JavaScript, le DOM et la sécurité : NewsFactor propose un article qui fait le point sur ce sujet ou l'on entend quantité d'aneries. Sont interviewés Mitchell Stoltz (responsable de la sécurité chez Netscape) et Brendan Eich (inventeur de JavaScript et Lead Architect de Mozilla). En substance, on peut retenir les grandes idées suivantes :
- Si on parle de JavaScript et de sécurité, c'est l'implémentation qui est en cause, pas le langage.
- Les problèmes viennent des fonctions appelées par JavaScript, à savoir le DOM ou ses variantes propriétaires.
- D'après Trend-Micro (et Tristan Nitot
Mettez à jour votre navigateur, surtout si vous utilisez IE. Utilisez la toute dernière version [Ndt: des rustines] et changez la zone de sécurité Internet.
- Désactiver JavaScript dans le navigateur est parfois nécessaire (à cause de trous de sécurité encore non patchés) mais inconfortable. Par contre, d'après Brendan Eich, il est recommandé de le désactiver dans la messagerie et les newsgroups, car c'est rarement indispensable pour lire des messages.
