Le W3C présente Web cryptography API
Une norme pour améliorer la sécurité des applications Web

Le , par Hinault Romaric, Responsable Actualités
La sécurité est un aspect important dans le cycle de développement d’une application. Les développeurs ont souvent recours à des outils tiers ou doivent développer au prix de nombreux efforts leurs propres fonctionnalités de cryptographie.

Le W3C (World Wide Web Consortium), l’organisme de normalisation des standards du Web ouvert, travaille actuellement sur un standard qui vise à améliorer la sécurité des applications Web tout en facilitant la tâche du développeur.

L’organisme vient de publier un premier brouillon (draft) pour l’API Web cryptography.

Le projet a été mis en place et proposé par des ingénieurs de Google et de la fondation Mozilla, et devrait aboutir à l’intégration d’une API de cryptographie Web dans les navigateurs, qui permettrait aux applications Web d’effectuer des opérations de cryptographie de base.

Web cryptography sera une interface de programmation JavaScript qui fournira des fonctionnalités de sécurité comme le hachage, le chiffrement et le déchiffrement, la génération et la vérification des signatures, etc.

Les applications Web pourront par exemple utiliser l’API pour vérifier de manière plus sécurisée l’identité d’un utilisateur entre les navigateurs et les serveurs HTTP.

L’API pourra être utilisée dans le domaine du Cloud, pour l’authentification à plusieurs facteurs, la messagerie sécurisée, la signature des documents et l’échange des documents protégés, etc.

Source : Le Draft du W3C


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de alex_vino alex_vino
http://www.developpez.com
Membre Expert
le 19/09/2012 14:00
Intéressant.

Par contre j'ai du mal a cerner l'intéret pour les pages utilisant SSL, si ce n'est que ca évite d'avoir recours a un certificat pour par exemple s'authentifier via un Web Service.
Avatar de la.lune la.lune
http://www.developpez.com
Membre Expert
le 19/09/2012 14:03
D'abord je tiens à remercier ceux qui ont proposé cette techno car ça va vraiment nous faciliter la vie,a vu rapide sur le document on voit que la tache sera très simple au développeurs. Mais J'ai juste une petite question vu que c'est un premier brouillon, est ce que c'est déjà implémenté par au moins par Chrome et Firefox(les derniers version bien sûr) ou bien qu'il est implémenté aussi chez les autres navigateurs, Ou bien qu'il est implémenté nulle ? Celui qui est bien informé sur le sujet qu'il fasse part.
Avatar de alex_vino alex_vino
http://www.developpez.com
Membre Expert
le 19/09/2012 14:27
Citation Envoyé par la.lune  Voir le message
Ou bien qu'il est implémenté nulle ? Celui qui est bien informé sur le sujet qu'il fasse part.

C'est tres récent donc ca m'étonnerais. Pour que tous les navigateurs l'implémente ca prendra un peu de temps donc avant de l'utiliser en production le brouillon du W3C a le temps d'évoluer beaucoup.
Utilise les Beta channel de Chrome et Firefox si tu souhaites le tester des que possible, les deux aillant proposé le projet ils devraient l'implémenter assez rapidement.
Avatar de Marco46 Marco46
http://www.developpez.com
Expert Confirmé Sénior
le 20/09/2012 4:15
Donc au lieu de programmer les fonctions de sécurité en Java, C# ou PHP on pourra le faire en Javascript. Youpi.

Donc côté client au lieu de côté serveur.

Mais pour que le client puisse exécuter le code javascript il faut d'abord qu'il se connecte au serveur ...

D'où ma question : En quoi est-ce une amélioration et en quoi cela facilite-t-il la vie des développeurs ? Perso j'y vois plus des problématiques de sécurité supplémentaires qu'autre chose.

Les développeurs [...] ou doivent développer au prix de nombreux efforts leurs propres fonctionnalités de cryptographie.

Euh non, faut pas faire ça ...

Citation Envoyé par alex_vino
Par contre j'ai du mal a cerner l'intéret pour les pages utilisant SSL, si ce n'est que ca évite d'avoir recours a un certificat pour par exemple s'authentifier via un Web Service.

J'ai du mal à comprendre comment l'authentification d'un client gérée côté client pourrait être un gage de sécurité, c'est plutôt une aberration, ni en quoi ça soustrait de l'utilisation d'un certificat.
Offres d'emploi IT
Administrateur systeme-sauvegarde-exploitation (h/f)
CDI
CTS - Midi Pyrénées - Toulouse (31000)
Parue le 28/10/2014
Ingénieurs systèmes linux
CDI
Mobiskill - Luxembourg - luxembourg
Parue le 05/11/2014
Ingénieur Système H/F
CDI
Matmut - Haute Normandie - Rouen (76100)
Parue le 07/11/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula