Firefox 58 va bloquer un peu plus les Data URL de manière automatique
Le 29 novembre 2017 à 09h27
1 min
Logiciel
Logiciel
Avec Firefox 57, Mozilla avait modifié le comportement de son navigateur pour les Data URL (commençant par data:), qui permettent de placer du contenu et des scripts « inline » au sein d'une page en leur faisant prendre la forme d'un lien clicable.
Si cette fonctionnalité peut être utilisée de manière légitime, elle est aussi détournée à des fins de phishing et autres pièges destinés à tromper l'internaute.
Dans Firefox 58, qui doit arriver fin janvier, les choses vont encore un peu plus se durcir nous apprend un billet du blog dédié à la sécurité de Mozilla.
Cette fois, ces liens seront purement et simplement bloqués, à quelques exceptions près : les documents texte, les images (hors svg+xml), PDF et JSON, lorsque l'utilisateur tape volontairement la Data URL dans la barre d'adresse ou qu'il veut télécharger le fichier.
En cas de blocage, une alerte sera affichée dans la console.
Le 29 novembre 2017 à 09h27
Commentaires (10)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 29/11/2017 à 11h49
Ca ressemble plus à une solution de facilité qu’à une vraie solution.
Et puis autoriser le PDF et pas le SVG ???
Le 29/11/2017 à 13h12
> les images (hors svg+xml)
Faut lire tous les mots.
Le 29/11/2017 à 14h16
Le 29/11/2017 à 14h38
In more detail, the following cases will be blocked:
Whereas the following cases will be allowed:
C’est pour éviter les redirections foireuses, car les url DATA: peuvent tout de même envoyer des informations aux serveurs. Ca doit être pour ca que le svg+xml est bloqué en top-level
Le 29/11/2017 à 17h24
Le 29/11/2017 à 17h40
Le problème n’est pas le lien mais l’envoi de données. Je pense que le soucis du SVG+XML c’est de pouvoir faciliter le phishing (saisi d’information dans le navigateur directement) alors que le pdf ne vas pas pouvoir (il me semble) permettre d’envoyer de l’info.
Celà dit je ne suis pas un expert là dedans, c’est juste que la brève de NXI est incomplète, notamment sur le problème de pouvoir exploiter des liens DATA: .
Le 29/11/2017 à 18h29
Je sens que ça va être bien relou, je sais pas pourquoi.
Le 29/11/2017 à 23h57
Le 30/11/2017 à 08h16
Bon déjà je viens de lire que Chrome/Chromium bloque aussi les data url, c’est qu’il doit y avoir un vrai problème de sécu avec ça " />
Le 30/11/2017 à 18h13