La semaine dernière, Mozilla a révisé sa position sur une technologie de sécurité Web appelée Trusted Types, qu’elle a décidé de mettre en œuvre dans son navigateur Firefox. En agissant ainsi, l’entreprise de navigateurs aidera à réduire une forme ancienne d’attaque Web qui repose sur du code injecté. «Nous, chez Mozilla, avons effectué une revue approfondie de la spécification et avons l’intention de modifier notre position en matière de normes en la rendant positive», a déclaré Frederik Braun, ingénieur en sécurité de Firefox, dans un message publié sur une discussion sur les points de vue de Mozilla sur les technologies de navigateur proposées. «Nous sommes convaincus du bilan de Trusted Types en ce qui concerne la prévention des XSS DOM-basés sur les sites Web populaires.» Mozilla n’implémentera pas immédiatement Trusted Types dans Firefox – il reste encore quelques problèmes techniques à résoudre. Mais la décision de l’organisation est un succès pour la sécurité Web, qui a commencé à s’améliorer depuis mai 2020, date à laquelle Trusted Types a été mis en œuvre dans Chrome 83 et Edge 83. Opera (basé sur le projet open source Chromium, comme Edge) a ajouté le support en juin 2020. Trusted Types vise les XSS DOM (cross-site scripting basé sur le modèle de document), considéré à la fois comme assez dangereux et assez courant. Classé premier parmi les OWASP Top Ten Web Application Security Risks en 2017 – dans la catégorie «Injection» – les attaques XSS ont reculé pour devenir la troisième vulnérabilité la plus courante en 2021. Et les attaques XSS devraient devenir moins courantes à mesure que plus de sites Web revoient leur code pour profiter de Trusted Types.
« La Croisade acharnée d’un couple pour arrêter un tueur génétique »
En y repensant, cela aurait pu être un indice. Mais au début de l’année 2010, lorsque Kamni Vallabh a commencé
