L'Enisa (European Network and Information Security Agency) estime que les normes
HTML5 en cours de développement ont subi des révisions qui négligent certaines
questions de sécurité importantes.
L'Enisa a publié le 25 août 2011 un document de 61 pages qui décortique les
spécifications du dernier format de codage de l'Internet.
Parmi les 13 spécifications du HTML5, l'Enisa a relevé 51 problèmes de sécurité.
Une spécification appelée "form tampering" dans le document préoccupe les experts
de l'agence : le bouton "soumettre" d'un formulaire qui peut être placé n'importe où
sur la page.
L'Enisa fait également des recommandations sur la façon dont les navigateurs doivent
se comporter quand un utilisateur se sert d'Internet pour effectuer des transactions
bancaires.
L'utilisation de sessions "sandbox" lorsque plusieurs onglets sont ouverts permettrait
L'utilisation de sessions "sandbox" lorsque plusieurs onglets sont ouverts permettrait
d'éviter qu'un autre onglet susceptible de contenir une page d'attaque, tire parti d'un
paramétrage insuffisant ou de permissions définies pour l'ensemble de l'application"
nous est recommandé par LeMondeInformatique.
La Sandbox, ou bac à sable permet d'exécuter une application dans un environnement
virtuel et faire croire à l'application qu'elle s'exécute normalement en lui interdisant
des accès directs aux fichiers ou à la base de registre.
Aucun commentaire:
Enregistrer un commentaire