Le W3C et la sécurité
Vincent Quint
World Wide Web Consortium
Plan
- Rappels à propos du Web
- W3C — World Wide Web
Consortium
- Activités en cours au W3C
- Activités liées à la sécurité au W3C
Le Web
Univers d'information accessible par réseau
- Nouvelle forme de communication
- De plusieurs vers plusieurs, communication de groupe
- Partage d'information
- Utilisateurs à la fois producteurs et consommateurs
d'information
- Couverture mondiale
- Nombreux domaines d'application :
- éducation, science, divertissement, presse, publicité, commerce,
etc.
I - W3C : World Wide
Web Consortium
World Wide Web Consortium
``Leading the Web to its full potential''
Organisation
- Membres
- Plus de 500 organisations couvrant l'ensemble de l'industrie du Web
Participent aux travaux techniques et aux orientations
30+ groupes de travail, 500+ participants
- Équipe
- 67 personnes, Directeur : Tim Berners-Lee
Anime les travaux techniques et gère le fonctionnement
3 institutions hôtes (MIT, INRIA, Keio) et 10 bureaux régionaux
- Public
- Toute personne ou organisation intéressée au Web
Participe aux discussions publiques, aux développements Open Source, experts invités
W3C - Rôle
- Vision
- Développer et promouvoir sa vision de l'avenir du Web
Identifier les besoins du Web de demain
- Conception
- Concevoir les technologies pour réaliser cette vision
Conception collaborative impliquant des représentants de toute la
communauté
- Standardisation
- Contribuer à la standardisation des technologies du Web :
Recommandations
Principes
- Neutralité
- Les hôtes et l'équipe W3C sont indépendants
- Coordination
- avec les organisations de standardisation : IETF, WAP Forum, ATSC,
Unicode Consortium, ETSI, 3GPP, etc.
- Consensus
- La résolution des problèmes et les décisions sont fondés sur le
consensus
- Ouverture
- Mailing lists, archives,
documents de travail, revues
Orientations
- Accès universel
- Assurer que le Web soit accessible par tous
Différences de langage, culture, handicap, mode d'accès, appareil
d'accès
- Web sémantique
- Permettre aux machines de rechercher et traiter l'information pour
les utilisateurs du Web
- Web de confiance
- Guider les développements du Web en considérant les nouveaux
problèmes légaux, commerciaux et sociaux
Principes architecturaux
Principes
architecturaux communs :
- interopérabilité
- évolutivité
- modularité
- passage à l'échelle
- décentralisation
- accessibilité
- internationalisation
II - TRAVAUX EN COURS AU W3C
Architecture
- XML
- XML 1.0, XML 1.1 : représentation de données structurées
- XML Schema : contraintes
pour les structures XML
- XLink : hyperliens pour les structures XML
- XML Query :
interrogation des structures XML
- XSLT : transformation des structures XML
- Protocoles XML : communication entre machines en utilisant XML
- DOM : modèle de document et API pour la manipulation de documents
Formats de Documents
- Hypertexte : XHTML
- Style - Séparation contenu/style
- CSS - Cascading Style Sheets
- XSL - Extensible Stylesheet Language
- Mathématiques : MathML - Mathematical Markup
Language
- Graphique : SVG - Scalable Vector Graphics, PNG
- Internationalisation
Interaction
Accessibilité du Web
- Revue des spécifications des autres groupes
- Guides : contenu, browsers,
outils auteur
- Développement d'outils pour évaluer et réparer les sites
- Supports pour l'éducation
- Suivi des activités de recherche sur l'accessibilité
Domaine Technologie et Société
- Propriété intellectuelle
- Web sémantique : RDF - Resource
Description Framework
- Privacy : P3P - Platform for Privacy Preferences
- Sécurité
III - TRAVAUX SUR LA SÉCURITÉ
Objectifs
- Traiter les problèmes de sécurité non traités ailleurs
- Traiter les problèmes directement liés au Web
- Développer des spécifications cohérentes avec l'architecture du Web
- Réutiliser les technologies existantes,
par exemple infrastructures de clés publiques (X.509, SPKI, PGP)
Travaux récents et en cours
Protocole HTTP 1.1 -
IETF Draft Standard, juin 1999
Trois activités en cours au W3C :
Protocole HTTP
Travail commun avec l'IETF
- HTTP/1.0
Basic authentication
- un mécanisme d'authentification simple (utilisateur + mot de passe) -
espaces de protection
- HTTP/1.1 Digest
Authentication (RFC 2617)
- les mots de passe ne sont plus envoyés en clair
checksum (MD5) calculé sur le nom, le mot de passe, une valeur
unique, l'URI demandé
Implémentations dans libwww (bibliothèque) et Jigsaw (serveur)
Signatures XML
Objectif : assurer l'intégrité et la non répudiation des données ainsi que
l'authentification de l'auteur
Un groupe de travail commun
IETF-W3C développe
- une syntaxe XML pour représenter la signature des ressources Web
- des procédures pour calculer ces signatures (clé privée)
- des procédures pour les vérifier (clé publique)
Résultats :
Coordination avec d'autres organisations : ETSI, CEN
Cryptage XML
Objectif : permettre le cryptage de (parties de) données XML échangées sur
le Web
Un groupe de travail
développe
- un processus pour crypter et décrypter les contenus
- une syntaxe XML pour représenter
- les contenus cryptés
- les informations permettant le décryptage par le destinataire
concerné
Résultats :
- Ces spécifications sont en « Last
Call »
Gestion des clés XML
Signatures et cryptage ont besoin de clés, mais comment obtenir ces clés
avec sécurité?
Un groupe de travail créé en décembre 2001 développe
- une application (un protocole) XML qui permet à un client simple
d'obtenir une clé auprès d'un service Web.
Résultats :
Conclusion
Pour plus d'information :
W3C : http://www.w3.org/
Bureau Marocain du W3C : http://www.w3c.org.ma/fr/contact.html
Spécifications du W3C : http://www.w3.org/TR/
The World Wide Web Security
FAQ : http://www.w3.org/Security/faq/wwwsf2.html
