close

Google et Mozilla finalisent l’API Sanitizer pour les navigateurs Chrome et Firefox

Depuis longtemps, les développeurs d’applications cherchent des moyens pour mieux protéger leurs applications contre les attaques XSS. Heureusement, cela va prendre fin car les principaux navigateurs, Google et Mozilla, sont sur le point de terminer l’API Sanitizer pour résoudre ce problème, cela sera disponible dans les prochaines versions de Firefox et Chrome.

La désinfection HTML est un processus utilisé par les développeurs pour analyser les documents HTML et éliminer tout code nuisible. A la fin de cette procédure, un nouveau document est créé et celui-ci ne contient que du code sécurisé avec les balises souhaitées.

La désinfection permet de s’assurer que tout code soumis par un utilisateur ou même généré par un navigateur peut être exécuté en toute sécurité. C’est pourquoi un programme de désinfection HTML est très utile pour se défendre contre les attaques XSS.

Jusqu’à maintenant, ce processus dépendait uniquement d’une liste blanche ou noire, ainsi que d’autres moyens qui définissent quelles opérations peuvent être effectuées.

Lorsqu’il s’agit de traiter des applications, il y a souvent l’application du HTML dynamique dans le navigateur. Cela ouvre la voie à des failles de sécurité que les cybercriminels peuvent exploiter pour mettre en place des attaques XSS et saisir les données des utilisateurs.

Pour faire face à ces attaques, la plupart des développeurs sont contraints d’utiliser des applications JavaScript open-source, notamment DOMPurify, qui saisissent l’entrée HTML et l’aseptisent en retirant tout code pouvant constituer une faille de sécurité.

Même si cette méthode fonctionne, elle nécessite l’intégration de bibliothèques externes et l’envoi de certaines données, ce qui constitue un autre problème de sécurité. L’API Sanitizer cherche à déléguer ce processus au navigateur lui-même, cela rend donc le processus plus sûr, plus rapide et plus efficace.

Prise en charge native de la désinfection

L’API Sanitizer a été proposée par Google, Mozilla et Cure53 pour tenter de résoudre de manière définitive ce problème majeur qui n’a aucune solution fiable.

« La toute nouvelle proposition d’API Sanitizer va devenir une API considérée comme standard » a déclaré Lorenzo Stella, ingénieur en sécurité des applications chez Doyensec, à The Each day Swig.

« La navigateur dispose déjà d’un analyseur sûr et connaît la meilleure façon de traiter chaque élément vivant dans le DOM » a-t-il ajouté.

Travail en cours

L’API est actuellement en phase de test et ne peut être utilisée que sur Firefox Nightly et Chrome 94+, et avec des paramètres spéciaux.

Fredrick Braun, ingénieur en sécurité chez Mozilla, a déclaré : « nous appelons les développeurs ayant des points de vue différents à tester et à expérimenter avec l’aperçu pour s’assurer que l’API Sanitizer répond aux besoins et aux attentes des développeurs lors du déploiement initial, ce qui inclut la possibilité de maîtriser facilement le code actuel ».

La première version a été signalée comme présentant des problèmes, ils ont été identifiés et sont résolus dans la dernière version. La nouvelle version adopte l’approche DOM et corrige les failles de sécurité XSS précédemment détectées, ce qui rend beaucoup plus efficace la mise à jour du code existant pour utiliser les nouvelles fonctionnalités.

Braun a également souligné que « XSS reste l’un des problèmes de sécurité les plus dangereux, et est constamment classé en tête de la liste des faiblesses logicielles les plus dangereuses par MITRE ».

L’approche traditionnelle consiste à s’appuyer sur des applications tierces rendant le code plus vulnérable au XSS mutation, un type avancé d’attaque XSS qui manipule le code en fonction des différences entre les méthodes d’analyse du code HTML de chaque navigateur.

En laissant l’étape de suppression au navigateur de manière native, on s’assure que toute modification du HTML est effectuée avec plus de soin et avec un risque moindre d’être infiltré par des cybercriminels.

A utiliser en complément à d’autres outils de sécurité

Même si l’API rendra la suppression du mauvais code plus facile, selon Stella, elle ne doit pas être considérée comme un mécanisme unique pour toutes les applications.

« Il peut y avoir des exigences qui ne sont pas facilement satisfaites par une API polyvalente comme celle-ci. Cependant, cela peut s’avérer intéressant avec d’autres mécanismes » a-t-il commenté.

De cette manière, l’API peut être utilisée comme un complément à d’autres systèmes de sécurité, notamment ceux intégrés aux navigateurs comme Trusted Types, une toute nouvelle spécification conçue pour tenir à distance les attaques XSS basées sur le DOM.

Garantie satisfait ou remboursé de 30 jours
Tags : apichromefirefoxgoogleMozillaSanitizer
Shares