Selon le MITRE, les failles les plus dangereuses en 2019 ont été les suivantes :
1. Buffer Overflow
2. XSS
https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html …
Est-ce qu'on a le droit de penser que la sécurité est un échec ? 
Il n'y a plus rien comme protections côté navigateur, sauf si tu penses aux Trusted Types ?
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection …
- Chrome has an "Intent to Deprecate and Remove the XSS Auditor"
- Firefox have not, and will not implement X-XSS-Protection
- Edge have retired their XSS filter
-
-
Plutôt les Content-Security-Policy, qui évitent (enfin, devraient éviter) le chargement de sources à la con ou l'injection de code par des tiers. Ça laisse sûrement d'autres trous (je pense aux extensions) mais j'ai l'impression que ça complique les attaques pas trop ciblées.
-
Ah mais Content Security Policy ça doit être configuré côté serveur, ça n'est pas assez utilisé, et les policies sont incorrectes sur 94,72% des sites testés en 2016
https://ai.google/research/pubs/pub45542 … - 1 more reply
New conversation -
Loading seems to be taking a while.
Twitter may be over capacity or experiencing a momentary hiccup. Try again or visit Twitter Status for more information.
