Zéro injection SQL, malgré les développeurs
12 octobre 2020
C’est officiel, Google passe au MTA-STS
C’était prévisible au vu de l’implication dans l’écriture du RFC8461* mais c’est désormais officiel : Google est le premier fournisseur au monde à déployer le MTA STS pour sa solution de messagerie.
MTA-STS, qui n’est pas encore standardisé, est une alternative à DANE pour assurer un chiffrement des flux de messagerie entre serveurs. Cette solution permet de pallier aux failles du SMTP qui, par nature, n’est pas sécurisé, mais aussi aux faiblesses du TLS, qui permettent encore aujourd’hui des attaques de type man-in-the-middle (MITM).
Pour cela, MTA-STS s’appuie sur la publication d’un certificat dans le DNS et d’une politique de sécurité sur un serveur Web alors que le protocole DANE impose le déploiement du DNS-SEC. Si le déploiement est encore en Beta selon Google – à ce titre, seule la documentation anglaise est disponible – cette annonce devrait relancer le débat entre DANE et MTA-STS.
Pour plus d’informations sur MTA-STS et DANE voici un article publié en septembre dernier.
Glossaire :
MTA STS : MTA Strict Transport Security
MTA : Message Transport Agent
DANE : DNS-Based Authentication of Named Entities
DNS : Domain Name System
TLS : Transport Layer Security
DNS – SEC : Domain Name System – Security Extensions
