Mozilla a décidé que les types de confiance sont une fonctionnalité de sécurité digne d’être adoptée.

Mozilla a révisé sa position sur une technologie de sécurité Web appelée Trusted Types, qu’elle a décidé d’implémenter dans son navigateur Firefox. En agissant ainsi, l’entreprise de navigateurs aidera à réduire une forme ancienne d’attaque Web qui repose sur le code injecté. «Nous, chez Mozilla, avons effectué une revue approfondie de la spécification et avons l’intention de modifier notre position en faveur des normes», a déclaré Frederik Braun, ingénieur en sécurité de Firefox, dans un message posté sur une discussion sur les points de vue de Mozilla sur les technologies de navigateur proposées. «Nous sommes convaincus du dossier de Trusted Types en ce qui concerne la prévention des injections XSS basées sur le DOM sur les sites Web populaires.» Mozilla n’implémentera pas immédiatement Trusted Types dans Firefox – il reste encore quelques problèmes techniques à résoudre. Mais la décision de l’organisation est un succès pour la sécurité Web, qui va mieux depuis mai 2020, lorsque Trusted Types a été livré avec Chrome 83 et Edge 83. Opera (basé sur le projet open source Chromium, comme Edge) a ajouté le support en juin 2020. Trusted Types s’attaque aux injections XSS basées sur le DOM (Document Object Model), considérées comme assez dangereuses et assez courantes. Classé premier parmi les dix principaux risques de sécurité des applications Web d’OWASP en 2017 – dans la catégorie «Injection» – les attaques XSS ont reculé au troisième type de vulnérabilité le plus courant en 2021. Et les attaques XSS devraient devenir moins courantes à mesure que plus de sites Web modifient leur code pour profiter de Trusted Types.

Share the Post: