Ma présentation lors de la journée de la sécurité informatique organisée à l'université internationale d'Agadir Univerpolis sous le thème : « enjeux et défis universels ». la conférence s'est déroulée le Samedi 18 Mai 2013
Découvrir toutes les raisons qui peuvent rendre un site WordPress non-sécurisé et non-performant, puis comprendre tout les aspects de l'hébergement web, de la configuration de WordPress et des techniques de programmation recommandées pour sécuriser et optimiser votre site.
Innovating Pedagogy 2016 Exploring new forms of teaching, learning and assessment, to guide educators and policy makers
Autores:
Mike Sharples, Roberto de Roock, Rebecca Ferguson, Mark Gaved, Christothea Herodotou, Elizabeth Koh, Agnes KukulskaHulme, Chee-Kit Looi, Patrick McAndrew, Bart Rienties, Martin Weller, Lung Hsiang Wong
Open University Innovation Report 5
EARLY CAREER RESEARCHERS: THE HARBINGERS OF CHANGE? . Final report from CIBER August 2016 . The project was funded by the Publishing Research Consortium and conducted during the period October 2015 to August 2016 by a team of researchers from the UK, China, France, Malaysia, Poland and Spain. Subject to review, the report provides the results of year one of a three-year project. In addition to this report, a number of other, more detailed reports are available on the CIBER website (http://ciber-research.eu/harbingers.html):
Découvrir toutes les raisons qui peuvent rendre un site WordPress non-sécurisé et non-performant, puis comprendre tout les aspects de l'hébergement web, de la configuration de WordPress et des techniques de programmation recommandées pour sécuriser et optimiser votre site.
Innovating Pedagogy 2016 Exploring new forms of teaching, learning and assessment, to guide educators and policy makers
Autores:
Mike Sharples, Roberto de Roock, Rebecca Ferguson, Mark Gaved, Christothea Herodotou, Elizabeth Koh, Agnes KukulskaHulme, Chee-Kit Looi, Patrick McAndrew, Bart Rienties, Martin Weller, Lung Hsiang Wong
Open University Innovation Report 5
EARLY CAREER RESEARCHERS: THE HARBINGERS OF CHANGE? . Final report from CIBER August 2016 . The project was funded by the Publishing Research Consortium and conducted during the period October 2015 to August 2016 by a team of researchers from the UK, China, France, Malaysia, Poland and Spain. Subject to review, the report provides the results of year one of a three-year project. In addition to this report, a number of other, more detailed reports are available on the CIBER website (http://ciber-research.eu/harbingers.html):
Update as of March 2016: This is an article from ACM Computer, May 1996. It is old and facts, links, contact information and the world itself has changed significantly. Read this out of historical interest – look elsewhere for current information on Plan 9. Reformatted, citations updated and some graphics tweaked for readability.
CRM, definición, funcionalidad habitual, ventajas, consejos para obtener el máximo beneficio, consejos a la hora de seleccionar un CRM y ROI. Más info http://www.iSiigo.es http://www.Siigo.com
EXPERIMENTAL STUDY ON COIR FIBRE REINFORCED FLY ASH BASED GEOPOLYMER CONCRETE...IAEME Publication
Background/Objectives: By using the fly residue as option substance to bond in concrete it reduces the usage of normal Portland cement in usual concrete which results in the development of Geopolymer concrete furthermore in the lessening of CO2 levels which thusly reduces the Global Warming. Methods/Statistical analysis: This paper presents the trial examination done on the execution of coir fibre reinforced fly residue based geopolymer concrete subjected to severe ecological conditions. The mixes were considered for molarity of 10M. The basic arrangement utilized for present revise is the blend of sodium silicate and sodium hydroxide arrangement with the proportion of 1:2.5. Coir fibre with the varying percentages of 0, 0.75, 1.5, 2.25 and 3 are used as fibre reinforcement. The test specimens of 150mmx150mmx150mm cubes, 150mmx300mm cylinders, 1000mmx150mmx150mm beams are cast and cured under encompassing temperature conditions. Findings: The geopolymer solid examples are tried for their compressive quality, flexural and split tractable tests at 7days, 14days and 28days.The test grades demonstrate that the blend of fly ash and coir fibre can be used for the improvement of geopolymer concrete. Applications: It possesses superior distinctiveness such as high strength, very little drying shrinkage , low creep, durable nature, eco-friendly, fire proof ,better compressive strength etc to be used as an alternative of OPC
Update as of March 2016: This is an article from ACM Computer, May 1996. It is old and facts, links, contact information and the world itself has changed significantly. Read this out of historical interest – look elsewhere for current information on Plan 9. Reformatted, citations updated and some graphics tweaked for readability.
CRM, definición, funcionalidad habitual, ventajas, consejos para obtener el máximo beneficio, consejos a la hora de seleccionar un CRM y ROI. Más info http://www.iSiigo.es http://www.Siigo.com
EXPERIMENTAL STUDY ON COIR FIBRE REINFORCED FLY ASH BASED GEOPOLYMER CONCRETE...IAEME Publication
Background/Objectives: By using the fly residue as option substance to bond in concrete it reduces the usage of normal Portland cement in usual concrete which results in the development of Geopolymer concrete furthermore in the lessening of CO2 levels which thusly reduces the Global Warming. Methods/Statistical analysis: This paper presents the trial examination done on the execution of coir fibre reinforced fly residue based geopolymer concrete subjected to severe ecological conditions. The mixes were considered for molarity of 10M. The basic arrangement utilized for present revise is the blend of sodium silicate and sodium hydroxide arrangement with the proportion of 1:2.5. Coir fibre with the varying percentages of 0, 0.75, 1.5, 2.25 and 3 are used as fibre reinforcement. The test specimens of 150mmx150mmx150mm cubes, 150mmx300mm cylinders, 1000mmx150mmx150mm beams are cast and cured under encompassing temperature conditions. Findings: The geopolymer solid examples are tried for their compressive quality, flexural and split tractable tests at 7days, 14days and 28days.The test grades demonstrate that the blend of fly ash and coir fibre can be used for the improvement of geopolymer concrete. Applications: It possesses superior distinctiveness such as high strength, very little drying shrinkage , low creep, durable nature, eco-friendly, fire proof ,better compressive strength etc to be used as an alternative of OPC
Spring Security is a framework that provides authentication, authorization, and protection against common attacks. With first class support for both imperative and reactive applications, it is the de-facto standard for securing Spring-based applications.
Cours Licence Pro (Système de gestion de contenu) Partie 1Creazzly
Un outil de « CMS » (ou Système de gestion de contenu) est un site web disposant de fonctionnalités de publication et offrant en particulier une interface d'administration (backoffice) permettant à un administrateur de site de créer ou organiser les différentes rubriques de son site. Retrouvez ici une présentation détaillant ce qu'est un CMS en nous attardant plus particulièrement sur Prestashop et Wordpress. Vous découvrirez les enjeux, les avantages et les inconvénients de ces solutions.
Présentation de Silverlight 3 Beta par Frédéric Queudret lors des MS Days organisés par l'EPITA les 10 & 11 juin 2009.
La présentation contient l'historique de Silverlight et son architecture ainsi que les nouveautés de Silverlight 3.
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas GrégoireCyber Security Alliance
BurpSuite est un proxy utilisé (entre autres) pour l’audit d’applications Web. Ce couteau suisse (sans jeu de mot) de l’interception, de la modification et du rejeu de trafic HTTP(S) est très puissant et peut être utilisée dans de nombreux scénarios. Plusieurs cas d’usages tirés de tests intrusifs récents seront présentés, illustrant un principe basique : l’humain identifie des motifs, fait des recoupements, conçoit des pistes d’attaque et configure son outil. Toute le reste (émission en masse de requêtes, stockage des résultats, accès graphique intuitif, classification et manipulation de données, …) est délégué à l’outil.
Support de présentation de la conférence du 17 Novembre 2009, organisée chez Microsoft et animée par Blue acacia, portant sur les best practices en matière de sécurité sur le développement et l’hébergement de sites Internet.
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?Sylvie CECI
Que signifie Protocole SSL ? L'acronyme SSL signifie "Secure Sockets Layer". Il s'agit d'un protocole de sécurisation des échanges sur Internet. Il transmet les données privées sur votre site Joomla au format crypté.
L'objectif de la session est de dresser dans un premier temps un état des lieux sur les solutions Microsoft jusqu'alors utilisées pour publier vos applications Web. Nous nous focaliserons ensuite sur Web Application Proxy (WAP), nouveau rôle dans Windows 2012 R2 pour la publication d'application Web. Nous aborderons les objectifs et fonctionnalités de WAP, le tout illustré par des démos.
Speakers : Franck Heilmann (Microsoft), Eric Detoc (Microsoft France)
2. A propos de moi
Mohammed CHERIFI
Consultant web, bloggeur et chercheur en sécurité informatique
Directeur de la société ConnectInLab
Co-organisateur de MCSC
Contact
http://www.mcherifi.org
mohammed@mcherifi.org
5. Session hijacking
• Les communications à travers le protocol HTTP ne sont pas chiffrées
• Un attaquant peut facilement intercepter les échanges et inspecter les êntetes H
Problèmes
Problèmes courants:
• Usage mixé des protocole HTTP/HTTPS
• Par défaut les cookies sont transmises sur les deux protocoles
Solution
• Utiliser le flag “Secure” qui permet
d’envoyer le cookie via un canal crypté
Set-Cookie: PREF=foo-bar;
Domain=domain.ltd; Secure
6. Session hijacking - HSTS
• Envoyée sous forme d’entête HTTP
• Demande au navigateur de visiter le nom de domaine seulement en mode HTTP
• Permet de protéger optionnellement les sous domaines
Strict Transport Security
Compatibilité
Google Chrome 4+, Firefox 4+, Opera 12+
7. Public Key Pinning
S Envoyé sous forme d’une entête HTTP
S Envoie un fingerprint de la clé publique du certificat SSL au navigateur
S Le navigateur vérifie la signature du certificat pour détecter l’usage
d’un certificat frauduleux
S Actuellement un Internet-Draft de l’IETF
S Implémenté seulement dans Chrome 18+
8. Sécuriser la communication
Client/Serveur
S Secure flag for cookies to protect
cookies against leaking over HTTP
S Entête HSTS pour forcer la
navigation sécurisée
S « Public Key Pinning » pour se
protéger contre les certificats
frauduleux.
Contre-mesures :Attaques:
S Session hijacking
S SSL Stripping
11. HttpOnly
S A attribuer lors de la création d’un cookie
S Permet de restreindre l’accès javascript
via DOM (document.cookie)
S A activer par défaut pour toutes les
informations sensibles
S Compatible avec tous les navigateurs
récents (Google
Chrome, Firefox, Internet Explorer, Safari
et Opera)
12. X-XSS-Protection
S Modes de fonctionnement:
S Protection par défaut
S X-XSS-Protection: 1
S Protection opt-out
S X-XSS-Protection: 0
S Mode blocage
S X-XSS-Protection: 1; mode=block
S interrompe le rendu de la page html
S Compatibilité:
S Internet Explorer 8+, Chrome and Safari
13. Content Security Policy (CSP)
S Fonctionnalités:
S Spécifier explicitement les ressources
autorisées d’accéder au DOM de la page
S Définir des règles spécifiques à travers
des directives.
S Intègre un système de reporting
permettant de notifier le webmaster du site
S Compatibilité:
S Internet Explorer 8+, Chrome and Safari
14. Content Security Policy (CSP)
S Directives CSP:
S default-src
S script-src
S object-src
S style-src
S img-src
S media-src
S frame-src
S font-src
S connect-src
S sandbox
S report-uri
Content-Security-Policy: script-src 'self'
https://apis.google.com; report-uri
http://example.org/my_amazing_csp_report_parser
{
"csp-report": {
"document-uri": "http://domain.ltd/page.html",
"referrer": "http://evil.domain.ltd/",
"blocked-uri": "http://evil.domain.ltd/evil.js",
"violated-directive": "script-src 'self' https://apis.google.com",
"original-policy": "script-src 'self' https://apis.google.com;
report- uri http://example.org/my_amazing_csp_report_parser"
}
Exemple de déploiement de CSP
Exemple de rapport de violation d’une règle
15. Content Security Policy (CSP)
reportOnly
S Mode Reporting:
S Permet de détecter les violation de règles
S Très pratique pour l’adaptation technique d’une application web
souhaitant profiter des avantages de CSP
S Ne renforce pas les règles (Policy)
Content-Security-Policy-Report-Only: default-src: 'none'; script-src 'self'; report- uri
/csp-reporting-handler.foo
Content-Security-Policy: script-src https://apis.google.com https://platform.twitter.com;
frame-src https://plusone.google.com https://facebook.com https://platform.twitter.com
Exemple de déploiement de du mode reportOnly
Exemple d’intégration des media sociaux
16. Se protéger des attaques par
injection de scripts
S Flag HttpOnly pour les
informations sensibles
S Entête X-XSS-Protection
S Content Security Policy (CSP)
Contre-mesures :Attaques:
S Crosse Site Scripting (XSS)
S Cross Site Request Forgery
(CSRF)
19. if (top.location != location) top.location =
self.location;
Contre-mesures classiques:
if (top.location != location) top.location =
self.location;
Clickjacking - X-Frame-Options
X-Frame-Options
• Permet d’indiquer au navigateur
par qui la page peut être
encapsulé dans un cadre
(iframe)
• Supporte 3 options
• DENY
• SAMEORIGIN
• ALLOW-FROM uri
• Compatibilité: tous les
navigateurs récents
• Limitation: Difficile d’isoler un
contenu non-légitime dans le
même « origin »
20. <iframe src= "/suspected-
path/index.html" sandbox></iframe>
Activation via l’attribut sandbox:
<iframe src="/suspected-path/index.html"
sandbox= "allow-scripts"></iframe>
Clickjacking – HTML5 sandbox
Comportement par défaut
• Les Plugins sont désactivés
• Chaque cadre (Frame) est
exécuté dans un contexte séparé
• Les scripts sont désactivés
• La soumission des formulaire
n’est pas autorisée
• Les contextes du haut niveau ne
peuvent pas être accédé par le
cadre en mode sandbox
• Les popups sont bloqué
• L’accès aux coordonnées et
position du curseur est restreint
Options de relaxation:
• allow-forms
• allow-popups
• allow-pointer-lock
• allow-same-origin
• allow-scripts
• allow-top-navigation
Exemple du mode relaxed:
21. Sécuriser l’insertion de
contenu
S Entête X-Frame-Options
S L’attribut HTML5 « sandbox » pour
les cadres (iframes)
Contre-mesures :Attaques:
S Clickjacking
S Cross Site Scripting (même
domaine)
23. Interactions Cross-domain
S Problème:
S La directive « Same-Origin Policy » est très restrictive
S Technologies supportées:
S Cross Origin Resource Sharing (CORS)
S Crossdomain.xml
S Web Messaging (aka postMessage)
25. S
Conclusion
• Le web dispose actuellement d’une multitude de
fonctionnalités standardisées permettant de maitriser
les mécanismes d’isolations d’exécution, ainsi
permettant de renforcer d’avantage la sécurité des
applications web.
• Ces contre-mesures ne peuvent pas être qualifiés de
remplaçant des bonnes pratiques de programmation
sécurisée, il s’agit d’un guide complémentaire est
indispensable.
• Google, Twitter, Facebook ont déjà implémenté une
bonne partie de ces contre-mesures, leur maitrise est
un atout pour tout développeur web.
26. Initiateurs des contre-mesures
S Google (Sandbox)
S Microsoft (httpOnly, secure flag, X-XSS Header)
S Mozzila Fondation (Content Security Policy)
S W3C (spécifications HTML5)