Les demandes inter-Domaine décrire les demandes d’un domaine à un autre. Un exemple typique de ce sont Facebook de l’information sur un autre domaine, à l’affichage d’un site disciples, par exemple, ou de la publicité en provenance des entreprises de publicité tierces.
Mais ceux-exemple n’est pas malveillant. Il y a deux types d’informations qui sont négociés qui peut être un problème pour l’utilisateur d’Internet. La première est relative à la confidentialité. L’échange d’informations à propos de votre visite, de sorte qu’une autre entité reçoit des informations sur cette visite. Ceci est généralement utilisé à des fins publicitaires pour suivre un utilisateur sur Internet.
Considérant que vous révéler des informations dès que vous vous connectez à un site ou un serveur, et que les informations incluent votre adresse IP, votre localisation dans le monde, le système d’exploitation ou de la langue, il est juste de dire que c’est un problème de confidentialité.
La deuxième est plus dangereux: malveillants ou indésirables actions peuvent être déclenchées par la croix-demande de domaine de type Cross-Site Request Forgery attaques.
CSRF est considéré comme très dangereux, comme l’indique son classement dans le top 10 OWASP et de la CEMT/SANS top 25. Le problème avec une attaque CSRF est qu’il fait des demandes de la part de l’utilisateur, à son insu. Par exemple, si un site (par ex. example.com) rend caché demandes à un autre site (par ex. myonlinebank.com), il peut potentiellement causer des effets nocifs (transfert de fonds, la création de comptes, …).
L’add-on Firefox CsFire protège les utilisateurs d’Internet contre les requêtes inter-domaine. L’add-on annule en supprimant les informations d’authentification, comme les cookies et les en-têtes d’authentification pour éliminer la possibilité que ces demandes peuvent être dangereux pour l’utilisateur.
CsFire fournit une sécurité par défaut de la politique, qui peut être étendue avec de fines distance politiques ainsi que fine des politiques locales. La distance politiques sont obtenus à partir d’un serveur de stratégie, de manière sélective permettre à certains inoffensifs requêtes inter-domaine (par exemple, de partager des articles sur facebook). Les politiques locales vous permettent de spécifier certaines requêtes inter-domaine, qui doivent être traitées différemment, si vous souhaitez le faire (ce n’est pas nécessaire dans la normale surf scénarios).
CsFire est basé sur un mémoire de recherche CsFire: Transparent clients côté d’atténuation des menaces des requêtes inter-domaine, qui a été publié sur l’Ingénierie des Logiciels Sécurisés et des Systèmes de 2010.
Le CsFire add-on est disponible pour toutes les versions de Firefox de Firefox 3.5 pour plus tard. Il est possible de forcer compatible pour le rendre compatible avec la dernière nightly builds.
Mise à jour: CsFire n’a pas été mis à jour depuis 2012 et il n’est pas clair à ce stade si elle fonctionne encore dans les dernières versions du navigateur Firefox. Alors qu’il est toujours possible d’installer l’extension, il est difficile de savoir si toutes les fonctionnalités fonctionnent comme annoncé. Certains sont visibles à faire, y compris le fichier journal et le serveur distant fonctionnalité de mise à jour.
Cela étant dit, il apparaît que l’add-on est abandonné et ne recevrez pas les mises à jour de plus.