Les développeurs Web qui s’appuient sur une solution de contournement assouplissant la même politique d’origine pour permettre aux sous-domaines d’échanger du contenu devront bientôt adopter une approche différente.
À partir de la prochaine version de Chrome 106, le navigateur Web de Google comblera une faille qui allait à l’encontre des meilleures pratiques et, plus important encore, qui constituait un danger dans les environnements hébergés.
Plus précisément, à partir de Chrome 106, les sites Web ne pourront pas définir ‘document.domaine’une technique qui permet des communications sur le même site mais sur plusieurs origines.
La version grand public actuelle du navigateur de Google – Chrome 100 – lance déjà un avertissement concernant la fonctionnalité bientôt obsolète qui permet aux développeurs de sites Web de profiter de document.domaine d’assouplir la politique de même origine.
Les développeurs de sites Web sont invités à analyser leur site Web pour accéder à l’impact potentiel de la dépréciation de document.domaine avant de submerger les cas où le « hack » a été appliqué pour une méthode plus sécurisée de communication cross-origin, comme expliqué dans un récent article de blog par Google.
« Sur Chrome, les sites Web ne pourront pas définir document.domaine. Vous devrez utiliser des approches alternatives, telles que postMessage() ou l’API Channel Messaging, pour communiquer entre les origines », explique Google.
« Si votre site Web repose sur l’assouplissement de la politique de même origine via document.domaine pour fonctionner correctement, le site devra envoyer un Origine-Agent-Cluster : ?0 header, comme tous les autres documents qui nécessitent ce comportement.
Ces techniques alternatives existent depuis quelques années. Cependant, en réalité, peu de développeurs s’appuient sur document.domaine d’assouplir la politique de même origine.
Désavoué
Google tue effectivement une fonctionnalité qui n’est pas largement utilisée et en tire un énorme avantage en matière de sécurité.
Le développement change le paradigme de sécurité du navigateur de isolement du site à l’isolement de l’origine – réduisant considérablement l’utilité des attaques de type Spectre dans le processus.
Google et d’autres fabricants de navigateurs préparent le terrain pour empêcher les attaquants de pivoter entre les sous-domaines à l’aide d’attaques de type Spectre.
Le politique de même origine offre l’assurance qu’aucune page Web ne peut accéder (modifier ou extraire des données) à une autre page, à moins que ces pages ne soient hébergées sur la même origine.
L’utilisation de document.domaine par les développeurs Web va à l’encontre de cette rubrique et constitue une menace particulière dans le contexte des attaques de type Spectre, en tant que Message Github du développeur de sécurité Google Chrome Mike West illustre.
Hôte de problèmes
Ensemble de sites Web document.domaine afin de permettre aux documents d’un même site de communiquer plus facilement. Tout en offrant des avantages pratiques, l’approche introduit un risque de sécurité, comme l’explique Google :
Si un service d’hébergement fournit différents sous-domaines par utilisateur, un attaquant peut définir document.domaine prétendre qu’ils sont de la même origine que la page d’un autre utilisateur.
De plus, un attaquant peut héberger un site Web sous un service d’hébergement partagé, qui dessert des sites via la même adresse IP avec des numéros de port différents.
Dans ce cas, l’attaquant peut prétendre être sur le même site mais de même origine que le vôtre. Ceci est possible car document.domaine ignore la partie numéro de port du domaine.
D’autres fabricants de navigateurs, y compris Mozillacherchent également à déprécier document.domaine.
