Cross-scripting : Mozilla teste un outil de sécurité

Le XSS, ou cross-scripting, est l'une des menaces qui se répand de plus en plus sur la Toile. La personne malintentionnée exploite ainsi une faille, par exemple le lecteur Adobe Flash Player, et injecte du code directement au sein d'une page web. C'est ainsi que Google purge fréquemment les résultats de son moteur de recherche particulièrement prisé par les hackers pour rendre les pages web incriminées encore plus visibles et plus accessibles aux internautes. Mozilla tente de lutter contre ce type d'attaque et a intégré au sein de sa dernière build la technologie CSP (Content Security Policy).

Mozilla explique que les attaques par cross-scripting sont rendues possibles parce qu'au chargement d'une page l'ensemble des éléments sont traités sur un même plan. De son côté CSP permet aux sites Internet de communiquer avec les navigateurs en identifiant les éléments qui ont été légitimement codés et marqués par le développeur. De son côté, le développeur ne devra pas ajouter de JavaScript directement au sein de sa page mais le charger à partir d'une source en plaçant un lien dans le code de sa page. Cette source hébergeant les différents scripts devra être listée sur un hébergeur approuvé.

Brandon Sterne, responsable de la sécurité chez Mozilla explique sur son blog officiel : « nous sommes très emballés d'avoir reçu autant de retours positifs de la part des autres éditeurs de navigateurs, d'administrateurs de sites Internet et d'experts en sécurité ». La build en question est disponible en bêta ici. Retrouvez de plus amples détails sur CSP ici.