Grâce aux ingénieurs de Netscape qui ont introduit la Same-Origin Policy (SOP), vous pouvez naviguer librement sur des pages Web sensibles sans partager vos données avec une autre page.
Aussi important soit-il, le concept de politique de même origine est difficile à appréhender par de nombreux internautes. Cet article vous permettra de mieux comprendre comment cela fonctionne et pourquoi c'est important.
Qu'est-ce que la politique de même origine (SOP) ?
La politique de même origine est un mécanisme de sécurité du navigateur par lequel un navigateur Web empêche un autre script de page Web et des données d'accéder à leurs données et informations. Cependant, il autorise les scripts et les données de la page Web qui y sont liés.
Dans la politique de même origine, les navigateurs empêchent les contenus d'origines différentes (pages Web) d'interférer avec les leurs. Les règles de la politique de même origine stipulent que toutes les ressources chargées par un navigateur doivent avoir le même protocole (également appelé schéma), URL et port utilisé pour atteindre la ressource.
Voici un exemple :
Supposons que vous visitiez la page Web myexample.com, puis que vous visitiez example.com par la suite. La politique de même origine est ce qui empêche le JavaScript de myexample.com d'accéder aux informations sur example.com.
Le protocole est "http", le domaine est "monexemple.com" ou "exemple.com" et le numéro de port "80". Par défaut, chaque site Web ou page Web a tendance à avoir le même port, qui est "80".
Sans la politique de même origine, après s'être connecté à monexemple.com, un simple appel JavaScript, chargé dans son iframe, pourrait être utilisé pour saisir les éléments DOM (Document Object Model) de l'exemple.com. Cela conduira à exposition aux données sensibles avec des conséquences dommageables.
Il est important de noter que la politique de même origine ne concerne que les scripts. Des ressources telles que CSS, des images et des scripts chargés flexibles peuvent être mises à disposition à partir de différentes origines à l'aide des balises HTML appropriées, les polices étant une exception notable.
Par conséquent, toutes les attaques effectuées sur les non-scripts sont efficaces car les attaquants exploitent le fait que les balises HTML ne sont pas soumises à la politique de même origine. C'est sans doute l'un de ses défauts.
Une autre lacune réside dans les limites récurrentes imposées au nombre d'opérations complexes dans les applications Web modernes.
Même si la politique de même origine est remarquable pour la sécurité, la plupart du temps, elle affecte plusieurs sous-domaines ou domaines de la même organisation. Le partage d'informations avec les domaines est difficile même s'ils sont ensemble.
Pourquoi la politique d'origine identique (SOP) est-elle importante ?
La politique de même origine ne consiste pas simplement à créer des règles entre les pages Web ou l'origine; c'est pertinent, notamment en ce qui concerne les cyberattaques. Il offre certains avantages de sécurité aux utilisateurs en ligne en sécurisant leurs informations.
Voici quelques avantages de la politique de même origine.
1. Empêche les attaques malveillantes
La politique de même origine permet d'éradiquer les vecteurs d'attaque potentiellement malveillants sur une page Web ou une origine, en particulier sur les pages Web qui hébergent ou stockent des données utilisateur sensibles. Pour ce faire, il lance des attaques potentielles perçues avant qu'elles ne s'aggravent.
Si vous mettez en œuvre la politique de même origine sur votre page Web ou votre navigateur, il y a une diminution significative des attaques malveillantes.
2. Restriction d'interaction
La politique de même origine permet de restreindre la manière dont un script d'un site Web interagit avec un script d'une autre page Web.
Lorsqu'il y a une restriction dans les données partagées, toutes les ressources d'une origine sont hautement protégées. Un exemple frappant de ceci est celui que nous avons mentionné à propos de mon exemple.com délimitant le script de l'exemple.com.
3. Empêcher l'accès en lecture non autorisé
La politique de même origine aide à protéger les sites qui utilisent des sessions d'authentification. Cela peut être vu dans les sites qui utilisent la fonctionnalité "se souvenir de moi".
La politique fonctionne en protégeant les informations privilégiées. Il empêche l'accès en lecture non autorisé d'une origine à une autre.
4. Efficace pour les cookies
La politique de même origine interdit à un attaquant de lire ou implanter des cookies sur le domaine source ciblé. Cela les empêche d'insérer un jeton valide dans leur formulaire conçu. Le permis n'a pas besoin d'être caché sur le serveur, ce qui est un avantage supplémentaire de cette technique par rapport au modèle de synchronisation.
Sécurisez vos données avec la politique de même origine
La politique de même origine est une construction au cœur de nombreux processus de sécurité Web, y compris l'accès DOM, JavaScript, les cookies, etc.
Il existe différentes implémentations de la politique de même origine pour différents types de contenu Web. De même, il existe différentes définitions de la manière dont la politique de même origine s'applique aux cookies, à JavaScript et à l'accès DOM à travers les navigateurs.
Soyez plus prudent lors de la création de votre site afin d'offrir une meilleure sécurité et d'améliorer l'expérience utilisateur avec la politique de même origine.
Qu'est-ce que l'empreinte digitale du navigateur et comment pouvez-vous vous en défendre ?
Lire la suite
Rubriques connexes
- Sécurité
- La cyber-sécurité
- Développement web
A propos de l'auteur
Chris Odogwu s'engage à transmettre des connaissances à travers ses écrits. Écrivain passionné, il est ouvert aux collaborations, au réseautage et à d'autres opportunités commerciales. Il est titulaire d'une maîtrise en communication de masse (majeure relations publiques et publicité) et d'un baccalauréat en communication de masse.
Abonnez-vous à notre newsletter
Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !
Cliquez ici pour vous abonner
