Des chercheurs de l'université de Stanford et de l'UCL (University College London) en partenariat avec des chercheurs de Mozilla et Chrome ont mis au point un nouveau système de confidentialité qui permet d'ajouter une couche de sécurité supplémentaire aux navigateurs web modernes.
Le système, appelé COWL (Confinement with Origin Web Labels), tente de protéger les sites web reposants sur des bibliothèques JavaScript tierces de voler des mots de passe secrètement ainsi que d'autres données sensibles. Ceci, en introduisant un accès contrôlé basé sur des étiquettes et des contextes de navigation.
« Les développeurs pourront, non seulement limiter avec qui ils partagent des données, mais pourront aussi imposer des restrictions sur la façon dont leurs données sont diffusées une fois qu'elles ont été partagées ».
L'équipe qui a réalisé ce système affirme qu'il ne réduit que légèrement la vitesse de traitement du navigateur. En effet, quatre applications web ont été testées avec COWL, dont essentiellement un gestionnaire de mots de passe, et un site web qui inclut jQuery. Les résultats publiés par l'équipe de recherche démontrent que le ralentissement ne dépasse pas les 16 millisecondes, ce qui est « imperceptible par les utilisateurs ». De plus, l'API est assez facile à utiliser, un exemple est disponible sur ce lien (anglais).
COWL est implémenté en tant qu'API DOM pour Firefox et Chrome. Il devrait aussi être compatible avec Safari puisque celui-ci utilise un webkit similaire à Chrome.
Une première version du système devrait être disponible prochainement en téléchargement gratuit, sous une licence open source.
Exemple d'utilisation de COWL pour la protection de mots de passe
Source : Site web de COWL
Et vous ?
Pensez-vous que ce système sera efficace pour lutter contre les bibliothèques JavaScript frauduleuses ?
COWL : une API DOM pour éviter aux scripts JavaScript de voler des données
Il empêche le code de communiquer avec des machines non autorisées
COWL : une API DOM pour éviter aux scripts JavaScript de voler des données
Il empêche le code de communiquer avec des machines non autorisées
Le , par Amine Horseman
Une erreur dans cette actualité ? Signalez-nous-la !