RFC 6454 : The Web Origin Concept
Chaque jour, plusieurs failles de #sécurité sont annoncées frappant un site #Web, ou, plus rarement, un navigateur. Ces failles proviennent souvent de l’exécution de code, par exemple Java ou #JavaScript, téléchargé depuis un serveur qui n’était pas digne de confiance, et exécuté avec davantage de privilèges qu’il n’aurait fallu. Une des armes principales utilisées par la sécurité du Web, pour essayer d’endiguer la marée de ces attaques, est le concept d’origine (#SOP). L’idée est que toute ressource téléchargée (notamment le code) a une origine, et que cette ressource peut ensuite accéder uniquement à ce qui a la même origine qu’elle. Ainsi, un code JavaScript téléchargé depuis www.example.com aura le droit d’accéder à l’arbre DOM de www.example.com, ou à ses cookies, mais pas à ceux de manager.example.net. Ce concept d’origine semble simple mais il y a plein de subtileries qui le rendent en fait très complexe et, surtout, il n’avait jamais été défini précisément. Ce que tente de faire ce #RFC.
►http://www.bortzmeyer.org/6454.html