On Thu, 2015-01-15 at 13:38 +0100, Swali 13 wrote: > Bonjour, > > L'ANSSI vous parle > > http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/securite-des-applications-web/recommandations-pour-la-securisation-des-sites-web.html > ---------------------------
La question c'est de savoir si ça vaut la peine de les écouter :) Certaines des recommandations tombent sous le sens.. d'autre sont complètement farfelues Exemples : R19 Les identifiants de session doivent être aléatoires et d’une entropie d’au moins 128 bits. -> 128bits pour une attaque en ligne... c'est beaucoup et complètement arbitraire R20 Il faut recourir à chaque fois que c’est possible au protocole HTTPS dès lors que l’on associe une session à des privilèges particuliers. -> ce n'est pas réducteur du tout comme approche. C'est bien connu, l'authentification ça ne sert que dans un sens ;) R24 Pour les actions sensibles, mettre en place des mécanismes permettant de s’assurer de la légitimité de la requête. -> on parle de click-jacking, ... mais pas d'anti-CSRF
signature.asc
Description: This is a digitally signed message part