Apple Safari permet aux développeurs d'atténuer les failles Web grâce aux améliorations de WebKit CSP

Apple a ajouté une série de nouvelles fonctionnalités à WebKit, y compris la prise en charge améliorée de la politique de sécurité du contenu (CSP) de niveau 3, avec la dernière version de Safari version 15.4.

Selon les développeurs, cela donne un contrôle de sécurité amélioré sur le chargement du contenu et aide les développeurs Web à atténuer les risques de script intersite (XSS) et d’autres vulnérabilités.

Le signalement des violations de ressources bloquées pour le script en ligne, le style en ligne et l’exécution d’évaluation a également été mis à jour pour correspondre aux normes Web.

Et il y a un nouveau support pour « strict-dynamic », ce qui facilite le déploiement d’un CSP strict basé sur des nonces ou des hachages CSP.

Atténuation du XSS

« Ceci est essentiel pour les développeurs qui souhaitent atténuer XSS, l’une des vulnérabilités Web les plus importantes, en utilisant un CSP basé sur des nonces ou des hachages au lieu d’un CSP basé sur une liste d’autorisation, qui, selon nos recherches, peut être trivialement contourné dans plus de 90 % des cas en matière d’atténuation XSS », explique Lukas Weichselbaum, ingénieur en sécurité de l’information chez Google. La gorgée quotidienne.

« Google protège plus de 80 % de son trafic Web sensible avec un CSP strict basé sur le nonce, et a ainsi atténué un grand nombre de vulnérabilités XSS. Désormais, nous pouvons également protéger nos utilisateurs sur Safari et iOS où tous les navigateurs utilisent WebKit comme moteur de rendu.

CONSEILLÉ Le clone AirTag a contourné les fonctionnalités de protection contre le suivi d’Apple, affirme un chercheur

Pendant ce temps, il existe également un support pour les « hachages non sécurisés », permettant aux gestionnaires d’événements en ligne d’être hachés de la même manière que les hachages CSP permettent le hachage des scripts en ligne.

Et la prise en charge de ‘report-sample’ permet d’envoyer de courts échantillons de code qui enfreignent le CSP, en particulier pour les scripts en ligne et les gestionnaires d’événements en ligne.

« Ceci est essentiel pour lier un rapport à sa cause première et pour différencier les rapports non exploitables déclenchés par des extensions de navigateur, des logiciels malveillants, etc. », déclare Weichselbaum.

Avec la nouvelle version, les développeurs peuvent également inclure en toute sécurité du JavaScript externe dans leurs pages en utilisant une nouvelle prise en charge des expressions de source de hachage.

Et enfin, la prise en charge de l’auditeur XSS a été supprimée, qui, selon les développeurs, a été remplacée par des défenses d’origine croisée modernes telles que CSP et COEP.

« La sécurité dès la conception »

John Goodacre, directeur de Sécurité numérique dès la conceptionune initiative soutenue par le gouvernement britannique et professeur d’architectures informatiques à l’Université de Manchester, affirme qu’il reste à voir, cependant, si les développeurs feront l’effort supplémentaire d’utiliser les nouvelles fonctionnalités.

« Une tendance croissante, cependant, est de soulager quelque peu les développeurs de ces efforts en créant des technologies qui offrent une sécurité accrue dès la conception », a-t-il déclaré. La gorgée quotidienne.

« Cela pourrait inclure, par exemple, des outils et des cadres de développement qui implémentent automatiquement CSP, ou, comme cela est étudié dans le cadre du programme UKRI Digital Security by Design, où WebKit lui-même est implémenté à l’aide d’approches sécurisées par conception. »

Apple était en retard dans le jeu avec la prise en charge de CSP, y compris en octobre dernier – longtemps après d’autres grands navigateurs tels que Chrome, Firefox et Edge.

« C’est formidable de voir qu’Apple donne la priorité aux fonctionnalités de sécurité de la plate-forme Web qui permettent aux développeurs de créer des applications Web sécurisées », déclare Weichselbaum.

« Je serais ravi de voir un investissement continu dans ce domaine et, par exemple, j’espère que WebKit prendra également en charge Trusted Types dans un proche avenir. Trusted Types est déjà disponible dans Chrome et nous a permis de réduire considérablement la quantité de XSS basé sur DOM – l’une des variantes les plus courantes de XSS – dans les applications Google sensibles.

LIRE LA SUITE Google vérifie la montée en puissance de DOM XSS avec Trusted Types

Atténuation du XSS

« La sécurité dès la conception »

Investigation informatique – quand faire appel à un cyber-détective ?

Comment espionner WhatsApp sur iPhone ?

Où faut-il cacher une caméra espion ?

Comment espionner sa femme ?

Renseignement : épouses, mères et espionnes

Groupe coming out pour de nombreux footballeurs célèbres : annonce et nouveaux mots de Jankto

Karma B, les seules drag queens à avoir survécu sur Rai depuis l'arrivée de Meloni : « Est-ce qu'on se sent libre ?

Marcella Bella se considère comme une icône gay, mais Francesca Fagnani la met en difficulté

Les siamois Schappell sont décédés : l'un d'eux s'est révélé trans

Après Fazio et Amadeus, voici l'autre nom que Discovery aimerait piquer à Rai

Apple Safari permet aux développeurs d’atténuer les failles Web grâce aux améliorations de WebKit CSP

Atténuation du XSS

« La sécurité dès la conception »