Présentation mensuelle: Sécurité des applications en ligne

Cette page a été archivée

L'information de cette page n'est fournie qu'à des fins de référence, de recherche et de tenue de documents. Elle n'a pas été modifiée ou mise à jour depuis son archivage. Par conséquent, elle peut être inexacte et/ou ne pas correspondre aux activités présentes de FACiL. Si vous avez des questions concernant cette page, veuillez communiquer avec nous.

Damien SeguyLe jeudi 21 juin 2007 à partir de 19h00 au Centre de recherche informatique de Montréal (CRIM, 550 Sherbrooke O, bureau 100, près du métro McGill), Damien Seguy présentera les différentes menaces qui pèsent sur les applications en ligne, que ce soit un simple blogue ou un réseau social complet. Il étudiera des exemples de blindage basés sur la pile LAMP (Linux-Apache-MySql-PHP).
  • Attention: la présentation débutera à 19h00, et non pas à 18h00 comme à l'habitude.
80% des applications en ligne seraient vulnérables à des attaques. Pourtant, le web n'a jamais été aussi populaire. On y manipule tous les jours des données critiques et personnelles, qui peuvent tomber dans de mauvaises mains à l'occasion d'un simple vol de cookie, d'une redirection ou même d'une recherche sur un moteur. Durant cette séance, nous allons passer en revue différentes menaces qui pèsent sur les Applications en ligne, que ce soit un simple blogue ou un réseau social complet. Nous verrons aussi comment blinder ses propres applications contre ces attaques, en étudiant des exemples basé sur la pile LAMP. Présentation en français. Damien Séguy travaille comme expert PHP et MySQL à Nexen Services, Paris / Montréal, une compagnie d'hébergement et de services spécialisée en Open Source (nexenservices.com). Il est rédacteur en chef du portail portail LAMP nexen.net. Il publie des analyses mensuelles sur PHP et participe fréquemment à des conférences nationales et internationales. M. Seguy est un fondateur de l'AFUP et de PHP Québec, qui organisent des conférences reconnues, à Paris et Montréal. Il est aussi auteur de 3 livres consacrés à PHP et MySQL, du premier DVD consacré à PHP, et co-auteur des certifications PHP chez Zend. Il contribue à la traduction française des documentations PHP et MySQL.

À propos des présentations mensuelles de FACIL

Ces présentation portent sur des sujets techniques ou sociaux-économiques associés à l'informatique libre. Elles ont généralement lieu les 3ième jeudi de chaque mois au Centre de recherche informatique de Montréal, 550 rue Sherbrooke ouest, bureau 100, à Montréal (près du métro McGill - directions). Elles sont suivies par les rencontres mensuelles informelles. FACIL est une association à but non lucratif qui fait la promotion de l'informatique libre au Québec. FACIL organise la Semaine québécoise de l'informatique libre, des présentations mensuelles au sujet de l'informatique libre, et organise ou participe à plusieurs autres activités au sujet des logiciels libres et des standards ouverts.

Commentaires

[...] Jeudi prochain, le 21 juin, à partir de 19h00, Damien Seguy fera la présentation mensuelle de Facil sur la sécurité des applications en ligne. 80% des applications en ligne seraient vulnérables à des attaques. Pourtant, le web n’a jamais été aussi populaire. On y manipule tous les jours des données critiques et personnelles, qui peuvent tomber dans de mauvaises mains à l’occasion d’un simple vol de cookie, d’une redirection ou même d’une recherche sur un moteur. [...]

[...] Nicolas nous rappelle que jeudi prochain (21 juin) il y a une présentation organisée par FACIL au CRIM. Damien Seguy va nous sortir de notre petit nid douillet en nous parlant de La Sécurité des applications en ligne. [...]

Excellente présentation! Damien nous a expliqué ce qu'est un XSS et un CSRF, en rapportant à des situations rencontrées dans son expérience professionnelle. Dans le cas des CSRF, ce qui est le plus étonnant, c'est que l'internaute ne peut pas faire grand-chose pour s'en protéger. Choisir un fureteur ou un autre n'y changera rien; c'est un problème de design du système. Le programmeur d'une application peut appliquer quelques techniques, mais il ne peut pas éliminer le risque de se faire attaquer par l'intermédiaire de ses propres utilisateurs! Il le dit lui-même: ça fait peur. Il a enregistré sa présentation et va bientôt la publier sur nexen.net. Mais attention, ce lien pourrait être infecté!