rulururu

post Le puit sans fond de la sécurité Web

February 24th, 2008

Filed under: Sécurité — gryzor @ 12:47

Pas une semaine sans qu’on ne découvre des trous de sécurité béants dans des services en ligne, des applications web, les languages eux-mêmes.
Sans compter que les technologies elles-mêmes évoluent à une vitesse conférant au dirty hacking.

Dernière plateforme unifiée d’authentification à la mode, OpenID, et un excellent document expliquant les possiblités génériques de phishing offertes par cette technologie. La conclusion est simple : si on veut partager une authentification avec des milliers d’autres sites web, s’appuyer sur un modèle de secret partagé (le couple login/password) est totalement hors de question, car tout le monde se retrouve à partager les mêmes, pour un utilisateur donné…
Bref, il reste du travail (comme pour le reste ) …

Les services web sont tradiditionnellement très vulnérables, peut-être parce que :

  • Beaucoup de développeurs sont peu qualifiés, ou au moins peu sensibles aux problèmes de sécurité
  • Ces services sont enrichis par une interaction (entre eux, et avec les utilisateurs) très grandissante, ce qui complexifie à outrance les problèmes de filtrage des données, et les “déports de confiance”

À la louche, quelques outils, dont l’énumération, à défaut d’être originale, pourrait être utile :

  • Coté serveur, sécurité web avec PHP : l’incontournable suhosin, relativement simple à déployer
  • Toujours coté serveur, un très grand classique est bien sûr mod_security, dont la difficulté de configuration a comme pendant une exceptionnelle souplesse
  • Coté client, NoScript est un must, et se montre utilisable avec un minimum de bonne volonté par tout utilisateur
  • Pour les [maudits] développeurs qui travaillent avec PHP, voyez aussi ce post de haypo sur le profiling PHP
ruldrurd