-
@_noKid @Eriatolc En dehors de ça, on a du mal à évaluer la sensibilité d’une iframe générée par une extension…Permalink On twitter.com
Mood 0
-
@_noKid @Eriatolc Dans le cas d’un gestionnaire de mot de passe, toute faille peut rapidement devenir P0…On twitter.com
Mood 0
-
@_noKid @Eriatolc Je vois bien tout ce qui peut merder « sur le papier » avec les iframe (injection de contenu tiers, pilotage de l’appli par un site malveillant, etc), mais j’ai du mal à pondérer le risque avec des attaques réellement possibles.Permalink On twitter.com
Mood -2 🙁
-
@_noKid @Eriatolc Et du coup, quand je vois le produit dire « ça serait chouette d’avoir l’auto-fill ou un contenu in-page pour la complétion », j’ai du mal à argumenter sinon que « les iframe ça peut merder de partout »Permalink On twitter.com
Mood -3 🙁
-
@_noKid @Eriatolc D’un point de vue sécu, j’ai envie de dire « fuyez, pauvres fous », mais je n’ai pas réellement d’arguments pratico-pratiques pour montrer à quel point c’est vraiment sensible. Ça repose plus sur l’intuition qu’autre chose (et quelques REX merdiques d’implémentations non sécu)Permalink On twitter.com
Mood -3 🙁
-
@_noKid @Eriatolc Du coup aux questions « peut-on faire ça proprement ? » et « pour quel coût ? », je suis sec pour les arguments… 🤔Permalink On twitter.com
Mood 0