Microsoft invite la communauté open source à jouer dans son bac à sable
Microsoft ouvre le code source de sa technologie Web Sandbox. Il mise sur la licence Apache pour favoriser sa standardisation et son intégration dans les navigateurs Internet.
Microsoft continue de reconnaître implicitement les vertus de l'open source, en particulier dans le domaine de la sécurité et de l'interopérabilité.
L'éditeur a discrètement annoncé le 26 janvier 2009, sur son blog consacré aux solutions open source, qu'il ouvrait le code source d'une technologie de sécurisation des applications Internet très ambitieuse baptisée Web Sandbox. Cette dernière est désormais placée sous le régime de la licence open source Apache, très appréciée des développeurs de logiciels libres.
Isoler les composants Web à risque : Géré par les Live Labs de Microsoft, le projet Web Sandbox (littéralement « bac à sable Web ») n'a pourtant rien d'anecdotique.
Son objectif est de réduire les risques de sécurité liés à l'exécution d'applications Web 2.0.
Avec les plates-formes Internet actuelles, les gadgets connectés s'exécutant directement sur le bureau Windows, les mashup rassemblant des services Web hétéroclites ou encore les bandeaux publicitaires ayant recours au Javascript partagent bon nombre de leurs ressources et sont, de fait, autant de sources potentielles de failles de sécurité.
Conçue pour limiter ces risques, la Web Sandbox de Microsoft s'assimile à une machine virtuelle spécialisée qui permet d'isoler les contenus sujets à caution des contenus Web de confiance.
Une chute des performances : Une fois transférés dans la Web Sandbox, les pages HTML, feuilles de style CSS, scripts Java et autres composants Internet sont convertis automatiquement en une série d'instructions Javascript standardisées (JSON pour JavaScript Object Notation) dont la dangerosité et la fiabilité sont évaluées par un système de règles.
Les problèmes (boucles sans fin, accès à des données protégées, etc.) sont automatiquement détectés ce qui permet de neutraliser les composants dangereux sans pour autant arrêter les autres applications Web.
Cette conversion peut être mise en oeuvre sur un serveur Internet classique, être demandée par l'intermédiaire des services de cloud computing de Microsoft (Windows Azure) ou s'exécuter directement dans les navigateurs Internet au moyen d'une implémentation Silverlight (1) de la Web Sandbox (il faut installer Silverlight, puis la Web Sandbox au format Silverlight).
Le site WebSandbox propose d'expérimenter un de ces trois modes d'exécution sécurisée.
La solution est élégante, mais elle se heurte à un problème de performances.
Les applications qui s'exécutent dans le bac à sable peuvent être fortement ralenties par les opérations de conversion et de filtrage.
« On note un ralentissement des performances d'un facteur oscillant entre 1,5 et 4. La solution la plus performante est celle qui s'exécute en local dans le navigateur avec le plug-in Silverlight. Notre objectif est de proposer un standard ouvert et interopérable qui puisse à terme être intégré nativement dans tous les navigateurs Internet afin de réduire cette chute des performances tout en sécurisant les applications Web 2.0 », explique Bernard Ourghanlian, directeur technique et sécurité au sein de Microsoft France.
Microsoft cherche le soutien de la communauté open source : Pour en arriver là, l'éditeur mise sur une reconnaissance de l'ECMA. L'organisme, qui gère la normalisation des langages de script, examine le projet de Microsoft mais également plusieurs projets concurrents comme Caja de Google ou AdSafe (un projet ciblé sur l'utilisation du Javascript par la publicité en ligne).
Le soutien de la communauté open source est ici indispensable et c'est sans doute ce qui explique le choix de l'éditeur de diffuser sa technologie avec la licence Apache (version 2), plutôt que d'utiliser ses licences open source maison.
« Nos licences open source ne sont pas toujours vues d'un bon oeil par la communauté. Utiliser la licence Apache est un moyen de couper court aux débats dans un domaine où le temps presse. Il n'est pas exclu que nous utilisions plus systématiquement cette licence à l'avenir », explique Bernard Ourghanlian.
Peu à peu, l'open source continue de s'imposer chez Microsoft.
(1) : le plug-in Silverlight est pour l'instant officiellement disponible pour Internet Explorer, Firefox et Safari en environnement Windows ainsi que pour Safari et Firefox sur Mac OS X. (Source 01 net).