• [^] # Re: Et la sécurité dans tout ça?

    Posté par . En réponse à la dépêche EveConnector, connectez des applications SaaS aux périphériques des postes clients. Évalué à 7.

    Je suis d'un naturel curieux, et je comprends bien l'intérêt du pourquoi, mais on ne peut pas mettre dans le même texte: "par définition, le contenu d’une page web ne doit pas accéder au matériel qui la fait tourner... C’est une base du cloisonnement et de la sécurité du WWW" et plus loin "Vous installez EveConnector sur un poste, et toutes les applications web reconnues et supportant le EveConnector peuvent alors piloter en « raw » vos périphériques, y écrire comme y lire des données", sans se poser la question de comment tout cela est sécurisé... surtout qu'on parle d'un accès via le web, où de nouvelles failles de sécurité sont trouvées tous les jours, et chaque mois apporte une nouvelle version des plugins Flash ou Java...

    En cherchant bien dans le code, je n'ai rien trouvé qui ressemble de loin ou de près à un système d'authentification et d'autorisation. Donc, en l'état, n'importe quelle page web peut envoyer n'importe quoi à n'importe quelle périphérique. J'ai l'impression aussi que le connecteur écoute sur toutes les interfaces réseaux (et pas seulement loopback, ce qui semblerait logique si seul le navigateur est censé pouvoir y accéder).

    Peut-être que tout ceci est dans la roadmap des développeurs, ou peut-être que mon idée de comment utiliser EveConnector est faussé. Il s'agit juste d'une base et c'est aux applis ou sites web métiers de créer une version spécifique et sécurisée.
    Sinon, une alternative plus générale pourrait être une extension (addon), l'extension demandant confirmation avant d'autoriser une page web à accéder à tel périphérique (et il y a déjà pas mal d'extensions qui utilisent libusb).

    Je remercie les développeurs d'e-venement et EveConnector pour leur contribution au Libre, mais dans ce contexte d'utilisation, on ne peut pas laisser de côté l'aspect sécurisation.