Alors que Spark 2.0 vient d'arriver, c'est toujours la version 1.6 du framework alternatif pour Hadoop qui est la plus utilisée pour le data mining.

L'Image du jour

Alors que Spark 2.0 vient d'arriver, c'est toujours la version 1.6 du framework alternatif pour Hadoop qui est la plus utilisée pour le data mining.

Silicon Valley 2016 : Cap sur l'innovation technologique (1e partie)

Dernier Dossier

Silicon Valley 2016 : Cap sur l'innovation technologique (1e partie)

En mars et juin dernier, nous avons passé un peu de temps à San Francisco et dans la Silicon Valley avec une dizaine de journalistes européens pour le...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

51 problèmes de sécurité relevés par l'Enisa sur HTML5

51 problèmes de sécurité relevés par l'Enisa sur HTML5

L'Enisa  (European Network and Information Security Agency) a identifié certains aspects de sécurité qui pourraient poser problème dans la dernière mouture de HTML5, supervisée par le W3C.

L'Agence européenne chargée de la sécurité des réseaux et de l'information, l'Enisa, estime que les normes HTML5 en cours de développement ont subi des révisions qui négligent certaines questions de sécurité importantes. Elle a publié hier à ce sujet un document de 61 pages qui décortique les spécifications du dernier format de codage de l'Internet, dont la définition est dirigée par le World Wide Web Consortium (W3C). Ce dernier accepte les recommandations concernant la dernière mouture du HTML5 jusqu'à aujourd'hui, et tiendra compte de celles publiées par l'Enisa un jour avant la date butoir. « C'est assez nouveau. Je pense même que c'est la première fois que quelqu'un analyse ces spécifications du point de vue de la sécurité », a déclaré Giles Hogben, expert à l'Enisa et auteur du rapport.

Les spécifications HTML5 sont importantes, car elles doivent servir de base aux concepteurs d'applications et aux développeurs Web pour les années à venir. Comparativement, les spécifications du HTML4 sont utilisées depuis 1999. Si le cahier des charges pour les navigateurs Web n'est pas à la hauteur, il fait prendre un risque à tous les utilisateurs, particuliers et entreprises.  « Aujourd'hui, tout le monde utilise un navigateur web pour un tas de besoins différents », explique l'expert de l'Enisa. « C'est un outil vraiment capital. »

Un attaquant pourrait injecter du code HTML sur la page

Parmi les 13 spécifications du HTML5 auxquelles elle s'est intéressée, l'Enisa a relevé 51 problèmes de sécurité. « Certains d'entre eux peuvent être corrigés en peaufinant le cahier des charges, mais d'autres exposent à des risques relatifs aux fonctionnalités et sur lesquels les utilisateurs devraient être avertis », explique Giles Hogben. Une spécification, appelée « form tampering » dans le document, et relative à la modification de formulaire, préoccupe notamment les experts de l'agence européenne de sécurité informatique. La spécification HTML 5 actuelle permet de placer le bouton « soumettre » d'un formulaire Internet n'importe où sur la page. Cela signifie qu'il serait possible pour un attaquant d'injecter un autre code HTML sur la page, par exemple un bouton de formulaire différent, et de diriger les informations de ce bouton vers l'attaquant plutôt que vers le site web légitime. L'expert reconnait que la nouvelle fonctionnalité présente des avantages pour les développeurs. « Nous ne suggérons pas que le W3C supprime cette fonction, précise-t-il, mais qu'elle informe les utilisateurs des risques potentiels ».

L'Enisa fait également des recommandations sur la façon dont les navigateurs doivent se comporter quand un utilisateur se sert d'Internet pour effectuer des transactions bancaires. Selon ces recommandations, les utilisateurs devraient, pour cela, utiliser différents navigateurs, ou au moins avoir recours à des sessions « sandbox » s'ils ouvrent plusieurs onglets dans leur navigateur. « Une session bac-à-sable permettrait d'éviter qu'un autre onglet, susceptible de contenir une page d'attaque, tire parti d'un paramétrage insuffisant ou de permissions définies pour l'ensemble de l'application. »

L'Enisa a prévu d'envoyer ses recommandations à chaque groupe de travail du W3C, qui planche sur une révision des spécifications pour janvier 2012.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
35 ans
30 Mai 1983 n°104
Publicité
Publicité