[Facil] Présentation Facil: Sécurité des applications en ligne, par Damien Séguy

Nicolas Marchildon nicolas at marchildon.net
Ven 22 Juin 02:12:30 EDT 2007


Excellente présentation!

Damien nous a expliqué ce qu'est un [1]XSS et un [2]CSRF, en rapportant
à des situations rencontrées dans son expérience professionnelle.

Dans le cas des CSRF, ce qui est le plus étonnant, c'est que
l'internaute ne peut pas faire grand-chose pour s'en protéger. Choisir
un fureteur ou un autre n'y changera rien; c'est un problème de design
du système. Le programmeur d'une application peut appliquer quelques
techniques, mais il ne peut pas éliminer le risque de se faire attaquer
par l'intermédiaire de ses propres utilisateurs! Il le dit lui-même: ça
fait peur.

Il a enregistré sa présentation et va bientôt la publier sur
[3]nexen.net. Mais attention, cet hyperlien pourrait être infecté!

[1] http://fr.wikipedia.org/wiki/Cross_site_scripting
[2] http://fr.wikipedia.org/wiki/CSRF
[3] http://www.nexen.net/conferences.php


Nicolas Marchildon a écrit :
>
> Le jeudi 21 juin 2007 à partir de *19h00* au Centre de recherche
> informatique de Montréal
> <http://facil.qc.ca/Centre_de_recherche_informatique_de_Montr%c3%a9al>
> (CRIM, 550 Sherbrooke O, bureau 100, près du métro McGill), Damien
> Seguy présentera les différentes menaces qui pèsent sur les
> applications en ligne, que ce soit un simple blogue ou un réseau
> social complet. Il étudiera des exemples de blindage basés sur la pile
> LAMP (Linux-Apache-MySql-PHP).
>
>    *
>
>       /Attention: la présentation débutera à 19h00, et non pas à 18h00
>       comme à l'habitude./
>
> 80% des applications en ligne seraient vulnérables à des attaques.
> Pourtant, le web n'a jamais été aussi populaire. On y manipule tous
> les jours des données critiques et personnelles, qui peuvent tomber
> dans de mauvaises mains à l'occasion d'un simple vol de cookie, d'une
> redirection ou même d'une recherche sur un moteur.
>
> Durant cette séance, nous allons passer en revue différentes menaces
> qui pèsent sur les Applications en ligne, que ce soit un simple blogue
> ou un réseau social complet. Nous verrons aussi comment blinder ses
> propres applications contre ces attaques, en étudiant des exemples
> basé sur la pile LAMP.
>
> Présentation en français.
>
> Damien Séguy travaille comme expert PHP et MySQL à Nexen Services,
> Paris / Montréal, une compagnie d'hébergement et de services
> spécialisée en Open Source (nexenservices.com
> <http://www.nexenservices.com/>). Il est rédacteur en chef du portail
> portail LAMP nexen.net <http://www.nexen.net>. Il publie des analyses
> mensuelles sur PHP et participe fréquemment à des conférences
> nationales et internationales.
>
> M. Seguy est un fondateur de l'AFUP <http://www.afup.org> et de PHP
> Québec <http://www.phpquebec.com/>, qui organisent des conférences
> reconnues, à Paris et Montréal. Il est aussi auteur de 3 livres
> consacrés à PHP et MySQL, du premier DVD consacré à PHP, et co-auteur
> des certifications PHP chez Zend. Il contribue à la traduction
> française des documentations PHP et MySQL.
>
>
>       À propos des présentations mensuelles de FACIL
>
> Ces présentation portent sur des sujets techniques ou
> sociaux-économiques associés à l'informatique libre.
>
> Elles ont généralement lieu les 3ième jeudi de chaque mois au Centre
> de recherche informatique de Montréal
> <http://facil.qc.ca/Centre_de_recherche_informatique_de_Montr%c3%a9al>,
> 550 rue Sherbrooke ouest, bureau 100, à Montréal (près du métro McGill
> - directions
> <http://facil.qc.ca/Centre%20de%20recherche%20informatique%20de%20Montr%C3%A9al>).
> Elles sont suivies par les rencontres mensuelles
> <http://facil.qc.ca/RencontresMensuelles> informelles.
>
> FACIL est une association à but non lucratif qui fait la promotion de
> l'informatique libre au Québec. FACIL organise la Semaine québécoise
> de l'informatique libre, des présentations mensuelles au sujet de
> l'informatique libre, et organise ou participe à plusieurs autres
> activités au sujet des logiciels libres et des standards ouverts.
>

-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: https://facil.qc.ca/cgi-bin/mailman/private/forum-facil.qc.ca/attachments/20070622/5d6e2983/attachment.htm 
-------------- section suivante --------------
Une pièce jointe non texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 252 octets
Desc: OpenPGP digital signature
Url: https://facil.qc.ca/cgi-bin/mailman/private/forum-facil.qc.ca/attachments/20070622/5d6e2983/attachment.pgp 


Plus d'informations sur la liste de diffusion forum