Apple améliore la sécurité du Framework WebKit

Apple renforce la sécurité du protocole HSTS (HTTP Strict Transport Security) du Framework WebKit en mettant en œuvre des mesures permettant de limiter les écarts éventuels avec la norme de sécurité HSTS.

Le protocole HSTS permet de garantir qu’un site web n’est accessible qu’à travers des connexions sécurisées. Ainsi, lorsqu'un utilisateur tente de se connecter à la version non sécurisée d'un site web (en HTTP), HSTS le redirige vers la version HTTPS du même site web.

Ce protocole enregistre des cookies qui permettent une redirection automatique lors des prochaines visites sur le site. Ces informations pourraient être utilisées pour tracer l’historique de navigation des utilisateurs.

Pour corriger ce problème, Apple a mis en œuvre les mesures suivantes :

  • Modification de la pile réseau limitant notamment le nombre de redirections en série pouvant être réalisées ;

  • Possibilité d’ignorer les redirections HSTS lorsqu’elles sont réalisées vers des sources jugées suspectes.