background preloader

Sécurity

Facebook Twitter

Opensource Accessibility (a11y) / Search Engine Optimization (SEO) validator: Tanaguru. OWASP SonarQube Project. The first goal of the OWASP SonarQube Project is to a create a referential of check specifications targetting OWASP vulnerabilities and that can be detected by SAST tools (Static Application Security Testing).

OWASP SonarQube Project

From there, the second goal is to provide a reference implementations of most of those checks in the Open Source SonarQube language analysers (Java, JavaScript, PHP and C#). Any contributor is highly welcome to participate to this community effort and participating is pretty easy : OWASP%20Top%2010%20 %202013%20 %20French. OWASP Zed Attack Proxy Project.

Getting Started - Let's Encrypt - Free SSL/TLS Certificates. Anyone who has gone through the trouble of setting up a secure website knows what a hassle getting and maintaining a certificate can be.

Getting Started - Let's Encrypt - Free SSL/TLS Certificates

Let’s Encrypt automates away the pain and lets site operators turn on and manage HTTPS with simple commands. Using Let’s Encrypt is free, so there is no need to arrange payment. If you’d like to know more about how Let’s Encrypt works behind the scenes, check out our how it works page. We recommend that most people start with the certbot client. It can simply get a cert for you or also help you install, depending on what you prefer. If certbot does not meet your needs, or you’d simply like to try something else, there are many more clients to choose from. Certificat électronique.

Un article de Wikipédia, l'encyclopédie libre.

Certificat électronique

Un certificat électronique (aussi appelé certificat numérique ou certificat de clé publique) peut être vu comme une carte d'identité numérique. Il est utilisé principalement pour identifier et authentifier une personne physique ou morale, mais aussi pour chiffrer des échanges. Il est signé par un tiers de confiance qui atteste du lien entre l'identité physique et l'entité numérique (Virtuel).

Le standard le plus utilisé pour la création des certificats numériques est le X.509. Rappels sur le chiffrement[modifier | modifier le code] Introduction à la cryptographie à clef publique. Introduction La cryptographie à clef publique ainsi que les standards et les techniques qui s'y rapportent sont à la base des dispositifs de sécurité de nombreux produits Red Hat.

Introduction à la cryptographie à clef publique

Cela comprend : la signature et le chiffrement de messages électroniques, la signature de formulaire, la signature d'objet, les ouvertures de session unique et le protocole SSL (Secure Sockets Layer). Ce document est une introduction aux concepts de base de la cryptographie à clef publique. Pour une présentation de SSL, voir l'article « Introduction à SSL ». Comprendre OAuth2 « BubbleCode by Johann Reinke. Si OAuth2 reste un concept flou pour vous ou que vous voulez tout simplement être sûr d’avoir compris ses rouages, cet article devrait vous intéresser.

Comprendre OAuth2 « BubbleCode by Johann Reinke

Qu’est-ce que OAuth2 ? OAuth2 est, vous l’aurez deviné, la version 2 du protocole (appelé aussi framework) OAuth. Ce protocole permet à des applications tierces d’obtenir un accès limité à un service disponible via HTTP par le biais d’une autorisation préalable du détenteur des ressources. L’accès est demandé par ce qu’on appelle « un client », et qui peut être un site internet ou une application mobile par exemple. Si les ressources n’appartiennent pas au client, alors ce dernier doit obtenir l’autorisation de l’utilisateur final, sinon il peut directement obtenir l’accès en s’authentifiant avec ses propres identifiants. La version 2 est censée simplifier la version précédente du protocole et à faciliter l’interopérabilité entre les différentes applications.

Notions de base Les rôles. Comprendre OAuth2 « BubbleCode by Johann Reinke. Sans titre. Certificat électronique. Un article de Wikipédia, l'encyclopédie libre.

Certificat électronique

Un certificat électronique (aussi appelé certificat numérique ou certificat de clé publique) peut être vu comme une carte d'identité numérique. Il est utilisé principalement pour identifier une entité physique ou morale, mais aussi pour chiffrer des échanges. Il est signé par un tiers de confiance qui atteste du lien entre l'identité physique et l'entité numérique (Virtuel). Le standard le plus utilisé pour la création des certificats numériques est le X.509.

Rappels sur le chiffrement[modifier | modifier le code] Le principe de fonctionnement des certificats électroniques est basé sur le chiffrement d'informations et sur la confiance. Introduction à la cryptographie à clef publique. Les cookies : Cookies sécurisés. Dans cette partie, nous allons prendre un exemple de solution à mettre en œuvrer afin de résoudre les principales failles de sécurité venant de cookie.

Nous présenterons ainsi un exemple de cookies sécurisés. Lorsque l’on considère une transaction sur le Web, on peut noter trois différents types de menaces portant sur les cookies: les menaces liées au réseaules menaces liées aux extrémités du réseaules menaces liées à la collecte de cookies Les menaces liées au réseau peuvent être rapidement écartées de notre champ d’étude. En effet même si les cookies sont transmis en clair sur le réseau, il est possible de négocier une transaction sécurisée, ce qui a été prévue dans les RFC, afin de supprimer le risque lié au réseau.

Les menaces liées aux extrémités du réseau vont être notre principal au centre de cette étude. EBIOS 2010 - Expression des Besoins et Identification des Objectifs de Sécurité. Créée en 1995 par l’ANSSI et régulièrement mise à jour, la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) bénéficie de ses 15 ans d’expérience dans le domaine de la gestion du risque.

EBIOS 2010 - Expression des Besoins et Identification des Objectifs de Sécurité

Elle permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes d’information (SSI). Elle permet aussi de communiquer à leur sujet au sein de l’organisme et vis-à-vis de ses partenaires, constituant ainsi un outil complet de gestion des risques SSI. L’ANSSI et le Club EBIOS ont élaboré cette nouvelle version de la méthode EBIOS pour prendre en compte les retours d’expérience et les évolutions normatives et réglementaires. Cette nouvelle méthode, plus simple, plus claire, contient des exemples et des conseils. Elle offre la possibilité d’élaborer et d’assurer le suivi d’un plan d’actions relevant de la sécurité des systèmes d’information. Elle comprend enfin une étude de cas type, permettant d’appréhender la méthode.