Netapsys Blog - Tag - sécurité

TechEvening à Lyon sur la sécurité des applications Web

Sébastien LEBRETON — Tue, 04 Oct 2011 18:55:00 +0200

Ce lundi s'est déroulé à Lyon un TechEvening consacré à la sécurité des applications Web. Nous avons testé les différentes techniques et outils utilisés par les utilisateurs malveillants. Deux applications ont été utilisées, l'une en J2EE pour la plupart des techniques (WebGoat 5.3 de la fondation OWASP) et l'autre en ASP.NET MVC 3 pour un focus... Lire TechEvening à Lyon sur la sécurité des applications Web

Sécurité des données ? Elémentaire mon cher Java !

Pierre-Yves Baloche — Thu, 23 Jun 2011 08:50:00 +0200

Lors de l'introduction de la gestion de la sécurité en Java, les solutions se déclinaient sous forme d'extensions aux noms plus ou moins sympathique comme JAAS, JSSE et JCE, qu'il fallait venir rajouter dans ses applications. Et encore, suivant les régions, toutes n'étaient malheureusement pas disponibles.

Heureusement ce n'est plus que de l'histoire ancienne car désormais, Java propose en standard tous les outils qu'il vous faut pour sécuriser facilement vos données. Intéressons nous en particulier à deux aspects : La génération d'empreinte de fichier et le chiffrement de ces derniers.

Génération d'empreinte La génération d'empreinte numérique permet de garantir l'intégrité d'un fichier. Vous les rencontrez lorsque vous téléchargez par exemple des artefacts via Maven : en effet toute récupération de données, par exemple la librairie spring-core-3.0.2.RELEASE.jar, donnera lieu au téléchargement d'une empreinte... Lire Sécurité des données ? Elémentaire mon cher Java !

Open source, open faille & open troyen...

Yoann Hébert — Fri, 30 Oct 2009 23:18:00 +0100

Open source ou propriétaires, tous les logiciels sont susceptibles de contenir des failles de sécurité ou des backdoors (c'est-à-dire des failles créées volontairement dans le but de prendre la main sur une application).

Les logiciels open source ont cependant un avantage, au moins psychologique, de poids : leur code étant pas définition accessible, chacun peut théoriquement lire et comprendre le code informatique qu'il utilise, déploie ou intègre dans d'autres logiciels. Cet argument est particulièrement valable pour les logiciels open source qui disposent d'une large communauté très active : le risque qu'une faille passe inaperçu décroit proportionnellement avec le nombre de contributeurs au projet...

Mais le risque n'est pas tout à fait le même lorsque vous faites un "copier/coller" d'un extrait de code sur un site, aussi sérieux soit-il (je pense par exemple au Blog Netapsys ! ;-) ).

Démonstration par l'exemple.

Bardé de bonnes intentions, un membre de l'équipe Netapsys a publié un tutoriel sur l'installation de Mantis. Très pragmatique, celui-ci décrit pas à pas l'installation du bugtracker, de la base de données au Mantis en lui-même et va même jusqu'à sa sécurisation. Des portions de fichier de paramétrage y sont également publiées, afin de faciliter... Lire Open source, open faille & open troyen...