Gacogne Rémi

Le protocole SSL et son successeur TLS sont les pierres angulaires de la sécurité de nombreux services Internet. Suite aux récentes révélations d'Edward Snowden, le grand public et les médias se font l'écho de rumeurs plus ou moins fondées sur la sécurité de ces protocoles. Il est grand temps de dissiper les doutes en analysant leur fonctionnement, les attaques connues et les contre-mesures disponibles.

La détection des erreurs de manipulation mémoire est un problème aussi vieux que l'écriture du premier programme. De nombreux outils ont été conçus pour faciliter l'élimination de ces erreurs, que ce soit en offrant des primitives de plus haut niveau au programmeur, à l'aide d'une analyse statique du code, ou encore en analysant le comportement d'un programme lors de son exécution.

La majorité des programmes UNIX et la totalité des serveurs réseau doivent interagir avec des fichiers ou, plus précisément, avec les évènements survenant sur des descripteurs de fichiers. Nous allons décrire rapidement les différentes méthodes existantes pour gérer ces évènements, puis nous attarder plus longuement sur la bibliothèque libevent, qui propose une couche d'abstraction unifiée facilitant le développement d'applications basées sur les évènements.

Cet article constitue une suite au dossier sur les web services du numéro précédent. Nous l'avons vu, de plus en plus d'entreprises se tournent vers la mise en œuvre de web services, aussi bien pour la fourniture de services internes que pour offrir une API publique à leurs partenaires et clients. Il devient donc indispensable de se pencher sur la sécurisation de ce qui devient chaque jour un outil un peu plus central et critique.