Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

iframe est une balise du langage hypertexte HTML permettant, dans une page d'un site Web, d'ouvrir une fenêtre interne à cette page et d'y faire apparaître un contenu provenant d'ailleurs (une autre page du même site ou carément un autre site).

La mauvaise utilisation de cette possibilité (détournement/appropriation de contenu) a conduit à donner une très mauvaise réputation à la technologie des iFrames. En effet :

  • Un site " maître ", en apparence propre, peut ouvrir, dans ses pages, des contenus n'appartenant pas à son site mais appartenant à un site tiers (ou " esclave "). Le site " esclave " va échapper à la plupart des analyses (de réputation, etc. ...) du site " Maître " qui apparaîtra propre ou " de confiance ".
  • Le site " maître " encapsule dans ses pages du contenu provenant d'un autre site, ce qui est une forme de vol, d'appropriation de contenus.
  • Il a existé l'Exploitation d'une ancienne faille de sécurité de « Microsoft Internet Explorer » dans la gestion des « iFrame » - Cette faille est corrigée. Mettez-vous toujours à jour avec « Windows Update » (le mécanisme Microsoft de mise à jour de Windows) (et n'utilisez jamais « Internet Explorer » mais « Firefox »).
  • Un site bénéficiant d'un certificat de sécurité (HTTPS au lieu de HTTP) qui ouvrirait du contenu en HTTP dans un iFrame perd sont certificat (pas de vérou vert) et message d'alerte auprès du visiteur.

Un exemple d'usage de la balise « iFrame » a été donné ici même, sur Assiste.com. Durant quelque temps, le forum de la communauté Assiste.com, qui est un site Web totalement séparé et différent du site, hébergé sur un tout autre serveur, apparaissait en bas de chaque page d'Assiste.com grâce à l'usage d'une balise " iframe " qui encapsulait le forum dans le site. Ceci a été supprimé (mais pourrait réapparaître un jour).

Mesure contre les iFrames (pour webmasters)

Si un webmaster souhaite s'affranchir du risque de voir ses pages « volées » par un autre site (un autre webmaster), il doit, dans chacune de ses pages, introduire un script forçant chacune de ses pages à « sortir » d'un iFrame éventuel.

Ecrire, dans chaque page, et exécuter automatiquement, le script suivant :



<script
if(window.top!==window.self){
document.write="";
window.top.location=window.self.location;
setTimeout( function(){document.body.innerHTML=""}, 1);
window.self.onload=function(){document.body.innerHTML=""}
};
</script>



  • iframe - balise HTML - accepter contenu d'un autre site