Le 15 janv. 2015 à 14:11, Florent Daigniere a écrit :

> On Thu, 2015-01-15 at 13:38 +0100, Swali 13 wrote:
>> Bonjour,
>> 
>> L'ANSSI vous parle
>> 
>> http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/securite-des-applications-web/recommandations-pour-la-securisation-des-sites-web.html
>> ---------------------------
> 
> La question c'est de savoir si ça vaut la peine de les écouter :)
> Certaines des recommandations tombent sous le sens.. d'autre sont
> complètement farfelues

Au contraire ça me parait très équilibré, avec une approche aussi bien sur 
l'hébergement que sur le code en lui même.
Le seul problème que je vois est qu'il ne sera probablement jamais lu par les 
gens qui en ont vraiment besoin...

> 
> Exemples :
> 
> R19
> Les identifiants de session doivent être aléatoires et d’une entropie
> d’au moins 128 bits.
> 
> -> 128bits pour une attaque en ligne... c'est beaucoup et complètement
> arbitraire

Il faut bien placer une limite, qui par ailleurs soit durable dans le temps. En 
même temps 128bits d'entropie ce n'est pas vraiment compliqué à générer.


> 
> R20
> Il faut recourir à chaque fois que c’est possible au protocole HTTPS dès
> lors que l’on associe une session à des privilèges particuliers.
> 
> -> ce n'est pas réducteur du tout comme approche. C'est bien connu,
> l'authentification ça ne sert que dans un sens ;)

L'idée dans ce cas est surtout de protéger les credentials de l'utilisateur et 
la confidentialité des informations.
Je crois que c'est clair dans le texte :
"En chiffrant les communications au moyen de TLS, on empêche un attaquant qui « 
écoute » le réseau d’apprendre les identifiants de sessions. Certains sites ont 
recours à TLS uniquement pour la page d’authentification. Cela protège certes 
le mot de passe mais pas l’identifiant de session."

Par ailleurs ils parlent des certificats client en R4, mais pour 
l'administration seulement, parce que ça parait compliqué de faire installer 
par chaque utilisateur un certificat.

Cordialement
Emmanuel Thierry



---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à