnérabilités dérivées des canaux latéraux (side-channels, NDLR) au sein du web. Ils tirent parti d’un principe fondamental du web, la “composabilité”, qui permet aux sites web d’interagir entre eux, et d’abuser de mécanismes légitimes pour déduire des informations sur l’utilisateur ” est-il précisé.
Depuis 2010, Google lutte contre les failles XS-Leaks avec des chercheurs en sécurité au travers du programme bug bounty pour ses propres sites. Plus particulièrement pour Google et YouTube. Il y a encore peu, Google utilisait XSS Auditor, une fonctionnalité permettant de scanner le code source d’un site web afin d’y trouver d’éventuel signe d’attaques. Cependant Google a supprimé cette fonctionnalité il y a un an après avoir constaté que XSS Auditor provoquait lui-même de nombreuses fuites XS Leaks. Le wiki présente plusieurs outils de sécurité pour contourner ou atténuer les attaques. Le navigateur web peuvent également intégrer de nouvelles fonctions de sécurité avec Fetch Metadata Request Headers. Cette dernière envoie des requêtes HTTPS pour récolter des informations contextuelles sur l’origine d’une requête.
Source : ZDnet
Le fondateur le milliardaire qui recrute sur Linkedin. Dans un entretien accordé à Spiegel, Xavier…
Univers Freebox vous propose une petite sélection de programmes pour profiter à fond du cadeau…
ViatSat a sollicité en septembre une autorisation d’utilisation de fréquences auprès de l'Arcep. Après étude…
L'occasion de découvrir gratuitement une quarantaines de chaînes habituellement payantes sur la Livebox. Orange vient…
Amazon joue au chat et à la souris avec les règles sur la livraison des…
L'ex-trublion dévoile son dispositif de réseau mobile mis en place aux Sables-d’Olonne à l'occasion du…