La sécurité représente un aspect très important dans le développement d’un navigateur. De nombreux piratages partent des contenus malveillants publiés à traves des sites Web, des mails, des pièces jointes, etc. C’est pourquoi les éditeurs de navigateur intègrent des mesures pour limiter les risques de corruption.Avec son nouveau navigateur Edge, Microsoft a accentué la sécurité afin de permettre aux utilisateurs de naviguer sur le Web en toute tranquillité. La firme vient de présenter dans un billet de blog de nombreuses mesures qui ont été introduites pour protéger les internautes contre les attaques et les escroqueries en ligne.
Edge tirera parti de Microsoft Passport et du chiffrement asymétrique pour protéger les utilisateurs contre le vol des mots de passe et autres opérations de phishing. Pour rappel, Microsoft Passport introduit un mécanisme d’authentification, sans recours au mot de passe, en utilisant la reconnaissance biométrique, un code, etc.
SmartScreen qui avait été introduit par Internet Explorer 8 constituera également un socle de la sécurité de Edge. SmartScreen permettra de filtrer la navigation de l’internaute pour bloquer les sites malicieux (tentatives de phishing, téléchargements forcés, etc.).
Microsoft fait également savoir qu’avec une meilleure prise en charge des standards du Web, les développeurs pourront plus se concentrer sur la sécurisation de leurs applications au lieu de perdre du temps sur les tests de compatibilités. De plus, des normes de sécurité du W3C, dont Content Security Policy qui protège contre les attaques de types Cross Scripting (XSS) et HTTP Strict Transport Security qui réduit le risque d’attaques de type man-in-the-middle, sont prises en charge.
Edge ne prendra pas en charge ActiveX, ML, VB Script, Toolbars et BHOs. Cela permettra d’offrir une meilleure sécurité, car ces extensions ont été, dans le passé, des sources de failles de sécurité. Microsoft note d’ailleurs qu’elles ne sont plus d’une grande utilité avec les riches fonctionnalités qu’offre HTML5.
Toutefois, la firme travaille sur un modèle d’extensions modernes basées sur HTML/JS.
Contrairement à Internet Explorer, Edge est une application universelle. Elle s’exécutera donc dans un sandbox (bac à sable), ce qui permet en cas de faille dans le navigateur ou dans l’un de ses plugins, de cloisonner l’attaque, évitant ainsi l’accès aux ressources du système. Chaque page internet lancée sera placée au sein d'un conteneur d'application.
D’autres mesures ont également été prises pour éviter les attaques à partir d’Edge, pouvant entrainer une corruption de la mémoire.
Dans un autre billet de blog sur Edge publié en fin de semaine dernière, c’était les performances du navigateur qui étaient mises en avant. Microsoft affirme que le moteur JavaScript Chakra de Edge est près de trois fois plus rapide qu’Internet Explorer 11 sur le Benchmark Unity. Ceci a été rendu possible grâce à une prise en charge d’Asm.js de Mozilla.
Pour rappel, Asm.js est un sous-ensemble de JavaScript qui permet d’améliorer considérablement les performances des applications Web. Pour générer du code JavaScript adapté pour Asm.js, Mozilla offre aux développeurs Emscripten, un outil qui permet de « transpiler » du code C/C++ en code JavaScript.
Grâce à ce support, Microsoft fait un pas important vers des performances quasi natives pour le Web.
Microsoft Edge sera le navigateur par défaut sur Windows 10. Il offrira une expérience cohérence et familière sur PC, tablette et smartphone. Il ne sera pas supporté par Windows 7 et Windows 8.1.
Source : Billet de blog Microsoft, Billet de blog sur Asm.js
Envoyé par Hinault Romaric
