Webtagr - Résumé de news de technologie

cURL noyé sous les rapports de vulnérabilités générés par l'IA

2025-07-14

L'équipe de sécurité du projet cURL est submergée par un flot de rapports de vulnérabilités de faible qualité, dont beaucoup sont générés par l'IA. Ces rapports gaspillent un temps et des ressources considérables (3 à 4 personnes, 30 minutes à 3 heures par rapport), réduisant considérablement l'efficacité de la découverte de vulnérabilités réelles. En 2025, environ 20 % des soumissions sont des déchets générés par l'IA, entraînant une forte baisse du taux de rapports valides. L'équipe envisage de supprimer les récompenses monétaires ou de mettre en œuvre d'autres mesures pour réduire les soumissions de faible qualité afin de préserver la santé mentale de l'équipe et la sécurité du projet.

Lire plus

(daniel.haxx.se)

Développement rapports de vulnérabilités

Vulnérabilité GitHub Diff : Substitution de caractères Unicode

2025-05-17

Un contributeur du projet curl, James Fuller, a découvert une vulnérabilité dans le visualiseur de différences de GitHub. Des acteurs malveillants pourraient substituer des caractères ASCII par des caractères Unicode visuellement identiques, modifiant le code sans changement apparent. Cela pourrait entraîner la manipulation d'URL et d'autres conséquences graves. Bien que le visualiseur de différences de GitHub ne comportait pas d'avertissement, d'autres plateformes comme Gitea ont signalé ces modifications. Le projet curl a répondu en implémentant des vérifications CI pour détecter les caractères Unicode malveillants et a nettoyé les séquences UTF-8. Cela souligne la nécessité de mesures proactives de sécurité du code pour prévenir les attaques potentielles.

Lire plus

(daniel.haxx.se)

Développement sécurité du code vulnérabilité GitHub

Blocage .onion de Curl : un bras de fer entre sécurité et convivialité

2025-05-16

Pour éviter les fuites DNS de domaines .onion par les utilisateurs de Tor, curl a implémenté le RFC 7686 il y a deux ans, bloquant la résolution des domaines .onion. Cependant, cela casse le nouvel outil oniux de Tor, l'empêchant d'utiliser curl pour accéder aux sites .onion. Cela met en évidence un conflit entre sécurité et convivialité : le respect strict du RFC affecte l'expérience utilisateur, tandis que l'assouplissement des restrictions augmente les risques de sécurité. L'équipe curl travaille actuellement à trouver une solution qui équilibre sécurité et besoins des utilisateurs.

Lire plus

(daniel.haxx.se)

Technologie fuite DNS

Le désastre des points de Curl : deux CVE et une poursuite sans fin

2025-05-15

L’équipe Curl a eu une lutte persistante avec les points de suspension dans les noms d’hôtes des URL. Au début, ils les ignoraient, puis ils ont rétabli la prise en charge des sites Web nécessitant des points de suspension. Cependant, ce changement a introduit par inadvertance deux vulnérabilités de sécurité (CVE-2022-27779 et CVE-2022-30115) affectant respectivement la gestion des cookies et le mécanisme HSTS. Ces vulnérabilités provenaient d’une mauvaise gestion des points de suspension, entraînant des correspondances de domaine incorrectes. Curl 7.83.1 corrige ces problèmes, mais l’auteur soupçonne que ce n’est peut-être que le début d’une longue bataille.

Lire plus

(daniel.haxx.se)

Développement

Curl sécurisé : création d’un code C fiable pour des milliards d’installations

2025-04-07

L’équipe curl partage ses pratiques pour créer des outils de transfert réseau sécurisés et fiables en C. Elle souligne l’importance de tests approfondis, notamment l’analyse statique et le fuzzing. Environ 40 % de ses vulnérabilités de sécurité proviennent de l’insécurité mémoire inhérente au C, mais des normes de codage strictes, l’application de styles et l’évitement des fonctions à risque permettent de maintenir ce chiffre bas. Le style de codage de curl privilégie la lisibilité et la maintenabilité grâce à des limites de longueur de ligne, des noms de variables courts et des compilations sans avertissement. La gestion robuste des erreurs, la stabilité de l’API et la gestion méticuleuse de la mémoire sont essentielles à la fiabilité et à la sécurité du logiciel.

Lire plus

(daniel.haxx.se)

Développement Sécurité C

Support expérimental de curl pour HTTPS RR : la prochaine génération d’enregistrements DNS

2025-03-31

curl prend désormais en charge de manière expérimentale le nouveau type d’enregistrement DNS HTTPS RR, offrant une méthode plus moderne que SRV et URI pour transmettre les métadonnées de service telles que la configuration ECH, les listes ALPN, les noms d’hôtes cibles, les ports et les adresses IP. HTTPS RR améliore la sécurité des connexions HTTPS (grâce au chiffrement ECH du champ SNI) et l’efficacité (en pré-récupérant les informations de prise en charge HTTP/3), et simplifie la découverte de services. curl réalise la résolution HTTPS RR via DoH, getaddrinfo() ou c-ares, mais ne permet pas encore de désactiver cette fonctionnalité en cours d’exécution et le support de HTTPS RR reste incomplet.

Lire plus

(daniel.haxx.se)

Développement

Analyse du trafic de curl.se : 2 To/jour, d’où vient tout ce trafic ?

2025-02-22

Le site web curl.se gère 62,95 To de trafic par mois, soit une moyenne de plus de 2 To par jour et un pic à 3,41 To. Bien qu’il n’y ait pas de journaux détaillés, les données montrent que sur 12,43 milliards de requêtes, seules 1,12 million étaient des téléchargements de paquets curl (moins de 10 % du trafic total). La grande majorité du trafic (99,77 %) est gérée par le cache CDN de Fastly. Cependant, l’utilisation généralisée de HTTP/1.1 et de TLS 1.2 suggère une quantité importante de trafic ne provenant pas de navigateurs, probablement de bots ou d’autres outils. L’analyse indique que 207,31 millions de téléchargements de fichiers de 100 Ko à 1 Mo (probablement des certificats CA) pourraient expliquer une grande partie du trafic restant. Le trafic est uniformément réparti dans le monde entier, contrairement aux concentrations précédentes en Chine.

Lire plus

(daniel.haxx.se)

Technologie trafic réseau

Plus de 20 ans de lutte contre les connexions non sécurisées : Rétrospective de libcurl

2025-02-11

Depuis que curl prend en charge SSL en 1998, la vérification des certificats par défaut est un pilier de la sécurité du réseau. Cependant, les développeurs continuent de désactiver cette vérification essentielle, ce qui entraîne des vulnérabilités généralisées. Cet article retrace l’évolution de libcurl, explore les dangers de la désactivation de la vérification et propose des solutions telles que des améliorations de l’API, une documentation améliorée et des rapports de bogues proactifs. La lutte pour des connexions sécurisées est une bataille à long terme.

Lire plus

(daniel.haxx.se)

Développement vérification des certificats

OpenSSL refuse l'API QUIC : un frein à l'adoption d'HTTP/3 ?

2025-01-21

OpenSSL, la bibliothèque TLS la plus populaire, a refusé d'ajouter une API QUIC à ses prochaines versions, ce qui représente un obstacle majeur à l'adoption généralisée d'HTTP/3. Malgré une demande d'extraction de la communauté (PR8797) proposant les API nécessaires, le comité de gestion d'OpenSSL a décidé de construire une pile QUIC complète de zéro, un processus qui devrait prendre plusieurs années. Cette décision a suscité la frustration au sein de la communauté, car des bibliothèques QUIC matures existent déjà. Microsoft et Akamai ont créé quictls, une branche d'OpenSSL avec l'API QUIC, comme solution de contournement. Cependant, il ne s'agit pas d'une solution durable, laissant l'avenir de l'adoption d'HTTP/3 incertain en raison du choix d'OpenSSL.

Lire plus

(daniel.haxx.se)

Développement

curl reçoit une mise à jour majeure : prise en charge de la lecture de fichiers partiels

2024-12-30

La prochaine version de curl 8.12.0 introduit une nouvelle fonctionnalité passionnante : la possibilité de lire des fichiers partiels. Les utilisateurs peuvent désormais utiliser un nouveau système de variables pour extraire des plages de bytes spécifiques à partir de fichiers et les utiliser dans les lignes de commande curl. Cela ajoute une flexibilité significative à la façon dont curl gère les fichiers, permettant des tâches telles que l’extraction du début d’un fichier comme nom d’utilisateur ou d’une section au milieu pour un corps POST. Cela étend considérablement les capacités de curl, offrant aux utilisateurs un outil de ligne de commande plus robuste.

Lire plus

(daniel.haxx.se)

Développement

cURL et libcurl abandonnent Hyper

2024-12-22

Après quatre ans d'expérimentation, le projet cURL a annoncé qu'il abandonnait l'utilisation de la bibliothèque Hyper basée sur Rust comme backend HTTP. Malgré les avantages de sécurité mémoire d'Hyper et le soutien de Let's Encrypt, le manque de demande des utilisateurs et la participation des développeurs ont conduit à son arrêt. L'équipe cURL a cité le coût élevé de la maintenance du code Hyper et l'accent mis sur l'amélioration et la maintenance de la base de code existante. Bien que l'expérience ait échoué, cURL a acquis une expérience précieuse et amélioré ses capacités de gestion HTTP.

Lire plus

(daniel.haxx.se)

Développement

État actuel d'HTTP/3 : défis et opportunités sur la voie de l'adoption

2024-12-16

Les spécifications HTTP/3 sont terminées, mais attendent leur publication finale. Le support côté serveur est étonnamment élevé, notamment parmi les principaux sites web. De grands acteurs comme Cloudflare ont activé HTTP/3, et les navigateurs le prennent largement en charge. Cependant, le support côté client, comme dans curl, reste incomplet, en grande partie en raison du développement retardé des bibliothèques TLS compatibles avec QUIC. Le support QUIC d'OpenSSL a été retardé, tandis que des alternatives comme BoringSSL et quictls présentent des limitations. Bien qu'HTTP/3 promette des améliorations de vitesse, les avantages réels dépendent des conditions du réseau. L'adoption généralisée dépend de la publication des spécifications et de bibliothèques TLS matures.

Lire plus

(daniel.haxx.se)

Développement