J'ai appris à aimer la politique d'origine homosexuelle

Cette année, j'ai collaboré avec Noam Rosenthal sur la normalisation d'une nouvelle fonctionnalité de plate-forme Web: ajustant dynamiquement la taille et la résolution de l'image. Succès! Cependant, le voyage était une courbe d'apprentissage abrupte.

Bien que je prévoyais des défis tels que les commentaires du navigateur et les obstacles techniques imprévus, j'ai sous-estimé l'impact sur les principes de sécurité Web et de confidentialité. Ma compréhension préalable de ces principes était insuffisante.

Notre objectif était de modifier la taille d'affichage par défaut des images. Une image 800x600, par défaut, rend les pixels CSS 800x600. Il s'agit de sa taille intrinsèque (ou de sa taille naturelle), avec une densité par défaut de 1x.

Le défi est apparu lors du service d'images de densité élevés, faibles ou variables sans CSS ni HTML. Il s'agit d'un besoin courant pour des hôtes d'image comme mon employeur, Cloudinary.

Notre solution impliquée:

1. Les navigateurs lisent et appliquent des métadonnées dans les ressources d'image pour déclarer la taille et la résolution de l'affichage prévus.
2. Respect par défaut du navigateur pour ces métadonnées, remplacée via CSS ( image-resolution ) ou le balisage (descripteurs x de srcset ).

Cela semblait un son - flexible et en s'appuyant sur les modèles existants. Cependant, la rédactrice en chef de HTML Spec, Anne Van Kesteren l'a rejetée, citant une violation de la politique d'origine homosexuelle (SOP). L'orientation de l'image a également besoin d'une réévaluation. La capacité de basculer les effets des métadonnées exige via CSS / HTML a violé la SOP.

Ma compréhension initiale de la SOP s'est limitée aux erreurs CORS. Maintenant, cela entrave un projet majeur. J'ai dû apprendre!

Mes principaux à retenir:

• SOP n'est pas une seule règle, ni uniquement sur les erreurs CORS.
• C'est une philosophie évolutive, mise en œuvre de manière incohérente.
• Le principe de base est que les limites de la sécurité et de la confidentialité du Web sont définies par les origines . L'origine partagée implique une interaction sans restriction; Sinon, les restrictions s'appliquent.
• De nombreuses interactions cross-originaux sont autorisées. Les sites Web peuvent généralement écrire à travers les origines (demandes de poste) et intégrer des ressources d'origine transversale (iframes, images). Cependant, la lecture des ressources d'origine transversale en JavaScript nécessite une autorisation explicite (COR).
• Surtout, la prévention des lectures de l'origine transversale protège la confidentialité des utilisateurs. Chaque utilisateur voit un Web personnalisé, influencé par les cookies et le contexte local. Permettre aux sites Web de lire les données d'autres sites via le navigateur d'un utilisateur serait un défaut de sécurité majeur.

SOP concerne principalement la prévention des lectures des originaux. D'autres actions croisées sont souvent autorisées par défaut.

Le problème de la taille de l'image / de la résolution:

Imaginez https://coolbank.com/hero.jpg , renvoyant un contenu différent en fonction de l'état de connexion de l'utilisateur. La version connectée peut inclure des informations de résolution EXIF, tandis que la version déconnectée ne le fait pas. Un acteur malveillant pourrait intégrer cette image, vérifier sa taille intrinsèque (avec et sans exif), déduire le statut de connexion et potentiellement lancer des attaques de phishing.

Tout en n'accédant pas aux données de pixels (en raison de COR), l'acteur gagne des informations sur les origines - une violation.

Notre solution: Dans les contextes croisés, les modifications EXIF ​​sont toujours appliquées, ce qui rend les informations illisibles. Une image avec une taille spécifiée par EXIF ​​rendra toujours en fonction de cette taille, indépendamment des remplacements CSS.

Comprendre SOP a clarifié d'autres concepts de sécurité Web:

• La contrefaçon de demande de site transversal (CSRF) exploite l'allocation par défaut des écritures d'origine croisée.
• Les contrôles de la politique de sécurité du contenu (CSP) ont permis des intérêts , aborder les vulnérabilités de script inter-sites (XSS).
• COOP, COEP, CORP et CORB visent à éliminer les interactions d'origine croisée, à s'attaquer aux incohérences dans la mise en œuvre de la SOP et à atténuer les vulnérabilités comme Spectre.

En bref:

• La sécurité Web et la confidentialité sont robustes, en fonction des restrictions d'interaction basées sur l'origine.
• Les lectures d'origine transversale sont interdites par défaut pour protéger la confidentialité des utilisateurs.
• Toute lacune SOP, aussi petite, est un risque de sécurité.

Mon expérience 2020 a souligné l'importance critique de la SOP et la nécessité de pratiques de sécurité Web strictes. Un avenir plus sûr et plus sûr nécessite une défense inébranlable de ces principes.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!