Blog Stéphane Bortzmeyer : RFC 6454 : The Web Origin Concept

« Le Ministère de l’Intérieur, par l’intermédiaire du site permettant la génération d’attestations de déplacement dérogatoire COVID-19, est en mesure d’assurer un pistage nominatif des citoyens, en usant de procédés comparables à ceux qu’emploient les régies publicitaires et d’autres spécifiques aux services de renseignement. »

►https://www.broken-by-design.fr/posts/attestation-covid-19

L’article intéressera les développeureuses Web car il est très bien expliqué. Leçon : il n’y a pas que les cookies pour pister.

#vie_privée #TousAntiCovid #pistage_Web #SOP #localStorage

RFC 6454 : The Web Origin Concept

Chaque jour, plusieurs failles de #sécurité sont annoncées frappant un site #Web, ou, plus rarement, un navigateur. Ces failles proviennent souvent de l’exécution de code, par exemple Java ou #JavaScript, téléchargé depuis un serveur qui n’était pas digne de confiance, et exécuté avec davantage de privilèges qu’il n’aurait fallu. Une des armes principales utilisées par la sécurité du Web, pour essayer d’endiguer la marée de ces attaques, est le concept d’origine (#SOP). L’idée est que toute ressource téléchargée (notamment le code) a une origine, et que cette ressource peut ensuite accéder uniquement à ce qui a la même origine qu’elle. Ainsi, un code JavaScript téléchargé depuis www.example.com aura le droit d’accéder à l’arbre DOM de www.example.com, ou à ses cookies, mais pas à ceux de manager.example.net. Ce concept d’origine semble simple mais il y a plein de subtileries qui le rendent en fait très complexe et, surtout, il n’avait jamais été défini précisément. Ce que tente de faire ce #RFC.

►http://www.bortzmeyer.org/6454.html