Les
techniques de développement sécurisé
Installation d'outils,
règles de programmation, présentation
d'API
ou de techniques de développement: tel est le
menu de cette sélection d'articles consacrée
à la sécurité.
La sécurité n'est pas seulement assurée par de bons outils, mais aussi et surtout par la façon de les installer. De la même manière, il n'existe pas de langages plus sûrs que d'autres, mais seulement des techniques de programmation plus fiables (depuis la conception jusqu'à l'utilisation d'API appropriées). Vue d'ensemble des bonnes pratiques et des points fondamentaux à connaître.
L'essentiel
|
La sécurité informatique ne peut être considérée comme une "couche" supplémentaire aux développements: c'est en effet dès le coeur de la logique interne d'une application que la sécurité doit être adressée.
|
|
TECHNIQUES
>>
Les principes du Secure
Socket Layer
Un tutoriel en trois volets sur le protocole
de sécurité sans doute le plus connu.
: l'encodage SSL.
: la négociation et l'authentification.
: les types d'attaque.
>>
Présentation des principaux algorithmes de la cryptographie: RSA et Diffie-Hellman, ainsi que des concepts de bases du chiffrement.
>>
Présentation des principaux algorithmes de chiffrement, et de leurs implémentations dans les principaux langages.
>>
Un des sujets fréquemment soulevés lorsqu'il est question des services Web XML est la sécurité. Présentation du problème et perspectives de développement.
Fourni par MSDN France
>>
Présentation de cette architecture XML permettant de s'assurer de la transmission sécurisée des données d'authentification entre plusieurs sites Web.
LANGAGES & APIs
>>
Cinq nouveaux pièges dans lesquels il est facile de tomber: négligences de sécurité, accès sous-optimaux aux bases de données... Autant de problèmes en puissance.
>>
Présentation des principaux algorithmes de chiffrement, et de leurs implémentations dans les principaux langages.
>>
Une librairie gratuite permet de se doter de nombreux algorithmes de chiffrement/déchiffrement. Présentation.
>>
L'API JSSE permet de manipuler en Java des sockets sécurisés répondant aux spécifications SSL. Présentation.
>>
Il est facile à un pirate expérimenté d'exploiter la mauvaise utilisation du code Perl, notamment lors d'appels système ou d'exécution de commandes.
OUTILS
>>
Mise en place et configuration de deux applications permettant à une entreprise de limiter l'usage du web en son sein. Fourni par Infratech
>>
ACID permet à l'administrateur réseau de visualiser et de gérer aisément les alertes générées par Snort ou par différents équipements de sécurité installés sur son (ses) réseau(x). Fourni par Antéria
>>
L'outil open source Nessus permet de détecter près de 700 failles de sécurité. Comment le mettre en place sur un serveur Linux.
>>
Comment installer les outils open source Snort et SnortSnarf qui représentent un système de détection d'intrusions performant, avec une interface graphique en HTML.
>>
Ce document présente l'architecture de la sécurité de Microsoft .NET Framework, notamment la sécurité basée sur les preuves et sur les rôles, les concepts d'authentification et d'autorisation, ainsi que le stockage isolé, la cryptographie et l'extensibilité. Il présente également les principaux avantages qu'offre la stratégie de sécurité .NET Framework aux développeurs, administrateurs et utilisateurs finals. Fourni par MSDN France
[Dossier coordoné par Xavier Borderie,Mai 2003, JDNet]
|