Questions suite à la Black Hat 2006 4/7

Le thème qui est à le plus le goût de la nouveauté reste la sécurité des applications dite « Web 2.0 ». Toutes ces applications qui utilisent des technologies comme le C sharp, le javascript, l'Ajax. sont promises à de beaux jours mais elles amènent leur lot de très mauvaises surprises en termes de sécurité. Keylogger dans les navigateurs, réécriture de pages à la volée, redirection vers d'autres sites et bien d'autres gentillesses sont au menu des actions prévisibles à court terme.

Indéniablement, Javascript n'est plus ce gentil petit langage permettant d'ouvrir des boites d'alerte, d'autant plus avec Ajax qui fait ces actions javascript en tache de fond dans le browser. Ces nouvelles Webapp deviennent des vecteurs d'attaques idéales, transparentes, discrètes et d'une redoutable efficacité en termes d'action et d'échelle. Tout particulièrement, les conférences de Bill Hoffman (SPI Labs) m'ont réellement donné des idées et des sueurs froides.

Page : 1, 2, 3, 4, 5, 6, 7

Voir toutes nos références

Actualités

21.02.08 Tests à la réussite ?

16.01.08 Article DNS Pinning

13.01.08 Article RDS / GPS

22.10.07 Site Web NBS System en V4

Bon à savoir :
La formation RSSI permet de connaitre le cadre d'exercice légal tout autant que les référentiels de sécurité de la norme ISO 27001. L'audit de sécurité est le moment idéal pour l'équipe exploitant le SI d'effectuer un transfert de compétences. Dans un processus de maintenance, la GMAO permet de suivre la tracabilité des travaux. La GMAO permet la gestion de la plannification, des TT, des opérations curatives et préventives, la gestion des stocks etc... La sécurité informatique, à l'instar de la sécurité physique, ne vaut que par son maillon le plus faible. En sécurité informatique, comme ailleurs, la confiance n'exclue le contrôle. Il vaut mieux qu'un test d'intrusion mené par des experts révèle une ou plusieurs failles plutot que ce soit des pirates qui le fassent.