Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Firefox 58 va bloquer un peu plus les Data URL de manière automatique

Avec Firefox 57, Mozilla avait modifié le comportement de son navigateur pour les Data URL (commençant par data:), qui permettent de placer du contenu et des scripts « inline » au sein d'une page en leur faisant prendre la forme d'un lien clicable.

Si cette fonctionnalité peut être utilisée de manière légitime, elle est aussi détournée à des fins de phishing et autres pièges destinés à tromper l'internaute.

Dans Firefox 58, qui doit arriver fin janvier, les choses vont encore un peu plus se durcir nous apprend un billet du blog dédié à la sécurité de Mozilla.

Cette fois, ces liens seront purement et simplement bloqués, à quelques exceptions près : les documents texte, les images (hors svg+xml), PDF et JSON, lorsque l'utilisateur tape volontairement la Data URL dans la barre d'adresse ou qu'il veut télécharger le fichier.

En cas de blocage, une alerte sera affichée dans la console.

10 commentaires
Avatar de v1nce INpactien
Avatar de v1ncev1nce- 29/11/17 à 11:49:43

Ca ressemble plus à une solution de facilité qu'à une vraie solution.
Et puis autoriser le PDF et pas le SVG ??? 

Avatar de lockidor INpactien
Avatar de lockidorlockidor- 29/11/17 à 13:12:01

> les images (hors svg+xml)

Faut lire tous les mots.

Avatar de laurient INpactien
Avatar de laurientlaurient- 29/11/17 à 14:16:42

lockidor a écrit :

> les images (hors svg+xml)

Faut lire tous les mots.

Ba oui c'est ce qu'il lit:
 ce qui est permis les documents texte, les images (hors svg+xml), PDF et JSON signifie que les SVG sont bloqués.

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 29/11/17 à 14:38:04

In more detail, the following cases will be blocked:

Web page navigating to a new top-level data URL document using: window.open(“data:…”); window.location = “data:…” clicking (including ctrl+click, ‘open-link-in-\*’, etc). Web page redirecting to a new top-level data URL document using: 302 redirects to “data:…” meta refresh to “data:…” External applications (e.g., ThunderBird) opening a data URL in the browser

Whereas the following cases will be allowed:

User explicitly entering/pasting “data:…” into the address bar Opening all plain text data files Opening “data:image/\*” in top-level window, unless it’s “data:image/svg+xml” Opening “data:application/pdf” and “data:application/json” Downloading a data: URL, e.g. ‘save-link-as’ of “data:…”

C'est pour éviter les redirections foireuses, car les url DATA: peuvent tout de même envoyer des informations aux serveurs. Ca doit être pour ca que le svg+xml est bloqué en top-level

Avatar de v1nce INpactien
Avatar de v1ncev1nce- 29/11/17 à 17:24:47

CryoGen a écrit :

C'est pour éviter les redirections foireuses, car les url DATA: peuvent tout de même envoyer des informations aux serveurs. Ca doit être pour ca que le svg+xml est bloqué en top-level

Ca doit aussi être le cas pour du PDF, non ? Entre un svg de base (sans scripting ni ressource externes) et un pdf qui contient des liens foireux, je ne sais pas qui est le plus dangereux.

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 29/11/17 à 17:40:29

Le problème n'est pas le lien mais l'envoi de données. Je pense que le soucis du SVG+XML c'est de pouvoir faciliter le phishing (saisi d'information dans le navigateur directement) alors que le pdf ne vas pas pouvoir (il me semble) permettre d'envoyer de l'info.

Celà dit je ne suis pas un expert là dedans, c'est juste que la brève de NXI est incomplète, notamment sur le problème de pouvoir exploiter des liens DATA: .

Avatar de Flykz Abonné
Avatar de FlykzFlykz- 29/11/17 à 18:29:21

Je sens que ça va être bien relou, je sais pas pourquoi.

Avatar de v1nce INpactien
Avatar de v1ncev1nce- 29/11/17 à 23:57:26

CryoGen a écrit :

Le problème n'est pas le lien mais l'envoi de données. Je pense que le soucis du SVG+XML c'est de pouvoir faciliter le phishing (saisi d'information dans le navigateur directement) alors que le pdf ne vas pas pouvoir (il me semble) permettre d'envoyer de l'info.

Ton SVG ne va pas poster le formulaire tout seul comme un grand. Sauf si le scripting est activé.
Mais tu as le même problème avec le PDF : tu peux intégrer des forms dans un PDF (genre des CERFA bien relous), et du javascript qui s'exécute automatiquement.

 Après si Firefox gère entièrement l'affichage du PDF (sans déléguer à un interpréteur externe ou à un plugin)  ils peuvent éliminer le problème (soit parce qu'ils traitent le problème soit tout simplement parce que les fonctionnalités de scripting ou d'envoi de form n'ont pas été implémentées dans le viewer)

Si on s'est emm*****és à faire en sorte que le PDF fonctionne c'est un peu dommage de ne pas accorder le même attention au svg. 

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 30/11/17 à 08:16:56

Bon déjà je viens de lire que Chrome/Chromium bloque aussi les data url, c'est qu'il doit y avoir un vrai problème de sécu avec ça :transpi:

Avatar de v1nce INpactien
Avatar de v1ncev1nce- 30/11/17 à 18:13:39

CryoGen a écrit :

Bon déjà je viens de lire que Chrome/Chromium bloque aussi les data url, c'est qu'il doit y avoir un vrai problème de sécu avec ça :transpi:

Je me plains des choix de firefox en matière de sécurité mais ils sont quand même largement au-dessus de Chrome qui est incapable de faire un modèle de sécurité potable et qui choisit systématiquement et de manière assumée la solution de facilité : tout bloquer. 

Il n'est plus possible de commenter cette actualité.