Archive

Archive for the ‘Sécurité’ Category

[SSI] En-têtes HTTP

La sécurité par l’obscurité, ça ne marche pas.
J’ai souvent entendu ça.

Sauf que comme disais l’ami Sun Tzu, une bonne connaissance de soit ET de l’ennemi (la cible, dans notre cas) permet de vaincre.
Du coup, la phase de prise d’informations est importante.
Donc, à l’inverse, pour se défendre, il faut afficher le moins d’informations possibles.

Ce n’est pas directement de la sécurité, cela vise surtout à limiter la prise d’informations et donc de ralentir cette étape.
Eventuellement, si on a de la chance, décourager !

Dans ce billet, on va voir les bannières spécifiques au .Net.

Lire la suite…

Catégories :.Net, Développement, Sécurité

[SSI] Sécurité des Systèmes d’Information

Cela fait plusieurs fois que je vis un audit de sécurité.
L’existant aidant, parfois, ça se passe bien, parfois non.
Mais cette fois, cela a été suivit d’une petite formation.

Pour moi, c’est intéressant à plusieurs titres. Le premier, c’est le client : son but est d’avoir des applicatifs plus sécurisés. Ensuite, pour ma société (ITECOR) : c’est l’un des « subject matter » (sujets transverses à nos différentes activités). Et enfin, c’est intéressant à titre personnel.

Tout le monde est donc gagnant.

Je vais donc parler un peu de la sécurité à travers plusieurs billets.
Ce premier billet va être l’occasion de parler de la SSI en termes généraux.
Et pour cela, je vais m’inspirer d’ITECOR et de son WHY/WHAT/HOW.

Lire la suite…

Catégories :Développement, Sécurité

[Sécurité] Chiffrer les données de configuration

Dans le cadre de mon travail, nous nous penchons actuellement sur la sécurité applicative, autour d’une application Web.
Du coup, je vais (peut être ^^) faire plusieurs billets à ce sujet.

Le premier et présent billet va parler du chiffrement des données de configuration.
Dans le cadre du projet Top Ten de l’OWASP (EN), cet élément est contenu (mais ne fait pas tout, loin de là) dans le point « A5 – Security Misconfiguration ».

Lire la suite…

Catégories :.Net, C#, Développement, Sécurité