Mozilla dévoile « Plug-n-Hack »un nouveau standard pour simplifier l’interaction entre les outils de sécurité et les navigateurs
Certains doivent se souvenir de leur début difficile dans le domaine de la sécurité des applications web. Beaucoup ont surement dû jeter l’éponge trop tôt, à cause de la difficulté de configuration de l’environnement de tests des tutoriels. À titre d’exemple, capturer les requêtes HTTPS d’un navigateur à partir d’une solution comme Web Scarab n’est pas une tâche aussi simple qu’on pourrait le penser. Elle se déroule en plusieurs étapes, faisant intervenir la configuration d’un proxy ainsi que des certificats de sécurité. L’échec d’une seule de ces étapes conduit non seulement à un navigateur incapable d’ouvrir un site web, mais aucun trafic n’est non plus capturé par le logiciel de sécurité.
Simon Bennett, ingénieur en sécurité en fonction chez Mozilla et créateur de ZAP (Zed Attack Proxy), un fork de Paros Proxy (un logiciel dédié à la sécurité des applications web), propose un standard ouvert sous licence « Mozilla Public Licence 2.0 » pour simplifier les processus autour de la sécurité des applications web.
Ce nouveau standard, baptisé « Plug-n-Hack », définit comment les logiciels employés dans la sécurité web et les navigateurs doivent interagir de façon utile et exploitable. Pour revenir au cas de figure énoncé plus haut, concernant la mise en place de l’environnement de tests, Plug-n-Hack aurait épargné à plus d’un cette tâche ingrate, leur permettant de se concentrer uniquement sur l’essentiel : tester la sécurité des applications web.
Le standard a été conçu pour n’être lié à aucune solution de sécurité ou navigateur web particulier. Ce qui rend son intégration possible avec la multitude d’outils libres comme payants disponibles sur Internet.
Plug-n-Hack est encore en cours de développement. Firefox 24 et ZAP bénéficient de ses fonctionnalités. L’intégration du standard dans le logiciel BURP est à venir.
ZAP en action dans Firefox (intégration rendue possible par Plug-n-Hack)
Télécharger l'extension ZAP prenant en charge Plug-n-HackSource : blog Mozilla
Et vous ?
Vous reconnaissez-vous dans ces amateurs en sécurité qui ont éprouvé des difficultés à mettre en place des environnements de tests de sécurité d'applications web ? Que pensez-vous de ce protocole ? Allez-vous l’adopter ?
Vous avez lu gratuitement 21 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
