 |
|
|
| |
|
|
| Sommaire Sécurité |
|
| Le Web 2.0 pointé du doigt sur le front de la sécurité |
| L'arrivée d'Ajax a ouvert une voie dans laquelle de nombreux sites Web commencent à s'engouffrer. Mais la précipitation a laissé béantes des failles de sécurité qu'il est maintenant nécessaire de combler.
(07/08/2006) |
|
 |
En
savoir plus |
|
Dossier 
Virus |
Wifi, RFID, VoIP... Les sujets ne manquent pas à la conférence Black Hat. L'édition américaine 2006 du rendez-vous annuel de la sécurité informatique s'est tenue cette semaine au Caesar's Palace de Las Vegas.
Que ceux qui n'ont pas pu faire le déplacement se rassurent : son équivalent japonais sera organisé les 5 et 6 octobre prochain au Plaza Hotel de Tokyo. Outre la VoIP, la conférence de Las Vegas ne pouvait pas, cette année, passer à côté du Web 2.0.
Le Web 2.0 est un concept : l'idée d'une certaine interactivité du Web... La technologie en elle-même se nomme Ajax, pour Asynchronous JavaScript and XML (lire l'article du 03/03/2006). L'engouement soudain des développeurs pour cette technologie tout comme leur inexpérience dans le domaine ont pu, dans certains cas, ouvrir des boulevards d'insécurité.
Dans les grandes lignes, Ajax n'est ni plus ni moins qu'une extension du langage de programmation JavaScript. Ajax permet, entre autres, une communication automatique entre les navigateurs et les serveurs Web. La principale application à ce jour consiste en un rafraîchissement constant d'une page Web sans intervention de l'internaute. Google Maps, Yahoo ! et autre MySpace ont été les pionniers en la matière.
Mais ils en ont également été les premières victimes : le ver Yamanner s'est attaqué aux utilisateurs de la messagerie de Yahoo (lire l'article du 15/06/2006) tandis que le ver Samy visait ceux de MySpace. Tendance qui pourrait bien se poursuivre si rien n'est fait rapidement. Au fait, pourquoi exactement Ajax serait-elle plus dangereuse que les technologies plus classiques ?
Simplement
parce qu'elle engendre une multiplication des communications entre le navigateur client et le serveur, créant autant d'opportunités pour une personne malveillante. D'où la nécessité pour les développeurs de se pencher sérieusement sur la question dans les mois à venir.
| La sécurité Ajax : simple comme le Web 2.0 |
Au-delà des vers et autres virus, Ajax amplifie les risques d'attaques de type screen-scraping, cross-site scripting et plus généralement de phishing, ayant toutes pour objet la récupération frauduleuse d'informations personnelles de l'utilisateur avec des conséquences parfois dramatiques.
Selon les différents intervenants de la Black Hat Conference, la faute en revient notamment aux manuels de développement qui ne mettent pas assez en garde les développeurs contre les vulnérabilités d'Ajax et surtout
les moyens de sécuriser les sites créés. L'échange et la réutilisation de codes Ajax ne sont également sans doute pas étrangers aux problèmes rencontrés.
D'autant que la mise en sécurité des sites développés en Ajax serait aussi simple que l'utilisation d'un site Web 2.0. Mais, malgré les risques potentiels encourus, sans une attaque majeure
d'un grand site, les recommandations de la Black Hat risquent fort de rester lettre morte.
|
| |
| |
|
|
|
|
|
|
