Tous les articles de la catégorie 'Sécurité'

Mar 29 2016

Contrer la faille CSRF dans les applications Web API

Comme évoqué dans ce premier article, la faille de sécurité de type Cross-Site Request Forgery est relativement facile à éviter sur des applications ASP.NET MVC avec le moteur de rendu Razor. L’appel à un helper HTML et à un attribut MVC lors de la validation du formulaire permettent de s’assurer que la validation du formulaire est bien réalisée par l’utilisateur authentifié lui-même.

Cette mécanique devient un peu plus compliquée à gérer pour les applications “single page” n’utilisant pas le moteur de rendu Razor, et faisant appel à des controllers WebApi et non pas MVC. L’exemple suivant s’appuie également sur le framework Angular Js, mais il pourrait être mis en œuvre sur une application ne l’utilisant pas. La suite de l’article s’inspire de l’article suivant, en complétant certains points essentiels.

Lire la suite …

FacebookTwitterGoogle+LinkedInViadeoShare
Mar 21 2016

OAuth : Comprendre l’OAuth 2.0 par l’exemple

En 2016 l’état va proposer à chacun d’entre nous de se connecter sur les sites du service public à l’aide d’outils de gestion d’identité numérique. Cette opération est baptisée France Connect.

Même si c’est un grand pas dans la gestion technologique point de vue administratif (qui n’a jamais prononcé le moindre petit juron en tentant de se connecter sur le site des impôts ?) ce n’est pas vraiment une révolution technique. Depuis un petit moment déjà on se connecte à l’aide de son compte Facebook, Google ou autre sur des sites de manière simple et sécurisée.

Toutes ces technologies ont une chose en commun : l’OAuth.

Lire la suite …

FacebookTwitterGoogle+LinkedInViadeoShare
Mai 22 2014

On est tous des mouchards et des futurs pc zombie du net.

Tout le monde a entendu parler de Hearthbleed d’un point de vue problème de sécurité, et de BlackShade d’un point de vue outillage des « script kiddies » d’aujourd’hui, cela n’est rien par rapport à cette nouvelle révélation. Suite à une communication officielle de Kaspersky qui a découvert par hasard ce mouchard dans la plupart des ordinateurs on se rend compte aujourd’hui que personne n’est à l’abri d’un piratage purement logiciel et massif. Un mouchard oui mais par n’importe lequel, un mouchard que vous ne pouvez pas enlever, qui a été mis en place par le constructeur, qui est sur les listes blanches de la plupart des antivirus et surtout dont vous n’avez jamais entendu parler.
Lire la suite …

FacebookTwitterGoogle+LinkedInViadeoShare