Developpez.com - Rubrique JavaScript

Le Club des Développeurs et IT Pro

Sortie de Ember 1.3.1 :

La sécurité avant tout

Le 2014-01-16 14:12:14, par vermine, Expert éminent sénior
Sortie de Ember 1.3.1
La sécurité avant tout !


Ember.js est un framework JavaScript permettant de créer des applications Web ambitieuses !

La sortie de la révision 1.3.1 est oriéntée sur la thématique de la sécurité. D'ailleurs, toutes les versions ont été mise à jour dans ce sens : 1.0.1, 1.1.3, 1.2.1, 1.3.1 et 1.4.0-beta.2. Effectivement, le framework prend de plus en plus d'importance dans la gestion des données sensibles. Améliorer la sécurité est apparu comme une évidence. L'équipe souligne que Ember est un des rares projets JavaScript qui a une politique de sécurité clairement définie et une liste de diffusion exclusivement pour les annonces de sécurité.

Il est vivement recommandé d'utiliser ces nouvelles versions !

La mise à jour comporte des correctifs pour deux vulnérabilités XSS potentielles. En général, Ember.js échappe ou nettoie tout contenu fourni par l'utilisateur avant de l'insérer dans les chaînes qui seront envoyées à innerHTML. Cependant, la solution utilisée a montré deux failles. L'une avec les valeurs primitives dans un context de Handlebars, l'autre avec l'utilisation des {{group}}.

Ces améliorations ont été possible grâce à l'implication d'utilisateurs avertis, prouvant ainsi que le projet est libre et ouvert à la discussion.

Télécharger.
L'annonce officielle.
La documentation.
  Discussion forum
15 commentaires
  • gers32
    Membre à l'essai
    Bonjour,

    Jusqu'à il y a peu de temps, j'étais tenté d'apprendre Ember.js et de me remettre à Ruby on Rails (j'ai expérimenté avec RoR + Flex il y a quelques années...). Et puis lors d'un forum où étaient présents les créateurs d'Angular, Ember, Meteor, Backbone et je ne sais quoi d'autre, j'ai été frappé par le respect de tous envers Meteor.js. Ce framework encore jeune et instable semble promis à un très bel avenir : il serait suffisant pour couvrir les besoins du client ET du serveur.

    Etranger au monde Javascript, je me demandais ce que les experts pensent de Meteor.js. L'aspect prototype ne me dérange pas ; ce serait au contraire pour moi l'opportunité de monter dans le train alors qu'il est encore en gare... Je suis très attiré par la perspective de n'avoir à apprendre qu'un framework, au lieu de deux.

    Merci par avance pour vos avis.
    le 16/01/2014 à 16:36
  • camus3
    Membre éprouvé
    Meteor est intéressant et peut-être l'avenir des frameworks,mais pour l'instant il n'est pas au point. Il supporte uniquement mongodb ,et l'absence de séparation entre client et serveur n'est pas un avantage à mon avis.
    le 31/01/2014 à 17:09
  • gers32
    Membre à l'essai
    Envoyé par camus3
    Meteor est intéressant et peut-être l'avenir des frameworks,mais pour l'instant il n'est pas au point. Il supporte uniquement mongodb ,et l'absence de séparation entre client et serveur n'est pas un avantage à mon avis.
    Je serais curieux de connaître tes arguments en faveur de la séparation entre le client et le serveur. Est-ce pour des raison de sécurité, pour ne pas mettre tous ses oeufs dans le même panier technologique, ou autre chose ?

    Mon raisonnement à moi est que j'ai 45 ans et après 5 ou 6 ans de pur management, je souhaite me remettre au développement sans avoir à apprendre une multitude de langages et de technos. Mais si je suis convaincu qu'à long terme je n'y couperai pas, alors je suis prêt à me lancer dans l'apprentissage de RoR et de Ember.js (par exemple).
    le 03/02/2014 à 9:15