Depuis le 30 mai, Content Security Policy (CSP) 1.0 est supporté par Firefox, dans le canal Aurora (version pre-beta de Firefox). C'est une bonne occasion de parler de cette nouvelle méthode de protection de l'utilisateur qui tend à être intégrée dans tous les navigateurs.

Content Security Policy ?

CSP est un mécanisme de sécurité dont le but est de protéger l'utilisateur contre les failles XSS (cross-site scripting) en permettant aux sites web de restreindre l'origine des scripts. CSP a été crée par la fondation Mozilla, et les premières implémentations ont été intégrés à Firefox 4. Depuis le 15 novembre 2012, c'est même une recommandation candidate du W3C, et c'est cette version qui sera intégrée dans Firefox 23.

NdM : merci à xenom pour son journal.

Une nouvelle porte dérobée (« backdoor ») utilisant un Apache httpd modifié, nommée Linux/Cdorked.A, a été détectée par ESET et Sucuri. L’intérêt de cette porte dérobée est qu'elle est très évoluée et se dissimule très bien, rendant difficile sa découverte. Seul le fichier binaire httpd (le démon Apache) est modifié, et toutes les informations du logiciel malveillant (« malware ») sont stockées en mémoire partagée. La configuration du logiciel malveillant et ses ordres sont envoyés par des requêtes HTTP GET rendues peu lisibles, mais surtout non-journalisées par Apache.

Ce logiciel malveillant redirige les utilisateurs vers des sites malveillants utilisant le paquet d'exploitation Blackhole, pour infecter le client. Après redirection, un cookie est enregistré sur le poste, pour ne plus rediriger l'utilisateur lors des prochaines visites. Ce cookie est aussi installé si la page demandée par l'utilisateur ressemble à une page d'administration (si l'URL contient des mots comme admin, webmaster, support) pour ne pas rediriger un potentiel administrateur du site afin de ne pas l'alerter.

NdM : merci à xenom pour son journal.

L'AFNIC a annoncée qu'il sera possible à partir du 3 mai prochain de réserver des noms de domaine comprenant des accents et des ligatures (æ,œ) ou autres caractères "spéciaux" (ß, ç). L'AFNIC gère les TLD suivant : .fr (France), .re (Réunion), .yt (Mayotte), .tf (Terres australes et antarctiques françaises), .wf (Wallis-et-Futuna), .pm (Saint-Pierre-et-Miquelon).

La première période, du 3 mai au 3 juillet, permettra seulement aux propriétaires de noms de domaines de réserver l’équivalent de leur nom de domaine avec accent, par exemple seul le possesseur de sante.fr pourra réserver santé.fr (« "Grandfathering" rule »). À partir du 3 juillet, tout le monde pourra réserver un nom de domaine accentué.

Les questions posées lors de l'internationalisation des noms de domaine ressortent un peu (cyber-squatting, phishing...) mais ont déjà été longtemps débattues.

NdM : merci à xenom pour son journal.