La dernière mise à jour du Mozilla Firefox navigateur Web, Firefox 88, a ajouté une nouvelle fonctionnalité de confidentialité qui traite d’un JavaScript variable appelée «window.name». Habituellement, lorsque vous ouvrez un nouvel onglet dans un navigateur, il peut marquer le nouvel onglet avec un nom ou une balise. Cette page «nommée» peut être utilisée comme cible pour ouvrir plus de contenu et, en tant que telle, laisse une fenêtre permettant aux pirates de fouiner votre système.

Selon un rapport de nakedsecurity.sophos.com, la propriété window.name «ne suit pas la soi-disant politique de même origine (SOP), où seuls les cookies et les variables JavaScript définis par le site Web X peuvent être lus par le site Web. X. La SOP est un élément fondamental de la sécurité Web car elle empêche le site Y, qui peut être une page marketing sans scrupules ou un site de hameçonnage géré par des escrocs, d’accéder aux données personnelles stockées par le site X. « 

Pourquoi la propriété window.name peut-elle être dangereuse? Les cookies et autres variables JavaScript spécifiques au site peuvent stocker des informations sensibles telles que votre nom d’utilisateur, vos informations de connexion pour les banques, votre profil, le contenu de votre panier, etc. Ainsi, la propriété window.name pourrait être exploitée pour contourner les SOP et les attaques de logiciels malveillants plantées.

Mais avec Firefox 88, la société affirme avoir bouché ce trou. « Pour fermer cette fuite, Firefox limite désormais la propriété window.name au site Web qui l’a créée. » Avec la nouvelle mise à jour, maintenant, lorsqu’un utilisateur ouvre un onglet dans Firefox, il limite la propriété window.name à cet onglet uniquement. Si vous entrez une autre adresse dans cet onglet, la valeur stockée sous la variable window.name est supprimée et, par conséquent, aucune trace d’activité Web ne peut, espérons-le, fuir.

FacebookTwitterLinkedin