Bienvenue à Blogs CodeS-SourceS Identification | Inscription | Aide

CoqBlog

.NET is good :-)
{ Blog de Gaël Covain }

Actualités

Parcourir par tags

Tous les tags » Sécurité   (RSS)
Facebook et la sécurité
Je suis tombé sur un article de Pierre CARON (CERT-LEXSI) : Pourquoi Facebook a crucifié la sécurité (en français). Cet article est plutôt facile à lire et l'auteur y donne son point de vue sur les raisons de certaines lacunes dans le fonctionnement de Lire la suite...
AES (Advanced Encryption Standard) expliqué en dessin "stickmen"
C'est chez Jeff Moser : A Stick Figure Guide to the Advanced Encryption Standard (AES) J'ai trouvé la façon de le présenter plutôt originale et sympathique ! 2 extraits pour donner un aperçu : Lire la suite...
Attribut PrincipalPermission : attention aux effets de "caspol.exe -s off"
Il n'est pas rare, lorsqu'on vient à parler de contrôle d'accès par rôle, de voir des solutions préconisées reposant sur l'attribut PrincipalPermission . Le code du corps de la méthode suivante n'est censé s'exécuter que si l'utilisateur est membre du Lire la suite...
Librairie AntiXSS 3.1 disponible
Une nouvelle version de l' Anti-Cross Site Scripting Library (AntiXSS) dont je vous avais parlé il y a quelques temps est sortie. Je n'ai plus trop l'occasion de m'en servir directement en ce moment et elle a visiblement beaucoup changer depuis les versions Lire la suite...
ReDoS : Regular Expression Denial of Service
Nous savons tous que les regex ont un potentiel de chienlit assez important : qui n’a jamais appuyé sur le bouton Cancel, si disponible, de son outil de test lors d’une phase d’écriture de Regex ? Personnellement je n'avais cependant jamais, jusqu’à maintenant, Lire la suite...
La fonctionnalité de récupération de compte par question(s) secrète(s) rend le compte vulnérable
Via les news Microsoft Research , je suis tombé sur un article abordant le sujet des fonctionnalités de récupération d'accès à un compte utilisateur basées sur une question secrète : 'Secret' Questions Leave Accounts Vulnerable Question secrète ? Pour Lire la suite...
A propos des mots de passe stockés en clair & co
Cet article n'a pas pour but de présenter les meilleures solutions de stockage de mots de passe, que je ne maitrise pas forcément non plus, mais seulement d'avancer des idées/arguments montrant que celle consistant à les stocker en clair (lisible) n'est Lire la suite...
Security Runtime Engine (SRE) : module HTTP de sécurisation d’existant pour ASP.NET/IIS
Nos amis impliqués dans le développement et la maintenance d’applications ASP.NET seront peut être intéressés par la projet Security Runtime Engine (SRE) dont le CISG nous donne un petit aperçu : A Sneak Peak at the Security Runtime Engine Le but de ce Lire la suite...
Découvrez la SDL (Security Development Lifecycle) en français
Si vous n'avez pas eu le temps de vous renseigner sur la SDL (Security Development Lifecycle), notamment depuis sa mise à disposition , Eric Mittelette et son équipe vous offrent une occasion d'approfondir le sujet en français et avec une pointe d'humour Lire la suite...
Projet CLR Security sur CodePlex
Un nouveau projet Microsoft a été lancé sur CodePlex cette semaine : CLR Security . Il s'agit tout simplement du projet du team du même nom et devrait être destiné à recevoir divers sous projets visant à étendre et apporter de nouvelles fonctionnalités Lire la suite...
L'injection SQL n'est PAS un problème QUE pour les développeurs web !
J'ai l'impression que pas mal de personnes sont parties sur une fausse idée avec ce problème d'injection SQL : certains ont l'air de penser qu'il s'agit uniquement d'un problème rencontré avec les applications dotées d'une interface utilisateur web (dans Lire la suite...
Oulaaa...Non, le XSS (Cross Site Scripting) n'est PAS une fonctionnalité !
Je viens de lire un post qui fait peur sur le blog de Michael Howard , où il parle d'une discussion qu'a eu Mark Curphey avec une équipe de développement : Extrait du post de Mark Curphey : " When a customer development team was recently asked to use Lire la suite...
Stockage de mots de passe : hachez lentement
Récemment je suis tombé sur un post plutôt intéressant de Thomas Ptacek : Enough With The Rainbow Tables: What You Need To Know About Secure Password Schemes Comme son titre l'indique, il aborde le sujet de ces fameuses Rainbow Tables ("tables arc-en-ciel" Lire la suite...
XSSDetect : première beta publique de l'outil d'analyse statique disponible
XSSDetect est un addin pour Visual Studio destiné à aider l'utilisateur à éliminer les problèmes d' XSS ( Cross Site Scripting ). A ce sujet je vous avais d'ailleurs déjà parler de l' Anti-Cross Site Scripting Library . Vous pouvez retrouver quelques Lire la suite...
XPath : utilisez des requêtes paramétrées
Vous connaissez l'injection SQL ? En XPath, vous êtes exposé à la même chose, avec un risque de fuite de donnée plus important du fait de l'absence de restriction d'accès. A partir de là il devient possible de récupérer l'ensemble des données : vous en Lire la suite...


Les 10 derniers blogs postés

- SQL Server : Query Notification ou comment être notifié de modifications de données côté application par SQL Server vu par Christian Robert le il y a 2 heures et 59 minutes

- [WF4] Un Binding Activity/ActivityDesigner qui passe mal? par Blog de Jérémy Jeanson le il y a 4 heures et 22 minutes

- MyTIC – SharePoint 2010 : déjà un mythe Microsoft ? par Le Blog (Vert) d'Arnaud JUND le il y a 9 heures et 11 minutes

- TechDays 2010 Genève : Retrouvez-moi pour une session sur la Haute disponibilité et le ScaleOut avec SQL Server par SQL Server vu par Christian Robert le 03-18-2010, 15:45

- [MIX10] Keynote deuxième journée – Internet Explorer 9, Html5, Visual Studio 2010, OData par Atteint de JavaScriptite Aiguë [Cyril Durand] le 03-17-2010, 19:40

- Certifications beta .NET 4 par Kévin Gosse le 03-17-2010, 19:33

- [Mix 2010] – Microsoft Translator Technology Preview V2 par RedoBlog - The .NET Gentleman !!! le 03-17-2010, 18:53

- Lancement en Preview de Cyclone lors des TechDays 2010! par Blog de Frédéric Queudret le 03-17-2010, 16:30

- [WP7] Je ne veux pas d’un nouvel iPhone par Le blog de FremyCompany le 03-17-2010, 13:11

- [WF4] Pourquoi utiliser le ContentPresenter dans l’ActivityDesigner? par Blog de Jérémy Jeanson le 03-17-2010, 07:54