SameSite, une protection contre les attaques CSRF

Magazine
Marque
GNU/Linux Magazine
Numéro
236
|
Mois de parution
avril 2020
|
Domaines


Résumé

La sécurité des sites web est une problématique persistante en phase de développement ; les attaques CSRF sont une partie des dangers que les navigateurs récents ont décidé de traiter par une défense intégrée.


La suite est réservée aux abonnés. Déjà abonné ? Se connecter

Sur le même sujet

Sécurisation d’un serveur NGINX

Magazine
Marque
GNU/Linux Magazine
Numéro
238
|
Mois de parution
juin 2020
|
Domaines
Résumé

Suite à l'annonce des principaux navigateurs de considérer les sites internet sans chiffrement comme non sécurisés, voire dangereux, à laquelle s'ajoutent les besoins de confidentialité pour les visiteurs et des règles de référencement imposées par les moteurs de recherche, il devient inimaginable de mettre en ligne un serveur sans HTTPS. Voyons donc comment mettre en place cette sécurité, facilement et à moindres frais, sur notre serveur web.

9P, le protocole parfait pour l’IoT

Magazine
Marque
MISC
Numéro
109
|
Mois de parution
mai 2020
|
Domaines
Résumé

Plutôt que de faire passer du JSON sur la couche HTTP, faisons un saut dans le passé pour voir à quoi le futur pourrait ressembler. Développé à partir de la fin des années 80 à Bell Labs, le système d’exploitation Plan 9 utilise le protocole 9P pour rendre le réseau cohérent, sûr et transparent, trois caractéristiques qui manquent à l’IoT...

Secure Software Development LifeCycle

Magazine
Marque
MISC
Numéro
109
|
Mois de parution
mai 2020
|
Domaines
Résumé

Selon IBM, en 2019 il fallait en moyenne 206 jours pour identifier une brèche de sécurité puis 108 jours pour que la correction soit effective. Quelles sont les mesures à mettre en place pour découvrir les vulnérabilités des applications avant qu’elles ne soient déployées en production ?

Utiliser le CVE-2020-0601 pour obtenir un accès à distance via un navigateur

Magazine
Marque
MISC
Numéro
109
|
Mois de parution
mai 2020
|
Domaines
Résumé

De nombreuses applications tierces se basent sur les API Windows pour vérifier les signatures des binaires avant installation ou chargement. En particulier, des plugins de navigateurs peuvent permettre le déploiement de programmes pour l'ajout de fonctionnalités ou les mises à jour. La parution du CVE-2020-0601 ouvre une surface d'attaque inédite pour tous ces plugins.

Faciliter la création d’exploits avec DragonFFI : le cas de CVE-2018-0977

Magazine
Marque
MISC
Numéro
109
|
Mois de parution
mai 2020
|
Domaines
Résumé

La recherche de vulnérabilités et la création d’exploits noyaux peuvent impliquer le fuzzing et l’appel des API C exposées par le noyau à l’utilisateur. Il peut ainsi être intéressant de pouvoir écrire un fuzzer d’API avec des langages de plus haut niveau tels que Python, et de pouvoir appeler directement les API à fuzzer depuis cedit langage.

Relevé de configuration matérielle sur plateforme x86

Magazine
Marque
MISC
Numéro
109
|
Mois de parution
mai 2020
|
Domaines
Résumé

Sur une plateforme de type PC, la configuration des éléments matériels se trouve répartie dans de nombreux registres accessibles par différents moyens. Cet article présente les différents modes de collecte de ces informations, exploitables par la suite pour des vérifications de sécurité.

Par le même auteur

Évolutions récentes de PHP : les nouveautés des 15 dernières années

Magazine
Marque
GNU/Linux Magazine
Numéro
238
|
Mois de parution
juin 2020
|
Domaines
Résumé

PHP est un langage qui, comme la plupart des autres langages, évolue continuellement. Nous traitons dans ces pages régulièrement de ces évolutions, mais entre le moment où vous lisez un article ici et le moment où vous pouvez l'utiliser dans vos projets, il se passe souvent des années... Du coup, de nombreuses nouveautés ne sont que très faiblement utilisées, je vous propose donc de les redécouvrir.

C++ Moderne : C++20 et au-delà

Magazine
Marque
GNU/Linux Magazine
Numéro
234
|
Mois de parution
février 2020
|
Domaines
Résumé

Suite à la conférence de Cologne du mois de juillet 2019, le périmètre de la version C++20 a été figé, et cette version est la plus riche depuis C++11, elle introduit quelques nouveaux concepts significatifs.

C++ Moderne : C++17 (partie 2)

Magazine
Marque
GNU/Linux Magazine
Numéro
233
|
Mois de parution
janvier 2020
|
Domaines
Résumé

Dans le précédent article sur C++ 17, nous avons abordé les évolutions du langage et les évolutions de la STL orientées sur les types de bases. Continuons aujourd'hui notre découverte de C++ 17 !

C++ Moderne : C++17 (partie 1)

Magazine
Marque
GNU/Linux Magazine
Numéro
232
|
Mois de parution
décembre 2019
|
Domaines
Résumé

La version 17 de la norme C++ s’annonçait significative, elle aura finalement été plus modeste sans pour autant être négligeable, certaines choses significatives n’étant pas prêtes à temps ont été reportées à C++20, qui sera une version plutôt majeure.

C++ Moderne : C++11 & C++14

Magazine
Marque
GNU/Linux Magazine
Numéro
231
|
Mois de parution
novembre 2019
|
Domaines
Résumé

Avec la norme C++ 11, le concept de C++ moderne s’est popularisé. Je vous propose dans cet article de détailler les apports des versions 11 et 14 de la norme C++ et de vous expliquer en quoi cela a changé la façon de programmer en C++.