Mozilla décide que les types approuvés constituent une fonctionnalité de sécurité digne d’être adoptée.

La semaine dernière, Mozilla a révisé sa position sur une technologie de sécurité Web appelée Trusted Types, qu’elle a décidé de mettre en œuvre dans son navigateur Firefox. En agissant ainsi, la société de navigateurs aidera à réduire une forme ancienne d’attaque Web qui repose sur le code injecté. « Nous, chez Mozilla, avons effectué une revue complète de la spécification et avons l’intention de modifier notre position en faveur des standards », a déclaré Frederik Braun, ingénieur en sécurité de Firefox, dans un message posté sur une discussion sur les points de vue de Mozilla sur les technologies de navigateur proposées. « Nous sommes convaincus du bilan de Trusted Types en termes de prévention des XSS basés sur le DOM sur les sites Web populaires. » Mozilla n’implémentera pas immédiatement Trusted Types dans Firefox – il y a encore quelques problèmes techniques à résoudre. Mais la décision de l’organisation est une victoire pour la sécurité Web, qui s’améliore depuis mai 2020, date à laquelle Trusted Types a été livré avec Chrome 83 et Edge 83. Opera (basé sur le projet open source Chromium, comme Edge) a ajouté le support en juin 2020. Trusted Types s’attaque aux XSS basés sur le DOM (Document Object Model), considérés à la fois comme assez dangereux et assez courants. Classé premier parmi les 10 principaux risques de sécurité des applications Web OWASP en 2017 – dans la catégorie « Injection » – les attaques XSS ont reculé au troisième type de vulnérabilité le plus courant en 2021. Les attaques XSS devraient devenir moins courantes à mesure que plus de sites Web mettront à jour leur code pour profiter de Trusted Types.

Share the Post: