Image of an arrow

Retour sur le thème Sécurité des RMLL 2015

Sécurité et vie privée sur le Web

Par François Marier (@fmarier) – Diapositives (PDF – 4,4 Mo)

François travaille chez Mozilla et avait présenté, il y a deux ans aux RMLL, le protocole BrowserID, aussi connu sous le nom de Persona. Cette année, il venait parler des dernières techniques du Web destinées à la protection de la vie privée.

La première est appelée CSP (Content Security Policy). Elle permet d’indiquer au navigateur quels contenus peuvent être chargés, interdisant ainsi par défaut l’exécution des scripts « en ligne ». Ce comportement peut être changé en positionnant la valeur unsafe-inline dans l’en-tête Content-Security-Policy.

Une avancée majeure est la possibilité de définir une empreinte associée aux scripts chargés dans la page (paramètre integrity de la balise <script>). Si le script a été corrompu, le navigateur refusera ainsi de l’exécuter. Bien entendu cela nécessite de mettre à jour l’empreinte en cas de modification volontaire du script. Cette fonctionnalité est appelée SRI (Sub Resource Integrity) et le site SRI Hash Generator permet de générer les empreintes des ressources que l’on souhaite vérifier.

Autre technique, le HSTS (Strict Transport Security), qui indique au navigateur que le site ne peut être accédé qu’en HTTPS. Aucune tentative de connexion HTTP ne sera alors faire sur le domaine — sauf la première permettant de lire l’en-tête HSTS, ce qui reste contournable en déclarant son site sur hstspreload.appspot.com.

Enfin, sujet assez à la mode dans le développement d’applications Web récentes: le CORS (Cross-Origin Resource Sharing). Par défaut les navigateurs refusent de charger du contenu provenant de domaines différents de la page d’origine. Les en-têtes CORS permettent d’indiquer quels sont les domaines de confiance depuis lesquels des ressources peuvent être récupérées.


Articles similaires

Image of an arrow

La LDAPCon est une conférence internationale autour de la technologie LDAP et des enjeux de gestion des identités, d’authentification et d’habilitation. L’événement qui se déroulera cette année à Bruxelles du 19 au 20 octobre, se tient tous les deux ans dans un pays différent : 2007 à Cologne en Allemagne 2009 à Portland aux États-Unis […]

Savez-vous comment automatiser l’installation ainsi que la configuration de Nexus Repository Manager version 3.x avec Ansible ? Pas encore ? On vous donne un coup de pouce ici ! Pour rappel, Ansible est un outil de déploiement qui permet à des playbooks d’automatiser les déploiements d’applications et d’infrastructure. L’avantage clé d’Ansible est sa flexibilité puisqu’il […]

         Nous sommes heureux de vous annoncer la sortie d’une vidéo promotionnelle produite par Microsoft eux-même ! Fruit d’une collaboration autour de la plateforme Azure, cette vidéo souligne la pertinence et l’essor des technologies open source dans l’environnement infonuagique Azure de Microsoft ainsi que notre capacité d’innovation en combinant technologies open source […]

Thumbnail image

L’authentification unique (en anglais Single Sign On ou SSO) est aujourd’hui bien implantée dans les systèmes d’information, grâce à une large offre de produits et surtout de nombreux standards comme CAS, SAML ou OpenID Connect, pour ne citer que les plus importants. Cependant, ce domaine reste difficile d’accès car chaque nouvelle norme demande un temps […]

Thumbnail image

La Ville de Villeurbanne mise sur l’Open Source et choisit LemonLDAP::NG pour contrôler les droits d’accès de ses utilisateurs. La Ville de Villeurbanne possédait plusieurs applications Web dont l’authentification était déjà déléguée à un serveur central CAS (Central Authentification Services), modifié pour les besoins de Villeurbanne pour donner accès à la fois aux utilisateurs internes […]