Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Mozilla introduit une nouvelle mesure de sécurité afin de mieux protéger les internautes

avril 2012 par CERT-XMCO

* Mozilla Weighing Opt-In Requirement for Web Plugins

- Date : 13 Avril 2012

- Criticité : Moyenne

- Description :

Afin de diminuer l’exposition des internautes aux contenus malveillants que l’on peut trouver sur Internet, Mozilla envisage de mettre en place une nouvelle fonction de sécurité baptisée "click to play". Grâce à celle-ci, les contenus dynamiques liés à des plug-ins tiers tels que les animations Flash, les applets Java, ou encore le plug-in multimédia de VLC ne seraient plus chargés automatiquement par le navigateur (Firefox en l’occurrence). Au lieu de cela, l’utilisateur aurait la responsabilité de ses actions. Il devrait en effet demander spécifiquement au navigateur de charger le logiciel tiers, en cliquant sur la page à l’emplacement prévu pour l’affiche du contenu multimédia.

L’ajout de cette nouvelle fonction de sécurité aura par ailleurs un autre effet positif : accélérer le chargement des pages et le temps de réponse du navigateur, en évitant de surcharger le système en exécutant un grand nombre d’animations superflues, telles que les publicités par exemple.

À première vue, "click to play" semble relativement inspiré du comportement de l’extension NoScript qui permet de définir un comportement similaire pour les plug-ins tiers.

La responsabilisation de l’internaute est probablement une bonne chose. En effet, la sensibilisation de ces derniers sera probablement plus simple à mettre en oeuvre pour les acteurs du monde de la sécurité dès lors que les utilisateurs se rendront compte qu’ils sont souvent le maillon faible dans les scénarios d’attaque sur Internet.

Cette nouvelle fonction est attendue pour la version 14 de Firefox, qui est prévue pour juillet 2012. Reste d’ici là à définir les paramètres de configuration et à trouver comment configurer cette fonction de la manière optimale par défaut. De nombreuses questions épineuses nécessitent en effet toujours une réponse : par exemple, les contenus distribués au travers de SSL sont-ils plus "sûres" que les autres ?

- Référence :

http://threatpost.com/en_us/blogs/m...

http://msujaws.wordpress.com/2012/0...

- Lien extranet XMCO :

https://cert.xmco.fr/veille/client/...


Voir les articles précédents

    

Voir les articles suivants