Interpolique un outil visant à dé-responsabiliser en partie les développeurs sur des problématiques comme les XSS et les SQLi

Par Xavier Poli, secuobs.com
Le 17/06/2010

---

Résumé : En séparant distinctement les données et le code, Interpolique vise à lutter contre des attaques comme les XSS et les SQLi. Il se caractérise de plus par sa volonté de dé-responsabiliser en partie les développeurs sur ces problématiques et compte sur sa transparence pour être adopté à l'avenir. - Lire l'article



Les failles d'injections SQL et de Cross Site Scripting restent omniprésentes dans le paysage Web actuel et les recommandations des experts en sécurité sont parfois trop nombreuses pour réussir à s'en prémunir. Néanmoins, elles ont finalement réussi à trouver un écho tout relatif auprès des développeurs et notamment grâce à la presse généraliste qui se délecte quotidiennement des incidents impliquant des pertes de données privées sensibles et des malversations financières.

Cette couverture médiatique contribue en effet à un déficit d'image dont se passeraient bien les différents acteurs pour lesquels la responsabilité est engagée. Malgré cette prise de conscience encore modeste, on constate cependant toujours une recrudescence de ces incidents, la mise en pratique s'avère en effet encore trop souvent un échec retentissant. Il est donc temps aussi pour les acteurs de la sécurité d'en tirer des leçons et de proposer à l'avenir des solutions différentes.

Ces dernières se doivent notamment d'être plus adaptées aux aspects contractuels d'un développement. La rémunération n'étant pas soumise au niveau de sécurisation du code, les développeurs montrent une certaine réticence vis-à-vis de la charge additionnelle de travail que cela représente. S'ils doivent respecter les contraintes liées aux solutions de sécurisation actuelles, l'apprentissage préalable nécessitera plus de temps et le code sera plus complexe à développer et à utiliser.

Partant de ce constat, il est donc nécessaire de mettre à disposition de ces développeurs des outils qui vont se caractériser plus par leur transparence que par les contraintes que leur utilisation implique, notamment en ce qui concerne les projets déjà existants. Interpolique est un outil qui va dans ce sens puisqu'il tend à leurs proposer une séparation bien distincte entre les données et le code sans pour autant que les auteurs de codes n'aient à révolutionner leurs habitudes de travail.

Si la communauté de la sécurité devrait accueillir cette initiative avec intérêt, il n'est pas sûr pour autant qu'il en soit de même pour sa véritable cible, les développeurs. Interpolique ne devrait en effet jouir d'un réel impact qu'à la condition qu'il puisse être intégré au sein d'au moins un des environnements de développement les plus populaires. Ses concepts restent de plus encore à valider et son coté expérimental n'en fait pas pour le moment un candidat idéal à la mise en production.

Sa publication ouverte devrait d'ailleurs aider son auteur, Dan Kaminski, à identifier les différents environnements de production qui rendent encore son utilisation inefficace. Certains types de navigateurs et de bases de données pourraient en effet s'avérer être problématiques lors de son utilisation. Dan Kaminski prévoit par ailleurs de rendre publique les résultats de ses recherches sur ce sujet lors de la prochaine conférence Black Hat USA qui se tiendra au mois de juillet à Las Vegas.

Télécharger la version 0.1( lien )
La page officielle sur le site de Recursion Ventures ( lien )

Source : Compte Twitter @DarkReading ( lien )