jan 17

Web 2.0 et sécurité

sécurité Ajouter un commentaire

Comme vous le savez, NBS System fait aussi de la sécurité informatique et notamment pas mal de test d’intrusion, externe, interne, web, applicatifs etc…

Dans ce contexte, nous créons régulièrement des petits articles de synthèse pour nos connaissances, pour des journalistes ou des clients. Certains de ces articles sont maintenant un peu vieillots (6 mois à deux ans) mais les principes de fond ne changent pas si vite que cela.

Je me permets donc de vous faire cadeau de trois de nos articles sur la sécurité des technologies Web et plus particulièrement Web 2.0, en espérant que cela servira à vos équipes pour faire baisser le taux de sites vulnérables. (D’après un rapport de notre labo de sécurité, sur 15 applicatifs web testés l’an dernier, 12 étaient très vulnérables, 2 légèrement (par Xss) et 1 seulement sans faille connue)

Une chance cependant pour les aficionados de Zend et Magento, le Framework Zend est bien sécurisé sur le point des XSS et SQL Injections. Les hébergeurs ont un rôle important également à jouer en patchant et sécurisant en continu, les développeurs également, en ne déportant pas de décisionnel ou de code sensible en Ajax/Javascript sur le poste client etc…

D’une manière générale :

  • Pas de code sensible et/ou décisionnel déporté sur le browser du client
  • Pas de version vulnérables des services LAMP (Apache et PHP tout particulièrement)
  • Pas de certificat auto signés
  • Un filtrage DRASTIQUE des entrées utilisateurs (formulaires, champs recherches etc…)
  • Si possible n’accepter que [a-z][A-Z][0-9] et le tiret pour les adresse
  • Un bon Firewall et un bon Reverse Proxy
  • Un DNS en dernière version non vulnérable à la faille de Kaminsky
  • Protéger toute zone d’administration par un .htaccess

Trois maximes guident notre métier :

  • La sécurité est un processus, pas un produit
  • La sécurité est une chaine, le maillon faible est toujours visé
  • La sécurité à un coût mais elle n’a pas de prix

(Ca semble plus commercial au premier abord mais ceux qui se sont déjà fait hacker savent de quoi je parle ;) )

article-dns-pinning
web-20
sécurité & web 2.0

écrit par Philippe Humeau \\ tags: , ,


Poster une réponse