La semaine dernière, Mozilla a révisé sa position sur une technologie de sécurité Web appelée Trusted Types, qu’elle a décidé d’implémenter dans son navigateur Firefox. En agissant ainsi, l’entreprise de navigateurs aidera à réduire une forme ancienne d’attaque Web qui repose sur le code injecté. « Nous, chez Mozilla, avons effectué une revue approfondie de la spécification et avons l’intention de modifier notre position en la faveur de cette dernière », a déclaré Frederik Braun, ingénieur en sécurité de Firefox, dans un message posté sur une discussion sur les points de vue de Mozilla sur les technologies de navigateur proposées. « Nous sommes convaincus du bilan de Trusted Types en termes de prévention des injections de code basées sur le DOM sur les sites Web populaires. » Mozilla n’implémentera pas immédiatement Trusted Types dans Firefox – il reste encore quelques problèmes techniques à résoudre. Mais la décision de l’organisation est un succès pour la sécurité Web, qui a commencé à s’améliorer depuis mai 2020, date à laquelle Trusted Types est apparue dans Chrome 83 et Edge 83. Opera (basé sur le projet open source Chromium, comme Edge) a ajouté son support en juin 2020. Trusted Types s’adresse aux injections de code basées sur le DOM – ou document object model cross-site scripting – considérées comme étant à la fois assez dangereuses et assez courantes. Classé première parmi les OWASP Top Ten Web Application Security Risks en 2017 – dans la catégorie « Injection » – les attaques XSS sont passées à la troisième vulnérabilité la plus courante en 2021. Et les attaques XSS devraient devenir moins courantes à mesure que plus de sites Web revoient leur code pour en tirer parti.
« La Croisade acharnée d’un couple pour arrêter un tueur génétique »
En y repensant, cela aurait pu être un indice. Mais au début de l’année 2010, lorsque Kamni Vallabh a commencé
