Accès au Web

Les "cookies"

• initialement développé par Netscape; maintenant aussi supporté par Internet Explorer
• mécanisme maintenant standardisé (RFC 2965: HTTP State Management Mechanism)
• permet à un serveur Web de "déposer" de l'information chez l'utilisateur et de "relire" de l'information préalablement déposée
• utilisations possibles
  • panier d'achat que l'on remplit au cours de la visite d'un site commercial avant de passer "à la caisse"
  • lecture de magazines en-ligne avec mémorisation des articles et numéros déjà lus
• inconvénients:
  • si l'utilisateur n'y prend garde, de l'information peut être récoltée sur son parcours d'un site (non-respect de la sphère privée)
  • dans l'implantation actuelle de Netscape, un serveur peut retrouver les informations produites par d'autres sites
  • si plusieurs utilisateurs emploient la méme machine, il y a le risque qu'un site dépose des informations sur la carte de crédit de l'un d'eux et que d'autres puissent réutiliser cette information pour faire facturer leurs achats sur la carte de crédit du premier.

JavaScript

• langage de programmation permettant d'intégrer un programme directement dans le code HTML d'une page Web
• initialement conçu par Netscape pour permettre d'introduire des éléments interactifs dans des documents HTML; maintenant aussi supporté par Internet Explorer
• diverses failles de sécurité dues à des erreurs dans les butineurs:
  • un programme JavaScript peut relire des informations du disque dur de l'utilisateur et retransmettre l'information vers un autre site du réseau (Netscape Communicator 4.04, 4.05 et 4.5, Internet Explorer 4.0, 4.01 et 5.0beta);
  • il peut aussi retransmettre l'adresse électronique de l'utilisateur, ainsi que les adresses de documents visités (Netscape Navigator 4.0 à 4.04)
  • il peut espionner les pages que l'utilisateur visitera par la suite, même si ces pages sont sécurisées par SSL ou derrière une enceinte protégée (firewall)
• lors de l'accès à un site sécurisé, tout script provenant de ce site n'aura plus aucune contrainte de sécurité et aura complet accès à toutes les données du butineur (lecture+modification): historique des URLs visitées, cookies, affichage de l'URL dans le champ d'adresse, etc.

Java

• langage de programmation conçu pour assurer un maximum de sécurité
• une "applet" Java peut être activée par la visualisation d'un document HTML
• une applet n'est pas directement exécutée par la machine, mais "interprétée" par le butineur Netscape avec des restrictions assez drastiques
• les principaux risques résident dans des failles du système de sécurité du butineur

ActiveX

• composants logiciels développés en Visual Basic et spécifiques à la platteforme PC/Windows
• ne fonctionne qu'avec Internet Explorer
• les composants ActiveX peuvent porter une signature digitale, mais ne sont pas limités dans ce qu'ils peuvent faire (la signature est sensée permettre de retrouver l'auteur du composant)
• si un composant ActiveX n'est pas signé, ou si la signature est certifiée par une autorité de certification inconnue, un panneau de dialogue avertit l'utilisateur du risque et lui permet de refuser le transfert du composant (pour autant que le niveau de sécurité associé aux composants ActiveX ait été configuré de manière appropriée)
• le mécanisme de certification ne protège pas l'utilisateur de bugs d'un composant ActiveX
• il n'y a pas de "traces" des composants ActiveX chargés par le butineur; il est donc difficile, après coup, de déterminer lequel a causé un problème donné.
• il a été démontré, par un club de "bidouilleurs" allemands, que des transactions bancaires frauduleuses peuvent être effectuées à l'aide de composants ActiveX (copie)

Smart Browsing

• introduit par Netscape dans son "Navigator" depuis la version 4.06, ce mécanisme appelé "smart browsing" et lié à l'utilisation du bouton "What's related", avertit www-rl4.netscape.com de chaque nouveau document visité. Chaque utilisateur laisse donc une trace électronique de ses tribulations dans le cyber-espace sur un serveur centralisé
• le but de ce mécanisme est de permettre au lecteur d'un document de trouver des documents traitant du même sujet
• même les tribulations au sein d'un intranet sont divulguées
• trois configurations possibles:
  1. Always: (valeur par défaut) le site Netscape est averti du document courant et des 1000 prochains documents visités après l'utilisation du bouton What's related
  2. After First Use: le site Netscape est averti du document courant et des 3 prochains documents visités après l'utilisation du bouton What's related
  3. Never: le site Netscape n'est averti que du document courant au moment de l'utilisation du bouton What's related
• les résultats fournis par le bouton "What's related" contiennent des URLs de la forme: http://info.netscape.com/fwd/rl/http://www.example.com:80/. C'est donc le site Netscape qui est contacté et qui re-dirige l'utilisateur vers le site de destination. Le site Netscape sera donc averti du choix des utilisateurs.
• ceux qui utilisent des serveurs web pour leur courrier électronique (p.ex. HotMail) doivent se méfier d'autant plus
• toutes les fragments d'information récoltés et centralisés constituent une mine d'informations sur les sites des utilisateurs (noms de machines, URLs de documents Intranet, etc.)
• chaque fragment d'information envoyé à Netscape est accompagné d'un cookie (NETSCAPE_ID) qui est toujours le même pour un utilisateur donné. Ce cookie accompagne aussi toute requête envoyée au site Netscape
• les utilisateurs qui télé-chargent des logiciels du site Netscape doivent fournir leur nom, prénom, adresse, etc. A partir de cela, Netscape peut identifier les utilisateurs et établir un profil très précis de leur utilisation du Web

Objets externes

• La balise <object>, introduite dans la syntaxe HTML 4.0, sert à inclure dans un document HTML des éléments stockés séparément. Ces éléments peuvent être des images ou d'autres contenus multimédia, des applets, des scripts (JavaScript ou autre), ou d'autres types de contenus pouvant éventuellement faire intervenir un programme externe pour en assurer le rendu.
• Si un objet a un contenu exécutable (applet, script, etc.), le butineur devrait se conformer aux préférences de sécurité choisies par l'utilisateur.
• Dans certaines versions 4.x et 5.x d'Internet Explorer, un object contenant une base de donnée Access pourrait être chargé et les macros Visual Basic (VBA) qu'il contient exécutées sans que l'utilisateur en soit averti ou ait la possibilité de l'empécher. Voir CA-2000-16.

Problèmes de sécurité liés aux programmes CGI

---

• Results of the Security in ActiveX Workshop (fichier PDF, 53 pages)
• Netscape Security Notes
• NetScape Navigator JavaScript Trojan Horse
• WWW Browser Security & Privacy Flaws
• "Son of Cache-Cow" Netscape Vulnerability
• Do "Cookies" Pose any Security Risks?, extrait de The World Wide Web Security FAQ
• Le site CookieCentral fournit plein d'informations sur le fonctionnement des cookies
• Are there any known security holes in JavaScript?, extrait de The World Wide Web Security FAQ
• What is ActiveX? Does it pose any risks?, extrait de The World Wide Web Security FAQ
• ActiveX used as hacking tool (copie), article de C|NET
• Crackers Shuffle Cash With Quicken, ActiveX, article du magazine Wired
• ``What's Related?'' Everything But Your Privacy, par Matt Curtin, Gary Ellison et Doug Monroe
• How Web Servers' Cookies Threaten Your Privacy, du site JunkBusters. Voir aussi la section Cookies de leur liste de liens
• What's Related FAQ (Netscape)
• RFC 2965: HTTP State Management Mechanism
• A Collection of Increasingly Hostile Applets, article by Mark D. LaDue
• Finjan Software a un outil de securité pour détecter et combattre des applets Java suspectes.
• ma liste de ressources Java
• Problèmes de sécurité liés à l'utilisation de Internet Explorer 4 (copie locale)
• Stealing data via Internet Explorer 4
• Web Spoofing: An Internet Con Game, rapport du groupe "Secure Internet Programming" de l'Université de Princeton
• Security Tradeoffs: Java vs. ActiveX, rapport du groupe "Secure Internet Programming" de l'Université de Princeton
• Applet Security Frequently Asked Questions
• Le site freedOm fournit beaucoup d'informations sur les aspects de respect de la sphère privée

---