Opquast Day
Sécurité des sites et applications Web
https://www.nicolas-hoffmann.net/OQS-SECU2017
Nicolas Hoffmann / @Nico3333fr
La sécurité
Une belle histoire
Vous avez un e-mail !
Et encore
Là, c’était des gentilles personnes
Avec des méchants
Cela fait mal
Revenons au présent
HTTPS, SRI, CSP, HSTS, HPKP, XFO, DTC, Referrer Policy…
Des initiatives
et plein d’autres
Bref
Beaucoup d’acteurs poussent pour plus de sécurité#jeudiConfession
- Beaucoup de ces choses ne sont pas nouvelles
- On sait comment ça arrive
- On sait ce que cela fait
- On connait les risques
Les risques
- Éviter qu’ils arrivent
- Gérer quand ils arrivent
Tiens, tiens…
- Gestion de risques
- Donner une assurance qualité
- Valoriser des métiers/compétences
- Industrialiser un certain niveau
Déjà de très bonnes choses !
- Les certificats de sécurité sont signés et en cours de validité
- Le site propose un mécanisme de sécurité permettant de restreindre lʼorigine des contenus
- Et dʼautres…
On doit aller plus loin.
Une checklist dédiée à la sécurité
- Entre 50 et 60 bonnes pratiques identifiées
- Touche de nombreux domaines
- Permettre de la transversalité
Quelques scénarios (1/3)
Le contrôle d’intégrité des ressources chargées sur des CDNs est présent et valide.
Quelques scénarios (2/3)
La politique du site en matière de referrers est explicitement spécifiée.
La politique du site en matière de referrers ne transmet pas d’information sensible hors domaine.
Quelques scénarios (3/3)
Les mots de passes sont hashés.
Les mots de passe sont salés.
Le sel des mots de passe est unique pour chaque enregistrement.
Et pour le plaisir
Bref :
Il est temps !
Ressources 1/2
Ressources 2/2
Merci beaucoup !
Pour votre attention, pour ce que vous êtes, ce que vous faites et ce que vous allez faire.
Pour discuter :
Nicolas Hoffmann / @Nico3333fr