Introduction au dossier : Sécurité des applications web

Magazine
Marque
MISC
Numéro
101
|
Mois de parution
janvier 2019
|
Domaines


Résumé
Tôt ou tard, tout expert en sécurité informatique sera confronté à une MEAN, mais avant de déclencher l’alerte à la bombe ou de tirer le signal d’alarme, nous vous invitons à lire ce dossier.

Body

Le terme MEAN désigne un ensemble de composants (MongoDB, Express, Angular et Node.js) constituant un socle technique pour développer des applications en JavaScript. Pour un expert en sécurité informatique, l’utilisation de ce langage de programmation n’est pas très rassurante : langage non typé, problème de transitivité des opérateurs…

Pour un joueur de démineur expérimenté (sous Windows 95/98), le JavaScript est un langage de programmation limité à de simples fonctions basiques comme OnClick() ou Alert() et dont l’usage est purement cosmétique (défilement de texte, titre clignotant…).

Mais depuis, les moteurs d’exécution JavaScript ont bien évolué et les optimisations apportées permettent d’augmenter considérablement les performances et par conséquent, d’en adapter les usages. C’est ainsi que le JavaScript se retrouve utilisé côté serveur (SSJS : Server-Side JavaScript). Il existe de nombreux moteurs pour créer un back-end en JavaScript dont le plus connu est Node.js qui utilise le moteur V8 de Google.

Et ainsi, il devient facile de devenir un développeur « full stack » en JavaScript. Les entreprises recherchent activement ce profil de personne capable d’agir du front-end à la base de données en passant par le back-end. Mais pourtant, un vrai développeur full-stack ça n’existe pas vraiment. Il est très difficile de connaître l’ensemble des technologies nécessaires pour développer un site web. Entre MongoDB, Express, Angular et Node.js, c’est le grand écart !

Ce dossier s’adresse aussi bien aux développeurs « full stack » qu’aux personnes curieuses de mettre en œuvre cette technologie, ils y trouveront un ensemble de bonnes pratiques de développement pour sécuriser leurs applications. Les experts en sécurité applicative pourront s’appuyer sur ce dossier pour conseiller les développeurs.

Ce dossier est accompagné de nombreux prototypes disponibles sur GitHub : https://github.com/MiscMag101. Vous pouvez vous y référer à tout moment pour avoir une vue d’ensemble du code source et tester rapidement les prototypes.


Sur le même sujet

Rançongiciels 101

Magazine
Marque
MISC
Numéro
107
|
Mois de parution
janvier 2020
|
Domaines
Résumé

Qu’ont en commun votre voisin, un fermier du Wisconsin, un centre hospitalier normand, les villes de Baltimore, de Johannesburg ou la Louisiane, la société Prosegur ? Tous ont été les victimes de ce qui en moins de dix ans est devenue une des principales menaces cyber : les rançongiciels.

Exodus Privacy – Vos applications n’auront plus de secrets pour vous

Magazine
Marque
Linux Pratique
Numéro
117
|
Mois de parution
janvier 2020
|
Domaines
Résumé

Si vous êtes soucieux de votre vie privée, Exodus Privacy pourra sans doute vous plaire. Cette application va en effet vous lister les permissions accordées aux applications installées sur votre appareil, mais aussi vous indiquer si celles-ci utilisent des pisteurs qui collecteront des données vous concernant.

OpenStack et la gestion des vulnérabilités

Magazine
Marque
MISC
Numéro
107
|
Mois de parution
janvier 2020
|
Domaines
Résumé

La communauté OpenStack s’est dotée d’un processus de traitement des vulnérabilités rigoureux, permettant de corriger au plus vite les anomalies découvertes. Dans cet article, nous aborderons le fonctionnement d’OpenStack et le processus de correction de vulnérabilités. Nous terminerons par l’explication et la reproduction d’une vulnérabilité révélée en janvier 2019.

Gérez, protégez et partagez vos mots de passe avec KeePassXC

Magazine
Marque
Linux Pratique
Numéro
117
|
Mois de parution
janvier 2020
|
Domaines
Résumé

Nous stockons de nombreuses informations, pour beaucoup sensibles, et dans des formats différents. Cela fait autant de mots de passe à créer, à retenir et à utiliser. À utiliser pour souvent quotidiennement, il faut donc que leur utilisation soit la plus transparente possible et s’adapte aux différents services clients : données sur une partition chiffrée, site internet, client d’une application bancaire, application en ligne de commandes. Vous utilisez peut-être déjà une extension web pour les sites web : c’est bien, mais cela ne gère pas tous vos besoins en mots de passe, mots de passe qui sont peut-être gérés par une société tierce sur leurs serveurs lorsque vous les rentrez dans l’extension. Dans cet article, nous allons découvrir KeePassXC, un gestionnaire de mots de passe libre qui vous permettra de répondre à tous types de besoins et de ne pas partager vos mots de passe avec une société tierce.

Introduction au dossier : Ransomwares : état de la menace

Magazine
Marque
MISC
Numéro
107
|
Mois de parution
janvier 2020
|
Domaines
Résumé

Il ne se passe plus un mois sans qu’un ransomware ne touche une entreprise ou administration publique et que cette dernière se retrouve dans une situation délicate, au point que cela atterrisse invariablement dans les colonnes de nos quotidiens (oui bon, dans les bandeaux des chaînes d’information continue). On pourrait simplement dire que l’histoire se répète, qu’il s’agit d’un énième malware qui touche des infrastructures qui ne sont pas à jour, mal configurées, et que tout cela était inéluctable.

Par le même auteur

Contrôle d’identité avec Passport

Magazine
Marque
MISC
Numéro
101
|
Mois de parution
janvier 2019
|
Domaines
Résumé
On ne plaisante pas avec un contrôle d’identité ! Il en va de même en sécurité applicative où l’authentification est une fonctionnalité primordiale à mettre en œuvre. Mais quand il faut s’y mettre, le développeur sera confronté à de nombreuses problématiques et se posera beaucoup de questions sans y trouver de réponses, faute d’avoir un expert en sécurité applicative à sa disposition.Tout au long de cet article, vous suivrez pas à pas le questionnement d’un développeur back end accompagné d’un expert sécurité pour l’aider dans son raisonnement.

Les fondamentaux pour sécuriser une (application) MEAN ?

Magazine
Marque
MISC
Numéro
101
|
Mois de parution
janvier 2019
|
Domaines
Résumé
MEAN est un socle technique composé de MongoDB, Express, Angular et Node.js. Ces quatre composants ont un point commun : le JavaScript ! La connaissance de cet unique langage de programmation vous permet désormais de créer une application web dynamique et moderne. Ce socle technique est donc largement utilisé par les développeurs « full stack » et c’est ainsi que de nombreuses applications MEAN viennent s’installer progressivement dans les SI des entreprises. Mais voilà ! Ce socle technique est-il suffisant pour développer des applications sécurisées qui seront amenées à manipuler des données sensibles (carte bancaire, santé…) ?