Je pense que Firefox en fait ne restreint pas l'accès à 127.0.0.1 si c'est vers un port non privilégié : il doit juste se contenter de restreindre les ports < 1024 (et quelques autres ports connus sensibles pour des services locaux sensibles propre à l'OS où il est installé), mais ce n'est plus du tout recommandé.
Il peut aussi se mettre à l'écoute des ports déclarés en UPnP pour les applis pair-à-pair, ce qui permet à des sites web de joindre par exemple une appli d'instant messaging, à condition que celle-ci soit active et qu'elle fonctionne à l'écoute son numéro de port normal: Firefox dans ce cas fait confiance à la sécurité interne de cette appli pour faire le filtrage des connexions indésirables non sécurisées, avec son propre protocole. L'accès aux ressources locales par des sites tiers ne devrait en fait jamais être autorisé sans autorisation explicite donnée par l'utilisateur (via l'interface du navigateur) au site/domaine qui en fait la demande, pas plus que ces sites ne devraient pouvoir consulter les fichiers locaux des pages en cache et cookies venant de sites tiers. Les ressources locales sont très dangereuses à autoriser aux sites tiers et au minimum il devrait y avoir une fenêtre locale bloquante demandant l'autorisation à l'utilisateur avec l'identification précise et infalsifiable du site tiers qui en fait la demande, avec toutes les infos nécessaires: adresse IP, nom de domaine, protocole HTTPS activé ou pas, évaluation de sécurité du nom de domaine contre les noms déguisés qui remplacent des lettres latines par des lettre cyrilliques par exemple, etc. Sinon les détournements de données sont beaucoup trop faciles). De même le fait d'accorder l'autorisation devrait être temporaire (uniquement le temps de la session internet du site visité, mais devrait avoir une date de péremption ne dépassant pas quelques mois, et devrait pouvoir être retirée à tout moment et le navigateur doit proposer une fonction de purge de ces autorisations maintenues dans un cache consultable du navigateur) Le mar. 11 sept. 2018 à 14:33, Pierre Beyssac <p...@fasterix.frmug.org> a écrit : > On Tue, Sep 11, 2018 at 01:53:27PM +0200, Philippe Verdy wrote: > > C'est normal que ça bloque : ce n'est pas parce que le lien est activé > dans > > un navigateur local que la source de ce lien vient du domaine local : la > > page vient d'un site tiers et le navigateur tient compte de l'origine de > la > > page et de ses scripts, qui est le site web consulté affichant les liens. > > > > Sinon c'est trop facile pour une site web malveillant d'insérer des liens > > "127.0.0.1" pour passer outre les autorisations et obtenir directement > des > > Oui, bien sûr, mais le mécanisme n'est pas si simple que ça, vu que > ça marche avec le lien Edit d'openstreetmap.org, qui, en fait, fait > exactement la même chose au final (accès 127.0.0.1 etc). > > Firefox a apparement certaines exceptions "en dur" pour 127.0.0.1 > (mais pas pour localhost, et apparemment pas toujours pour > xmlHttpRequest, on s'y perd un peu). > -- > Pierre Beyssac p...@eriomem.net >
_______________________________________________ Talk-fr mailing list Talk-fr@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-fr
