Selon le MITRE, les failles les plus dangereuses en 2019 ont été les suivantes :
1. Buffer Overflow
2. XSS
https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html …
Est-ce qu'on a le droit de penser que la sécurité est un échec ? 
-
-
-
Ça paraît pas totalement déconnant vu toutes les merdes qu'on fout dans le JS, et vu qu'il est partout ...
1 reply 0 retweets 4 likes -
Bah, on aurait autre chose, les failles seraient sur autre chose. On a tellement de solution (y compris côté support des navigateurs) pour se protéger contre ça, ceux qui arrivent encore à en avoir le font exprès.
1 reply 0 retweets 0 likes -
Il n'y a plus rien comme protections côté navigateur, sauf si tu penses aux Trusted Types ?
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection …
- Chrome has an "Intent to Deprecate and Remove the XSS Auditor"
- Firefox have not, and will not implement X-XSS-Protection
- Edge have retired their XSS filter1 reply 0 retweets 0 likes -
Plutôt les Content-Security-Policy, qui évitent (enfin, devraient éviter) le chargement de sources à la con ou l'injection de code par des tiers. Ça laisse sûrement d'autres trous (je pense aux extensions) mais j'ai l'impression que ça complique les attaques pas trop ciblées.
2 replies 0 retweets 0 likes
Ah mais Content Security Policy ça doit être configuré côté serveur, ça n'est pas assez utilisé, et les policies sont incorrectes sur 94,72% des sites testés en 2016
https://ai.google/research/pubs/pub45542 …
-
-
Ah, j'ai dit "y'a des choses possibles". Le déploiement après… Quand on voit des SI qui nous demandent, dans leurs critères sécurité, le fameux X-XSS-Protection fin 2019, il reste du chemin.
0 replies 0 retweets 0 likesThanks. Twitter will use this to make your timeline better. UndoUndo
-
Loading seems to be taking a while.
Twitter may be over capacity or experiencing a momentary hiccup. Try again or visit Twitter Status for more information.
