Sécurité de l'integration des contenus tiers - Page 1

Ce matin j'ai eu l'agréable surprise de voir que Zeph, toujours a la pointe de la technologie, avait apporté une nouvelle fonctionnalité du tonnerre au forum :


Après un moment de joie intense où j'imaginais tout ce que la VR allait pouvoir apporter à l'expérience du yAronaute, je me suis rendu a l'évidence : cela vient juste d'un des contenus vidéo intégrés en provenance d'un site tiers qui souhaite récupérer les infos de configuration des casques VR pour mieux nous traquer fournir une expérience publicitaire optimale.

Ce qui me chagrine particulièrement, c'est que le message indique que la demande vient de "yaronet.com". Est-ce que ça veux dire que l’intégration de contenu tiers n'est pas sandboxé dans un mécanisme comme une iframe et que ça peut injecter du code directement sur yAronet ? Ça me parait problématique d'un point de vue sécurité.

A priori le coupable est vimeo, et il est bien chargé via une iframe. Donc il semblerait que c'est Firefox qui décide d'afficher que la demande vient du site général et non celui de l'iframe. Je suis pas sur si c'est une bonne idée ou pas.

Ptet qu'ils font ça pour identifier l'onglet. Si t'es sur yn et qu'on te dit que vimeo tente de faire ceci ou cela, l'utilisateur lambda va se dire "il a fumé ou quoi ? je suis pas sur viméo là".

Cela dit "Voulez-vous autoriser viméo affiché sur le site yaronet.com à accéder..." serait plus factuel...

(mais ptet qu'il ne sait pas faire la différence)

En effet l'intégration est unsafe, comme c'est malheureusement le cas avec pas mal de fournisseurs disponibles via la balise [media] (également implicitement utilisée sur les URL nues). C'est pour ça d'ailleurs que cette balise n'accepte qu'une whitelist et pas n'importe quel site, et je n'ai pas trop d'autre choix que de faire confiance à ceux qui sont disponibles puisqu'ils demandent souvent de pouvoir exécuter du code directement sur la page. C'est légitime quand ça sert à ce que affichage se fasse bien (ce qu'une iframe ne permet pas simplement, à ma connaissance), ça l'est bien sûr moins quand ça sert à injecter tout un tas de scripts dans la page.

La seule chose que je peux proposer, c'est de virer les fournisseurs qui "trichent" comme vimeo.

Zeph (./4) :
La seule chose que je peux proposer, c'est de virer les fournisseurs qui "trichent" comme vimeo.

Il va rester quoi ? peertube ?

Déso Uther c'est effectivement dû au lien Viemo que j'ai posté sur Thalassa. Et malheureusement il n'existe pas encore de moyen de se plonger en VR dans ce chef d’œuvre d'animation datant des 70s (et dont la refonte en 2000 avait été animée sous Amiga !)