HTML5 : découverte d'une vulnérabilité dans l'API requestAnimationFrame
Permettant à un hacker d'obtenir l'historique de navigation

Le , par Cedric Chevalier, Chroniqueur Actualités
HTML5 est une technologie qui a apporté son lot de fonctionnalités et d'innovations pour le développement web. Cependant, comme toute technologie, celle-ci présente aussi des points faibles qui peuvent être exploités par des hackers pour l'obtention d'informations sensibles.

Lorsqu'une page web contient un ou plusieurs liens, le navigateur doit déterminer à quel moment il faut appliquer un style visuel pour faire la différence entre un lien déjà visité d'un autre qui ne l'a pas encore été. Pratiquement, il consulte l'historique de navigation à cette fin.

Légitimement, l'API requestAnimationFrame est appelée chaque fois qu'une page web a besoin d'être redessinée. Malicieusement, un hacker peut s'en servir pour calculer le « framerate » d'une page web, et par là déterminer quels éléments ont été redessinés.

Dans le cas où les éléments d'intérêt sont des liens vers d'autres pages, alors le hacker peut entrer en possession de l'historique de navigation d'un utilisateur.

Par ailleurs, les filtres SVG sont aussi une nouveauté d'HTML5 présentant un risque pour les internautes. Ils peuvent être utilisés pour déterminer la valeur des pixels de chaque élément d'une page web. Dans le cas d'une « iframe », les valeurs des pixels peuvent être obtenues en utilisant une technique similaire à l'OCR (Optical Character Recognition). Cette vulnérabilité permet au hacker d'obtenir des informations sensibles des utilisateurs.

Pour les utilisateurs, le moyen de défense le plus recommandé réside dans l'utilisation du mode de navigation privée. Pour les possesseurs de sites web, désactiver l'« iframe » permet de se protéger de l'attaque par utilisation de filtres SVG.

Source : WhitePaper

Et vous ?

Doit-on s'alarmer après la publication de cette vulnérabilité ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Offres d'emploi IT
Ingénieur étude et développement contrôle commande junior h/f
CDI
EXPERIS IT - Languedoc Roussillon - Bagnols-sur-Cèze (30200)
Parue le 24/07/2014
Ingénieur développement (h/f)
CDI
Kacileo - Ile de France - Paris (75000)
Parue le 11/07/2014
Développeur web magento h/f
CDI
EXPERTS - Provence Alpes Côte d'Azur - Sophia-Antipolis
Parue le 18/07/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula