Chez les Barbus – Java & Sécurité : authentification à deux étapes

Magazine
Marque
GNU/Linux Magazine
Numéro
207
Mois de parution
septembre 2017
Domaines


Résumé
« Chez les Barbus - Java et Sécurité », c’est le titre de la conférence donnée par François Le Droff et Romain Pelisse à l’occasion de Devoxx France 2015. Cet article propose d’en reprendre le contenu de manière plus didactique et plus adaptée à ce nouveau support.Si la première partie a été publiée dans le GNU/Linux Magazine [1], voici maintenant sa seconde partie, qui discute des vertus de l'authentification à deux étapes, mais aussi des dangers liés à l’intégration continue sans politique de sécurité, et aussi au « Cloud ».


Dans le premier article, François et Romain ont longuement discuté des problématiques de sécurité des applicatifs (Java/JEE ou autres), évoquant la méthode du « threat modeling » proposée par Microsoft et  permettant d'évaluer sa sécurité applicative, et même d'identifier les zones à risque.

L'article a continué par une brève présentation du cas d’étude, une petite application interne faite par François, mais qui touche à beaucoup de données sensibles. Après avoir évoqué la relative inutilité des « firewalls », et discuté longuement des possibilités beaucoup plus pertinentes des « reverse proxy », la difficile question du chiffrement des données, de bout en bout, a elle aussi été abordée.

Avant de conclure, François et Romain ont aussi abordé la problématique de l'authentification et de sa mise en place au sein de l'applicatif utilisé pour le cas d'étude. C’est par ce point que nous commençons ici : voyons comment assurer une...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Système extensible et hautement disponible avec Erlang/OTP

Magazine
Marque
GNU/Linux Magazine
Numéro
241
Mois de parution
octobre 2020
Domaines
Résumé

Erlang est un langage de programmation fonctionnel et distribué, créé à la fin des années 80 pour régler de nombreux problèmes issus du monde des télécoms, et plus généralement de l’industrie. Outre le fait qu’il soit l’une des seules implémentations réussies du modèle acteur disponible sur le marché, son autre grande particularité est d’être livré avec une suite d’outils, de modèles et de principes conçus pour offrir un environnement cohérent. Ce framework, nommé OTP, fait partie intégrante de la vie des développeurs utilisant Erlang au jour le jour...

En sécurité sous les drapeaux

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

En sécurité sous les drapeaux... du compilateur, ces fameux -fstack-protector-strong et autres -D_FORTIFY_SOURCE=2 que l’on retrouve dans de plus en plus de logs de compilation. Cet article se propose de parcourir quelques-uns des drapeaux les plus célèbres, en observant les artefacts dans le code généré qui peuvent indiquer leur utilisation, tout en discutant de leur support par gcc et clang. Après tout, nombre d’entre eux sont utilisés par défaut sous Debian ou Fedora, ils méritent bien qu’on s’y intéresse un peu.

Introduction aux TPM (Trusted Platform Modules)

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Les TPM (Trusted Platform Modules), brique de base du Trusted Computing, ont été imaginés il y a une vingtaine d’années, et pourtant ils ne sont pas très utilisés malgré leurs réelles qualités. Comment expliquer cela ? Cet article tend à fournir de premiers éléments de réponse.

Simulation d’un ordinateur mécanique en scriptant sous FreeCAD

Magazine
Marque
Hackable
Numéro
35
Mois de parution
octobre 2020
Domaines
Résumé

L’évolution du traitement du signal est une histoire fascinante largement déroulée par David Mindell dans ses divers ouvrages [1] et citations [2]. Partant de l’ordinateur mécanique avec ses rouages, poulies, bielles et crémaillères, le passage à l’électrique au début du 20ème siècle, puis à l’électronique intégrée avec l’avènement du transistor et des circuits intégrés (VLSI) nous ont fait oublier les stades initiaux qui ont amené à notre statut actuel d’ordinateurs infiniment puissants, précis et compacts. Alors que cette histoire semble s’accompagner du passage de l’analogique au numérique – de la manipulation de grandeurs continues en grandeurs discrètes avec son gain en stabilité et reproductibilité – il n’en est en fait rien : un boulier fournit déjà les bases du calcul discrétisé mécanique, tandis que [3] introduit les concepts du calcul mécanique avec les traitements numériques avant de passer aux traitements analogiques.